学文网[摘要] 系统自身的漏洞及TCP/IP协议的缺陷给计算机网络带来了许多不安全的因素。IP欺骗就是利用了不同主机系统间的信任关系及TCP/IP的缺陷来对网络进行入侵攻击。本文就IP欺骗的入侵过程进行分析,探讨防范IP欺骗的对策。
[关键词] IP欺骗 入侵过程 防范措施
IP欺骗是一种主动攻击方法。首先在网络上的某台机器伪装成另一台机器,找到一种信任模式,并找到一个被目标主机信任的主机,使得被信任的主机丧失工作能力,同时收集目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,建立起与目标主机的应用连接。如果成功,再用一种简单发送命令请求放置一个系统后门,进行非授权操作。它能破坏其它两台正常通信的机器之间的数据流,并可以插入非法数据,从而达到破坏目的。
一、IP 欺骗的入侵过程
IP 欺骗中的关键点是实际上它是盲目的攻击。攻击者准备接替被信任主机的身份以便于破坏目标主机的安全。一个主机在确认被信任主机后会尽快的和它建立会话。事实上,攻击者躲藏在Internet的某个角落里,伪造一些据称是从被信任主机发出的数据分组,而同时被信任主机实际已经被拒绝服务攻击锁定起来了。假冒 IP 地址的数据报很好的到达目标主机,但是目标主机发回的数据报就丢掉了,攻击者永远看不到它们。中间的路由器知道数据报可能去了哪里。它们被假定是去往被信任主机的。但是一旦数据报到达,信息被分解送入协议栈,到达 TCP 层,它就被丢弃了。所以攻击者必须足够聪明知道什么样的数据被发送出来了,而且知道服务端正在等待什么样的响应。攻击者看不到目标主机发送了什么,不过它可以预测什么将被发送。要知道这一点,攻击者必须处理以下一些盲目的东西:
(1)信任模式。
选择了目标主机以后,攻击者必须确定出信任模式。指出谁是被信任的主机有时候简单有时候不简单,一条‘showmount-e’ 命令可以显示文件系统输出到哪里,还有rpcinfo 一样可以给出一些有用的信息。如果有足够多的背景信息,这将不难。
(2)禁止被信任主机。
一旦找到被信任主机,需要把它禁止掉。因为攻击者要冒充它,它必须确认主机完全不能接收任何网络通信。
(3)序列号抽样预报。
攻击者要知道目标的TCP的32位的序列号是什么样子。攻击者连接到目标的一个 TCP 端口预先试探攻击,完成三次握手。攻击者会保存目标发送过来的初始序列号ISN,一般这个过程重复多次最后初始序列号被记录。攻击者需要知道目标和它信任的主机间的往返时间是多少,RTT是精确计算下一个初始序列号所必需的。攻击者知道上一个发送的ISN,而且知道序列号的递增规则(128,000/ 秒和64,000 每个连接),且现在对于一个 IP 数据报在网上达到另一端需要的时间有个很好的估算,大约等于 RTT的一半,因为大多数时间路由是对称的。当攻击者得到这些信息,他立刻开始下一段的攻击。当一个伪造的段到达目标时,根据攻击者的预测准确程度不同会发生以下几种情况:如果序列号正是接收方TCP 期望的,数据将出现在接收缓冲区的下一个可用位置上;如果序列号小于期望值,这个数据将被认为重复而丢弃;如果序列号大于期望值但是仍在接收窗口的范围之内,数据将被看作是超前的字节,将被TCP 暂存;如果序列号大于期望值同时超出了接收窗口的边界,数据将被丢弃,TCP会发回一个段带有期望的序列号。
下面是主要入侵攻击过程:
①Z(b)――-SYN――->A
②B
③Z(b)――-ACK――->A
④Z(b)――-PSH――->A[...]
①攻击主机把他的IP 地址伪装成被信任主机(被信任主机仍然被锁死在Dos 攻击中),把它的连接请求发送到目标的513端口。
②目标用一个SYN/ACK 回应这个欺骗的连接请求,它的目的地是被信任主机,而被阻塞的被信任主机将丢弃这个SYN/ACK。结束①以后,攻击者必须后退一点给目标充足的时间发送SYN/ACK(攻击者看不到这个报文)。
接着,在③中攻击者发送一个带有预测的序列号的ACK 给目标,如果攻击者的预言正确,目标会接收这个 ACK,目标主机确认,数据传输开始。
④攻击者会添加一个后门到系统中以便用更简单的方式侵入。
二、IP欺骗的防范
IP欺骗攻击虽然在原理上讲得通,但实际操作起来却非常困难,例如确定信任关系、猜测序列号等等。然而,要成功实现IP欺骗攻击并不是没有可能。著名黑客凯文•米特尼克就曾经成功地运用IP欺骗攻击攻破了San Diego超级计算中心的一台主机。
IP欺骗之所以可以实施,是因为信任服务器的基础建立在网络地址的验证上,IP地址是可以简单的进行欺骗的,在整个攻击过程中最难的是进行序列号的估计,估计精度的高低是欺骗成功与否的关键。针对这些,可采取如下的对策:
(1) 使用加密法。
阻止IP欺骗的一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时,加密方法最为适应。通信时要求双方对数据进行加密传输和验证,使得欺骗者无法获取有用信息,从而无法完成欺骗功能。
(2)禁止基于IP地址的信任关系。
IP欺骗的原理是冒充被信任主机的IP地址,这种信任关系是建立在基于IP地址的验证上,如果禁止基于IP地址的信任关系、不允许R*类远程调用命令的使用、删除。rhosts文件、清空/etc/hosts。equiv文件,使所有的用户通过其它远程通信手段,如Telnet等进行远程访问,可彻底的防止基于IP地址的欺骗。
(3) 安装过滤路由器。
如果计算机用户的网络是通过路由器接入Internet的,那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。计算机用户的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法,使用netlog或类似的包监控工具来检查外接口上包的情况,如果发现包的两个地址即源地址和目的地址都是本地域地址,就意味着有人要试***攻击系统。
(4) 防止IP地址伪造。
IP地址伪造技术是进行IP欺骗采取的基本技术。具有伪造IP地址的报文可能发生在Internet上的任何区域。因此要防止IP地址伪造就需要在Internet的各级网络采用包过滤技术,截获这些伪造IP地址的报文。
参考文献:
[1]任侠,吕述望.IP欺骗原理分析[J].计算机工程与应用,2003,2:166-169.
[2]程小鸥,梁意文.防IP欺骗的多样性方法[J].计算机应用研究,2006(8):104-106.
[3]蔡凌.IP欺骗攻击[J].网络安全技术与应用,2006,1:28-30.
[4]张建青,谢凤梅.IP欺骗技术及防范[J].网络通讯与安全,2005,5:23-25.
[5]王绍卜.IP欺骗原理分析与防范对策[J].河北理工学院学报,2004,8(3):57-60.
[6]蒋卫华,李伟华,杜君.IP欺骗攻击技术原理、方法、工具及对策[J].西北工业大学学报,2002,11(4):543-547.
(作者单位:浙江宁波大学信息学院电信0401班)
转载请注明出处学文网 » 浅谈IP欺骗方法的入侵与防范