IP地址被用来在网络和计算机之间发送以及接收信息,因此,每个信息包里都包含了IP地址,这样,双方才能发送到正确的对方,对方也才能知道来源是正确的。
IP欺骗是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP
欺骗攻击就能够有效地隐藏攻击者的身份。IP地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响。
原理
所谓IP欺骗,就是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。IP地址盗用的行为非常常见,IP地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响,因此研究IP地址盗用问题,找到有效的防范措施,是当前的一个紧迫课题。IP地址欺骗攻击是指攻击者使用未经授权的IP地址来配置网上的计算机,以达到非法使用网上资源或隐藏身份从事破坏活动的目的。
TCP/IP协议早期是为了方便地实现网络的连接,但是其本身存在一些不安全的地方,从而使一些别有用心的人可以对TCP/IP网络进行攻击,IP欺骗就是其中的一种。IP欺骗是利用了主机之间的正常信任关系来进行的,如Unix主机中,存在着一种特殊的信任关系。假设用户在主机A和主机B上各有一个账号ABC,用户在主机A上登录时要输入A上的账号ABC,在主机B上登录时要输入B上的账号ABC,两主机将ABC当作是互不相关的账号,这给多服务器环境下的用户带来了诸多的不便,为了杜绝这个问题,可以在主机A和主机B间建立起两个账号的相互信任关系。
IP协议是TCP/IP协议组中面向连接、非可靠传输的网络协议,它不保持任何连接状态的信息,它的工作就是在网络中发送数据报,并且保证它的完整性,如果不能收到完整的数据报,IP会向源地址发送一个ICMP错误信息,期待重新发送,但是这个ICMP报文可能会丢失。IP不提供保障可靠性的任何机制,每个数据包被松散地发送出去,可以这样对IP堆栈进行更改,在源地址和目的地址中放入任何满足要求的IP地址,即提供虚假的IP地址。
正是因为IP协议自身的缺陷给IP欺骗提供了机会。但TCP协议要对IP包进行进一步地封装,它是一种相对可靠的协议,TCP协议作为保障两台通讯设备之间数据包顺序传输协议,是面向连接的,它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的,如数据序列(
SYN)和数据确认(
ACK)。TCP向每个数据字节分配一个序列号,并向已经成功接收的,源地址所发送的
数据包表示确认,在确认的同时还携带下一个期望获得的数据序列号。TCP序列编号可以看作是32位的计算器从0到232—1排列,每一个TCP连接交换的数据能顺序编号,通过ACK对所接收的数据进行确认,并指出下一个期待接收的数据序列号。TCP协议在双方正式传输数据之前,需要用“三次握手”来建立一个稳健的连接。在实际利用TCP/IP协议进行通信时,为了提供对TCP模块的并行访问,TCP提供了特殊的用户接收(即端口)。端口是操作系统内核用来标示不同的网络进程,是严格区分传输层入口的标示。TCP端口与IP地址一起提供网络端到端的通信。在Internet上,任何一个连接都包含了源IP地址、源地址端口、目的IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如FTP服务被绑定在21号端口,WWW服务被绑定在80号端口,Telenet服务被绑定在23号端口。
欺骗过程
在攻击某一主机前,首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来,许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系,为进一步的IP欺骗提供了机会。假设主机Z企图入侵主机A,而主机A信任主机B。如果冒充主机B对主机A进行攻击,简单使用主机B的IP地址发送SYN标志给主机A,但是当主机A收到后,并不把SYN+ACK发送到攻击的主机上,而是发送到真正的主机B上去,而主机B根本没有发送SYN请求,导致欺骗失败。所以如果要冒充主机B,首先要看主机B是否关机,否则应设法让主机B瘫痪,确保它不能收到任何有效的网络数据。事实上有许多方法可以达到这个目的,如SYN洪水攻击、
TTN、Land等攻击。
对目标主机A进行攻击,必须知道主机A的数据包序列号。可以先与被攻击主机的一个端口建立起正常连接,并记录主机A的ISN,以及主机Z到主机A的大致的RTT(Round Trip Time)值。这个步骤需要重复多次以便得出RTT的平均值。主机Z知道了主机A的ISN的值和增加规律(例如每秒增加12800,每次连接增加64000)后,也就知道了从主机Z到主机A需要RTT/2的时间。此时必须立即进行入侵,否则在这期间有其他主机与主机A连接,ISN将比之前得到的多64000。估计出
ISN的大小,就开始着手进行攻击。当然虚假的TCP数据包进入目标主机时,如果刚才估计的序列号准确,进入的数据将放置在目标主机的缓冲区中。但是在实际攻击过程中往往没有这么幸运。如果估计的序列号小于正确值,那么将被放弃。而如果估计的序列号大于正确值,并且在缓冲区的大小之内,那么该数据被认为是一个将来的数据,TCP模块等待其他缺少的数据。如果估计序列号大于期待的数值且不在缓冲区之内,TCP将会放弃它并返回一个期待获得的数据序列号。
主机Z向主机A发送带有SYN标志的数据段请求连接,只是源IP地址写成主机B的IP地址,而且目的端口是TCP专用的513号端口(rlogin服务端口)。主机A向主机B回送SYNal-ACK数据段,但主机B已经无法响应,主机B的TCP层只是简单的丢弃来自主机A的回送数据段。目标主机立刻对连接请求作出反应,发更新SYNd-ACK确认包给被信任主机,因为被信任主机B仍然处于瘫痪状态,它当然无法收到这个包,紧接着攻击者主机Z向目标主机A发送ACK数据包。
如果攻击者估计正确的话,目标主机将会接收到该
ACK,连接就正式建立,可以进行数据传输了。但是主机A仍然会向主机B发送数据,而不是向主机Z发送,主机Z仍然无法接收到主机A发往主机B的数据包,所以主机Z必须按照rlogin协议的标准假冒主机B向主机A发送类似#cat++>>~/.rhosts这样的命令,主机A就会与主机Z建立信任关系,开始相互的数据传送,入侵也就完成了。完成本次攻击后,就可以不用口令直接登录到目标主机上。
这样,一次网站的IP欺骗就已经完成,在目标机上得到了一个Shell权限,接下来就是利用系统的溢出或错误配置扩大权限,当然最终目的还是要获得服务器的
root权限。
防范对策
IP欺骗之所以可以实施,是因为信任服务器的基础建立在网络地址的验证上,在整个攻击过程中最难的是进行序列号的估计,估计精度的高低是欺骗成功与否的关键。针对这些,可采取如下的对策:
禁止基于IP地址的信任关系
IP欺骗的原理是冒充被信任主机的IP地址,这种信任关系是建立在基于IP地址的验证上,如果禁止基于IP地址的信任关系,使所有的用户通过其他远程通信手段进行远程访问,可彻底地防止基于IP地址的欺骗。
安装过滤路由器
如果计算机用户的网络是通过
路由器接入Internet的,那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系,而内部LAN上的主机对于
LAN以外的主机要慎重处理。计算机用户的路由器可以帮助用户过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法,使用netlog或类似的包监控工具来检查外接口上包的情况,如果发现包的两个地址(即源地址和目的地址)都是本地域地址,就意味着有人要试图攻击系统。
使用加密法
阻止IP欺骗的另一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时,加密方法最为合适。
使用随机化的初始序列号
IP欺骗另一个重要的因素是初始序列号不是随机选择或者随机增加的,如果能够分割序列号空间,每一个连接将有自己独立的序列号空间,序列号仍然按照以前的方式增加,但是在这些序列号空间中没有明显的关系。
在网络普及的今天,
网络安全已经成为一个不容忽视的问题。对IP欺骗,最重要的是作好安全防范。