[科普中国]-地址欺骗攻击

IP 欺骗是利用主机之间的正常信任关系，伪造他人的IP 地址达到欺骗某些主机的目的。IP 地址欺骗只适用于那些通过IP 地址实现访问控制的系统。实施IP 欺骗攻击就能够有效地隐藏攻击者的身份。IP 地址的盗用行为侵害了网络正常用户的合法权益，并且给网络安全、网络正常运行带来了巨大的负面影响。

原理所谓IP 欺骗, 就是利用主机之间的正常信任关系，伪造他人的IP 地址达到欺骗某些主机的目的。IP 地址欺骗只适用于那些通过IP 地址实现访问控制的系统。实施IP 欺骗攻击就能够有效地隐藏攻击者的身份。目前IP 地址盗用的行为非常常见，IP 地址的盗用行为侵害了网络正常用户的合法权益，并且给网络安全、网络正常运行带来了巨大的负面影响，因此研究IP 地址盗用问题，找到有效的防范措施，是当前的一个紧迫课题。IP 地址欺骗攻击是指攻击者使用未经授权的IP 地址来配置网上的计算机，以达到非法使用网上资源或隐藏身份从事破坏活动的目的。TCP/IP 协议早期是为了方便地实现网络的连接，但是其本身存在一些不安全的地方，从而使一些别有用心的人可以对TCP/IP 网络进行攻击，IP 欺骗就是其中的一种。IP 欺骗是利用了主机之间的正常信任关系来进行的, 如Unix 主机中, 存在着一种特殊的信任关系。假设用户在主机A 和主机B 上各有一个账号ABC，用户在主机A 上登录时要输入A 上的账号ABC，在主机B 上登录时要输入B 上的账号ABC，两主机将ABC 当作是互不相关的账号，这给多服务器环境下的用户带来了诸多的不便，为了杜绝这个问题，可以在主机A 和主机B 间建立起两个账号的相互信任关系。

IP 协议是TCP/IP 协议组中面向连接、非可靠传输的网络协议, 它不保持任何连接状态的信息, 它的工作就是在网络中发送数据报，并且保证它的完整性, 如果不能收到完整的数据报, IP 会向源地址发送一个ICMP 错误信息, 期待重新发送, 但是这个ICMP报文可能会丢失。IP 不提供保障可靠性的任何机制, 每个数据包被松散地发送出去, 可以这样对IP 堆栈进行更改，在源地址和目的地址中放人任何满足要求的IP 地址, 即提供虚假的IP 地址。

正是因为IP 协议自身的缺陷给IP 欺骗提供了机会。但TCP 协议要对IP 包进行进一步地封装, 它是一种相对可靠的协议，TCP协议作为保障两台通讯设备之间数据包顺序传输协议，是面向连接的，它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的，如数据序列(SYN)和数据确认(ACK)。TCP 向每个数据字节分配一个序列号，并向已经成功接收的，源地址所发送的数据包表示确认，在确认的同时还携带下一个期望获得的数据序列号。TCP 序列编号可以看作是32 位的计算器从0 到232—1 排列，每一个TCP 连接交换的数据能顺序编号，通过ACK 对所接收的数据进行确认， 并指出下一个期待接收的数据序列号。TCP 协议在双方正式传输数据之前，需要用“三次握手”来建立一个稳健的连接。在实际利用TCP/IP 协议进行通信时，为了提供对TCP 模块的并行访问，TCP 提供了特殊的用户接收(即端口)。端口是操作系统内核用来标示不同的网络进程，是严格区分传输层入口的标示。TCP 端口与IP 地址一起提供网络端到端的通信。在Internet 上，任何一个连接都包含了源IP 地址、源地址端口、目的IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如FTP 服务被绑定在21 号端口，WWW服务被绑定在80号端口，Telenet 服务被绑定在23 号端口。

欺骗过程在攻击某一主机前, 首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来，许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系，为进一步的IP 欺骗提供了机会。假设主机Z 企图入侵主机A，而主机A 信任主机B。如果冒充主机B 对主机A 进行攻击，简单使用主机B 的IP 地址发送SYN 标志给主机A，但是当主机A 收到后，并不把SYN+ACK 发送到攻击的主机上，而是发送到真正的主机B 上去，而主机B 根本没有发送SYN 请求，导致欺骗失败。所以如果要冒充主机B，首先要看主机B 是否关机，否则应设法让主机B 瘫痪，确保它不能收到任何有效的网络数据。事实上有许多方法可以达到这个目的，如SYN 洪水攻击、TTN、Land 等攻击。

对目标主机A 进行攻击，必须知道主机A 的数据包序列号。可以先与被攻击主机的一个端口建立起正常连接，并记录主机A的ISN，以及主机Z 到主机A 的大致的RTT(Round Trip Time)值。这个步骤需要重复多次以便得出RTT 的平均值。主机Z 知道了主机A 的ISN 的值和增加规律(例如每秒增加12 800，每次连接增加64 000)后，也就知道了从主机Z 到主机A 需要RTT/2 的时间。此时必须立即进行入侵，否则在这期间有其他主机与主机A 连接，ISN 将比之前得到的多64000。估计出ISN 的大小，就开始着手进行攻击。当然虚假的TCP 数据包进入目标主机时，如果刚才估计的序列号准确，进入的数据将放置在目标主机的缓冲区中。但是在实际攻击过程中往往没有这么幸运。如果估计的序列号小于正确值，那么将被放弃。而如果估计的序列号大于正确值，并且在缓冲区的大小之内，那么该数据被认为是一个将来的数据，TCP 模块等待其他缺少的数据。如果估计序列号大于期待的数值且不在缓冲区之内，TCP 将会放弃它并返回一个期待获得的数据序列号。

主机Z 向主机A 发送带有SYN 标志的数据段请求连接，只是源IP 地址写成主机B 的IP 地址，而且目的端口是TCP 专用的513 号端口(rlogin 服务端口)。主机A 向主机B 回送SYNal- ACK 数据段，但主机B 已经无法响应，主机B 的TCP 层只是简单的丢弃来自主机A 的回送数据段。目标主机立刻对连接请求作出反应，发更新SYNd- ACK 确认包给被信任主机，因为被信任主机B 仍然处于瘫痪状态，它当然无法收到这个包，紧接着攻击者主机Z 向目标主机A 发送ACK 数据包。

如果攻击者估计正确的话，目标主机将会接收到该ACK，连接就正式建立，可以进行数据传输了。但是主机A 仍然会向主机B 发送数据，而不是向主机Z 发送，主机Z 仍然无法接收到主机A 发往主机B 的数据包，所以主机Z 必须按照rlogin 协议的标准假冒主机B 向主机A 发送类似#cat++>>～/.rhosts 这样的命令，主机A 就会与主机Z 建立信任关系，开始相互的数据传送，入侵也就完成了。完成本次攻击后，就可以不用口令直接登录到目标主机上。

这样，一次网站的IP 欺骗就已经完成，在目标机上得到了一个Shell权限，接下来就是利用系统的溢出或错误配置扩大权限，当然最终目的还是要获得服务器的root权限。1

防范对策IP 欺骗之所以可以实施，是因为信任服务器的基础建立在网络地址的验证上，在整个攻击过程中最难的是进行序列号的估计，估计精度的高低是欺骗成功与否的关键。针对这些，可采取如下的对策

禁止基于IP 地址的信任关系IP 欺骗的原理是冒充被信任主机的IP 地址，这种信任关系是建立在基于IP 地址的验证上，如果禁止基于IP 地址的信任关系，使所有的用户通过其他远程通信手段进行远程访问，可彻底地防止基于IP 地址的欺骗。

安装过滤路由器如果计算机用户的网络是通过路由器接入Internet 的，那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN 可以使用信任关系，而内部LAN 上的主机对于LAN 以外的主机要慎重处理。计算机用户的路由器可以帮助用户过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP 欺骗攻击将是非常有效的方法，使用netlog 或类似的包监控工具来检查外接口上包的情况，如果发现包的两个地址(即源地址和目的地址)都是本地域地址，就意味着有人要试图攻击系统。
1

使用加密法阻止IP 欺骗的另一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时，加密方法最为合适。3.4.4 使用随机化的初始序列号IP 欺骗另一个重要的因素是初始序列号不是随机选择或者随机增加的，如果能够分割序列号空间，每一个连接将有自己独立的序列号空间，序列号仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。

在网络普及的今天，网络安全已经成为一个不容忽视的问题。对IP 欺骗, 最重要的是作好安全防范。1