【正文】 特征了 75 BNCC ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* ** ** tfndaemon*** tfnchild*** 76 BNCC ? 目前仍沒有能有效防御 TFN2K拒絕服務(wù)攻擊的方法。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。 預(yù) 防 ◆ 只使用應(yīng)用代理型防火墻。這能夠有效地阻止所有的 TFN2K通訊。但只使用應(yīng) 用代理服務(wù)器通常是不切合實(shí)際的，因此只能盡可能使用最少的非代理服務(wù)。 ◆ 禁止不必要的 ICMP、 TCP和 UDP通訊。特別是對(duì)于 ICMP數(shù)據(jù)，可只允許 ICMP類 型 3（ destination unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過。 ◆ 如果不能禁止 ICMP協(xié)議，那就禁止主動(dòng)提供或所有的ICMP_ECHOREPLY包。 77 BNCC ? ◆ 禁止不在允許端口列表中的所有 UDP和 TCP包。 ◆ 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。 ◆ 對(duì)系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。 監(jiān) 測(cè) ◆ 掃描客戶端 /守護(hù)程序的名字。 ◆ 根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。 ◆ 掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。 78 BNCC ? ◆ 檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。另外，檢查數(shù)據(jù)側(cè) 面內(nèi)容是否都是 ASCII可打印字符（ 2B， 2F39， 0x410x5A，0x610x7A）。 ◆ 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了 TCP、UDP和 ICMP包）。 響 應(yīng) 一旦在系統(tǒng)中發(fā)現(xiàn)了 TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M(jìn)行。因?yàn)?TFN2K的守護(hù)進(jìn)程不會(huì)對(duì)接收到的命令作任何回復(fù)， TFN2K客戶端一般會(huì)繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。另外，入侵者發(fā)現(xiàn)攻擊失效時(shí)往往會(huì)試圖連接到代理端主機(jī)上以進(jìn)行檢查。這些網(wǎng)絡(luò)通訊都可被追蹤。 79 BNCC IP欺騙的原理 ? ⑴什么是 IP電子欺騙攻擊？ 所謂 IP欺騙，無非就是偽造他人的源 IP地址。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，籍以達(dá)到蒙混過關(guān)的目的。 ? ⑵誰容易上當(dāng)？ IP欺騙技術(shù)之所以獨(dú)一無二，就在于只能實(shí)現(xiàn)對(duì)某些特定的運(yùn)行 Free TCP/IP協(xié)議的計(jì)算機(jī)進(jìn)行攻擊。 一般來說，如下的服務(wù)易受到 IP欺騙攻擊： ■任何使用 Sun RPC調(diào)用的配置 ■任何利用 IP地址認(rèn)證的網(wǎng)絡(luò)服務(wù) ■ MIT的 X Window系統(tǒng) ■ R服務(wù) 80 BNCC IP欺騙的原理 ? 假設(shè) B上的客戶運(yùn)行 rlogin與 A上的 rlogind通信： 1. B發(fā)送帶有 SYN標(biāo)志的數(shù)據(jù)段通知 A需要建立 TCP連接。并將 TCP報(bào)頭中的 sequence number設(shè)置成自己本次連接的初始值 ISN。 2. A回傳給 B一個(gè)帶有 SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的 ISN，并確認(rèn) B發(fā)送來的第一個(gè)數(shù)據(jù)段，將 acknowledge number設(shè)置成 B的 ISN+1。 3. B確認(rèn)收到的 A的數(shù)據(jù)段，將 acknowledge number設(shè)置成 A的 ISN+1。 81 BNCC ? B SYN A B SYN+ACK A B ACK A 82 BNCC IP欺騙攻擊的描述 ? 1. 假設(shè) Z企圖攻擊 A，而 A信任 B，所謂信任指 /etc/$HOME/.rhosts中有相關(guān)設(shè)置。注意，如何才能知道 A信任 B呢？沒有什么確切的辦法。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。一次成功的攻擊其實(shí)主要不是因?yàn)榧夹g(shù)上的高明，而是因?yàn)樾畔⑺鸭膹V泛翔實(shí)。動(dòng)用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標(biāo)，不在乎手段。 2. 假設(shè) Z已經(jīng)知道了被信任的 B，應(yīng)該想辦法使 B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，以免對(duì)攻擊造成干擾。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。請(qǐng)看一個(gè)并發(fā)服務(wù)器的框架： 83 BNCC IP欺騙攻擊的描述 ? int initsockid, newsockid。 if ((initsockid = socket(...)) 0) { error(can39。t create socket)。 } if (bind(initsockid, ...) 0) { error(bind error)。 } if (listen(initsockid, 5) 0) { error(listen error)。 } 84 BNCC IP欺騙攻擊的描述 ? for (。) { newsockid = accept(initsockid, ...)。 /* 阻塞 */ if (newsockid 0) { error(accept error)。 } if (fork() == 0) { /* 子進(jìn)程 */ close(initsockid)。 do(newsockid)。 /* 處理客戶方請(qǐng)求 */ exit(0)。 } close(newsockid)。 } 85 BNCC IP欺騙攻擊的描述 ? 3. Z必須確定 A當(dāng)前的 ISN。首先連向 25端口(SMTP是沒有安全校驗(yàn)機(jī)制的 )，與 1中類似，不過這次需要記錄 A的 ISN，以及 Z到 A的大致的 RTT(round trip time)。這個(gè)步驟要重復(fù)多次以便求出 RTT的平均值。現(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時(shí)間。必須立即進(jìn)入攻擊，否則在這之間有其他主機(jī)與 A連接， ISN將比預(yù)料的多出 64000。 86 BNCC IP欺騙攻擊的描述 ? 4. Z向 A發(fā)送帶有 SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接，只是信源 IP改成了 B，注意是針對(duì) TCP513端口(rlogin)。 A向 B回送 SYN+ACK數(shù)據(jù)段， B已經(jīng)無法響應(yīng) (憑什么？按照作者在 2中所說，估計(jì)還達(dá)不到這個(gè)效果，因?yàn)?Z必然要模仿 B發(fā)起connect調(diào)用， connect調(diào)用會(huì)完成全相關(guān)，自動(dòng)指定本地 socket地址和端口，可事實(shí)上 B很可能并沒有這樣一個(gè)端口等待接收數(shù)據(jù)。 87 BNCC IP欺騙攻擊的描述 ? 除非 Z模仿 B發(fā)起連接請(qǐng)求時(shí)打破常規(guī)，主動(dòng)在客戶端調(diào)用 bind函數(shù)，明確完成全相關(guān)，這樣必然知道 A會(huì)向 B的某個(gè)端口回送，在 2中也針對(duì)這個(gè)端口攻擊 B?？墒侨绻@樣，完全不用攻擊 B， bind的時(shí)候指定一個(gè) B上根本不存在的端口即可。我也是想了又想，還沒來得及看看老外的源代碼，不妥之處有待商榷。總之，覺得作者好象在蒙我們，他自己也沒有實(shí)踐成功過吧。 )， B的 TCP層只是簡(jiǎn)單地丟棄 A的回送數(shù)據(jù)段。 88 BNCC IP欺騙攻擊的描述 ? 5. Z暫停一小會(huì)兒，讓 A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)?Z看不到這個(gè)包。然后 Z再次偽裝成 B向 A發(fā)送 ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有 Z預(yù)測(cè)的 A的 ISN+1。如果預(yù)測(cè)準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。問題在于即使連接建立，A仍然會(huì)向 B發(fā)送數(shù)據(jù)，而不是 Z， Z 仍然無法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒 B向 A發(fā)送類似 cat + + ~/.rhosts 這樣的命令，于是攻擊完成。如果預(yù)測(cè)不準(zhǔn)確， A將發(fā)送一個(gè)帶有 RST標(biāo)志的數(shù)據(jù)段異常終止連接， Z只有從頭再來。 89 BNCC IP欺騙攻擊的描述 ? Z(B) SYN A B SYN+ACK A Z(B) ACK A Z(B) PSH A ...... 6. IP欺騙攻擊利用了 RPC服務(wù)器僅僅依賴于信源 IP地址進(jìn)行安全校驗(yàn)的特性，建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測(cè)A的 ISN。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。 90 BNCC IP欺騙攻擊的描述 ? 考慮這種情況，入侵者控制了一臺(tái)由 A到 B之間的路由器，假設(shè) Z就是這臺(tái)路由器，那么 A回送到 B的數(shù)據(jù)段，現(xiàn)在 Z是可以看到的，顯然攻擊難度驟然下降了許多。否則 Z必須精確地預(yù)見可能從 A發(fā)往 B的信息，以及 A期待來自 B的什么應(yīng)答信息，這要求攻擊者對(duì)協(xié)議本身相當(dāng)熟悉。同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用 xray之類的工具進(jìn)行協(xié)議分析。 91 BNCC IP欺騙攻擊的描述 ? 7. 如果 Z不是路由器，能否考慮組合使用 ICMP重定向以及 ARP欺騙等技術(shù)？沒有仔細(xì)分析過，只是隨便猜測(cè)而已。并且與 A、 B、 Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。注意 IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。利用 IP欺騙攻擊得到一個(gè) A上的 shell，對(duì)于許多高級(jí)入侵者，得到目標(biāo)主機(jī)的 shell，離 root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來進(jìn)行buffer overflow攻擊。 92 BNCC IP欺騙攻擊的描述 ? 8. 也許有人要問，為什么 Z不能直接把自己的 IP設(shè)置成 B的？這個(gè)問題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在 ARP沖突、出不了網(wǎng)關(guān)等問題。那么在 IP欺騙攻擊過程中是否存在 ARP沖突問題?；叵胛仪懊尜N過的 ARP欺騙攻擊，如果 B的 ARP Cache沒有受到影響，就不會(huì)出現(xiàn) ARP沖突。如果 Z向 A發(fā)送數(shù)據(jù)段時(shí)，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會(huì)發(fā)送 ARP請(qǐng)求包，但這個(gè) ARP請(qǐng)求包中源 IP以及源 MAC都是 Z的，自然不會(huì)引起 ARP沖突。而 ARP Cache只會(huì)被 ARP包改變，不受 IP包的影響，所以可以肯定地說， IP欺騙攻擊過程中不存在 ARP沖突。相反，如果 Z修改了自己的 IP，這種 ARP沖突就有可能出現(xiàn)，示具體情況而言。攻擊中連帶 B一起攻擊了，其目的無非是防止 B干擾了攻擊過程， 如果 B本身已經(jīng) down掉，那是再好不過 93 BNCC IP欺騙攻擊的描述 ? 9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，對(duì)之進(jìn)行端口掃描，發(fā)現(xiàn)其 tcp端口 113是接收入連接的。和 IP欺騙等沒有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。 94 BNCC IP欺騙攻擊的描述 ? 10. 關(guān)于預(yù)測(cè) ISN，我想到另一個(gè)問題。就是如何以第三方身份切斷 A與 B之間的 TCP連接，實(shí)際上也是預(yù)測(cè) sequence number的問題。嘗試過，也很困難。如果 Z是 A與 B之間的路由器，就不用說了； 或者 Z動(dòng)用了別的技術(shù)可以監(jiān)聽到 A與 B之間的通信，也容易些； 否則預(yù)測(cè)太難。作者在 3中提到連接 A的 25端口，可我想不明白的 是 513端口的 ISN和 25端口有什么關(guān)系？看來需要看看 TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。 95 BNCC 96 BNCC 未雨綢繆 ? 雖然 IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識(shí)到，這種攻擊非常廣泛，入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的， 比如刪除所有的 /etc/、 $HOME/.rhosts文件，修改 /etc/ ，使得 RPC機(jī)制無法運(yùn)做，還可以殺掉 portmapper等等。設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部 IP的報(bào)文。 cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵，內(nèi)部入侵呢？ TCP的 ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與 ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。 97 BNCC 未雨綢繆 ? 估計(jì) Linux下容易做到，那 solaris、 irix、hpunix還有 aix呢？ sigh 雖然作者紙上談兵，但總算讓我們了解了一下 IP欺騙攻擊，我實(shí)驗(yàn)過預(yù)測(cè)sequence number，不是 ISN，企圖切斷一個(gè) TCP連接，感覺難度很大。建議要找到規(guī)律，不要盲目預(yù)測(cè)，這需要時(shí)間和耐心。一個(gè)現(xiàn)成的 bug足以讓你取得 root權(quán)限 . 98 BNCC 99 BNCC 進(jìn)程的內(nèi)存組織形式 ? 為了理解什么是堆棧緩沖區(qū) , 我們必須首先理解一個(gè)進(jìn)程是以什么組織形式在 內(nèi)存中存在的 .