IP欺騙技術介紹 
========================== 
即使是很好的實現了TCP/IP協議,由於它本身有著一些不安全的地方,從而可以對TCP/IP網絡進行攻擊 
。這些攻擊包括序列號欺騙,路由攻擊,源地址欺騙和授權欺騙。本文除了介紹IP欺騙攻擊方法外,還介紹怎樣防止這個攻擊
手段。 
上述攻擊是建立在攻擊者的計算機(包括路由)是連在INTERNET上的。這裡的攻擊方法是針對TCP/IP本身的缺陷的,而不是
某一具體的實現。 

實際上,IP 欺騙不是進攻的結果,而是進攻的手段。進攻實際上是信任關係的破壞。 


IP欺騙原理 


信任關係 
在Unix 領域中,信任關係能夠很容易得到。假如在主機A和B上各有一個帳戶,在使用當中會發現,在主機A上使用時需要輸入
在A上的相應帳戶,在主機B上使用時必須輸入在B上的帳戶,主機A和B把你當作兩個互不相關的用戶,顯然有些不便。為了
減少這種不便,可以在主機A和主機B中建立起兩個帳戶的相互信任關係。在主機A和主機B上你的home目錄中創建.rhosts 文
件。從主機A上,在你的home目錄中輸入'echo " B username " > ∼/.rhosts' ;從主機B上,在你的home目錄中輸入'echo " A 
username " >∼/.rhosts' 。至此,你能毫無阻礙地使用任何以r*開頭的遠程調用命令,如:rlogin,rcall,rsh等,而無口令驗證的
煩惱。這些命令將允許以地址為基礎的驗證,或者允許或者拒絕以IP地址為基礎的存取服務。 

這裡的信任關係是基於IP地址的。 


Rlogin 
Rlogin 是一個簡單的客戶/服務器程序,它利用TCP傳輸。Rlogin 允許用戶從一台主機登錄到另一台主機上,並且,如果目標主
機信任它,Rlogin 將允許在不應答口令的情況下使用目標主機上的資源。安全驗證完全是基於源主機的IP 地址。因此,根據以
上所舉的例子,我們能利用Rlogin 來從B遠程登錄到A,而且不會被提示輸入口令。 


TCP 序列號預測 
IP只是發送數據包,並且保證它的完整性。如果不能收到完整的IP數據包,IP會向源地址發送一個ICMP 錯誤信息,希望重新處
理。然而這個包也可能丟失。由於IP是非面向連接的,所以不保持任何連接狀態的信息。每個IP數據包被鬆散地發送出去,而
不關心前一個和後一個數據包的情況。由此看出,可以對IP堆棧進行修改,在源地址和目的地址中放入任意滿足要求的IP地
址,也就是說,提供虛假的IP地址。 

TCP提供可靠傳輸。可靠性是由數據包中的多位控制字來提供的,其中最重要的是數據序列和數據確認,分別用SYN和ACK來
表示。TCP 向每一個數據字節分配一個序列號,並且可以向已成功接收的、源地址所發送的數據包表示確認(目的地址ACK 所
確認的數據包序列是源地址的數據包序列,而不是自己發送的數據包序列)。ACK在確認的同時,還攜帶了下一個期望獲得的
數據序列號。顯然,TCP提供的這種可靠性相對於IP來說更難於愚弄。 


序列編號、確認和其它標誌信息 
由於TCP是基於可靠性的,它能夠提供處理數據包丟失,重複或是順序紊亂等不良情況的機制。實際上,通過向所傳送出的所
有字節分配序列編號,並且期待接收端對發送端所發出的數據提供收訖確認,TCP 就能保證可靠的傳送。接收端利用序列號確
保數據的先後順序,除去重複的數據包。TCP 序列編號可以看作是32位的計數器。它們從0至2^32-1 排列。每一個TCP連接
(由一定的標示位來表示)交換的數據都是順序編號的。在TCP數據包中定義序列號(SYN)的標示位位於數據段的前端。確
認位(ACK)對所接收的數據進行確認,並且指出下一個期待接收的數據序列號。 

TCP通過滑動窗口的概念來進行流量控制。設想在發送端發送數據的速度很快而接收端接收速度卻很慢的情況下,為了保證數
據不丟失,顯然需要進行流量控制,協調好通信雙方的工作節奏。所謂滑動窗口,可以理解成接收端所能提供的緩衝區大
小。TCP利用一個滑動的窗口來告訴發送端對它所發送的數據能提供多大的緩衝區。由於窗口由16位bit所定義,所以接收端
TCP 能最大提供65535個字節的緩衝。由此,可以利用窗口大小和第一個數據的序列號計算出最大可接收的數據序列號。 

其它TCP標示位有RST(連接復位,Reset the connection)、PSH(壓入功能,Push function)和FIN (發送者無數據,No more 
data from sender)。如果RST 被接收,TCP連接將立即斷開。RST 通常在接收端接收到一個與當前連接不相關的數據包時被發
送。有些時候,TCP模塊需要立即傳送數據而不能等整段都充滿時再傳。一個高層的進程將會觸發在TCP頭部的PSH標示,並且
告訴TCP模塊立即將所有排列好的數據發給數據接收端。FIN 表示一個應用連接結束。當接收端接收到FIN時,確認它,認為將
接收不到任何數據了。 

TCP序列號預測最早是由Morris對這一安全漏洞進行闡述的。他使用TCP序列號預測,即使是沒有從服務器得到任何響應, 來
產生一個TCP包序列。這使得他能欺騙在本地網絡上的主機。 

通常TCP連接建立一個包括3次握手的序列。客戶選擇和傳輸一個初始的序列號(SEQ標誌)ISN C,並設置標誌位SYN=1,告
訴服務器它需要建立連接。服務器確認這個傳輸,並發送它本身的序列號ISN S,並設置標誌位ACK,同時告知下一個期待獲得
的數據序列號是ISN=1。客戶再確認它。在這三次確認後,開始傳輸數據。整個過程如下所示:(C:Client Server) 
C---S: SYN(ISN C ) 
S---C: SYN(ISN S ) ,ACK(ISN C ) 
C---S: ACK(ISN S ) 
C---S:數據 或S---C:數據 

也就是說對一個會話,C必須得到ISN S確認。ISN S可能是一個隨機數。 

瞭解序數編號如何選擇初始序列號和如何根據時間變化是很重要的。似乎應該有這種情況,當主機啟動後序列編號初始化為
1,但實際上並非如此。初始序列號是由tcp_init函數確定的。ISN每秒增加128000,如果有連接出現,每次連接將把計數器的數
值增加64000。很顯然,這使得用於表示ISN的32位計數器在沒有連接的情況下每9.32 小時復位一次。之所以這樣,是因為這樣
有利於最大限度地減少舊有連接的信息干擾當前連接的機會。這裡運用了2MSL 等待時間的概念(不在本文討論的範圍之
內)。如果初始序列號是隨意選擇的,那麼不能保證現有序列號是不同於先前的。假設有這樣一種情況,在一個路由回路中的
數據包最終跳出了循環,回到了「舊有」的連接(此時其實是不同於前者的現有連接),顯然會發生對現有連接的干擾。 

假設一個入侵者X有一種方法,能預測ISN S。在這種情況下,他可能將下列序號送給主機T來模擬客戶的真正的ISN S: 
X---S: SYN(ISN X ) ,SRC = T 
S---T: SYN(ISN S ) ,ACK(ISN X ) 
X---S: ACK(ISN S ) ,SRC =T 

儘管消息S*T並不到X,但是X能知道它的內容,因此能發送數據。如果X要對一個連接實施攻擊,這個連接允許執行命令,那
麼另外的命令也能執行。 

那麼怎樣產生隨機的ISN?在Berkeley系統,最初的序列號變量由一個常數每秒加一產生,等到這個常數一半時,就開始一次連
接。這樣,如果開始了一個合法連接,並觀察到一個ISN S在用,便可以計算,有很高可信度,ISN S 用在下一個連接企圖。 

Morris 指出,回復消息 
S---TYN(ISN S ) ,ACK(ISN X ) 
事實上並不消失,真正主機將收到它,並試圖重新連接。這並不是一個嚴重的障礙。 

Morris發現,通過模仿一個在T上的端口,並向那個端口請求一個連接,他就能產生序列溢出,從而讓它看上去S*T消息丟失
了。另外一個方法,可以等待知道T關機或重新啟動。 

IP欺騙 
IP欺騙由若干步驟組成,這裡先簡要地描述一下,隨後再做詳盡地解釋 

。先做以下假定:首先,目標主機已經選定。其次,信任模式已被發現,並找到了一個被目標主機信任的主機。黑客為了進行
IP欺騙,進行以下工作:使得被信任的主機喪失工作能力,同時采樣目標主機發出的TCP 序列號,猜測出它的數據序列號。然
後,偽裝成被信任的主機,同時建立起與目標主機基於地址驗證的應用連接。如果成功,黑客可以使用一種簡單的命令放置一
個系統後門,以進行非授權****作。 


使被信任主機喪失工作能力 
一旦發現被信任的主機,為了偽裝成它,往往使其喪失工作能力。由於攻擊者將要代替真正的被信任主機,他必須確保真正被
信任的主機不能接收到任何有效的網絡數據,否則將會被揭穿。有許多方法可以做到這些。這裡介紹「TCP SYN 淹沒」。 

前面已經談到,建立TCP連接的第一步就是客戶端向服務器發送SYN請求。 通常,服務器將向客戶端發送SYN/ACK 信號。這裡
客戶端是由IP地址確定的。客戶端隨後向服務器發送ACK,然後數據傳輸就可以進行了。然而,TCP處理模塊有一個處理並行
SYN請求的最上限,它可以看作是存放多條連接的隊列長度。其中,連接數目包括了那些三步握手法沒有最終完成的連接,也
包括了那些已成功完成握手,但還沒有被應用程序所調用的連接。如果達到隊列的最上限,TCP將拒絕所有連接請求,直至處
理了部分連接鏈路。因此,這裡是有機可乘的。 

黑客往往向被進攻目標的TCP端口發送大量SYN請求,這些請求的源地址是使用一個合法的但是虛假的IP地址(可能使用該合
法IP地址的主機沒有開機)。而受攻擊的主機往往是會向該IP地址發送響應的,但可惜是杳無音信。與此同時IP包會通知受攻
擊主機的TCP:該主機不可到達,但不幸的是TCP會認為是一種暫時錯誤,並繼續嘗試連接(比如繼續對該IP地址進行路由,
發出SYN/ACK數據包等等),直至確信無法連接。 
當然,這時已流逝了大量的寶貴時間。值得注意的是,黑客們是不會使用那些正在工作的IP地址的,因為這樣一來,真正IP持
有者會收到SYN/ACK響應,而隨之發送RST給受攻擊主機,從而斷開連接。前面所描述的過程可以表示為如下模式。 
1 Z (X) ──-SYN ──-> B 
  Z (X) ──-SYN ──-> B 
  Z (X) ──-SYN ──-> B 

2 X <──-SYN/ACK── B 
X <──-SYN/ACK── B 

3 X <──- RST ──- B 
   
在時刻1時,攻擊主機把大批SYN 請求發送到受攻擊目標(在此階段,是那個被信任的主機),使其TCP隊列充滿。在時刻2
時,受攻擊目標向它所相信的IP地址(虛假的IP)作出SYN/ACK反應。在這一期間,受攻擊主機的TCP模塊會對所有新的請求
予以忽視。不同的TCP 保持連接隊列的長度是有所不同的。BSD 一般是5,Linux一般是6。使被信任主機失去處理新連接的能
力,所贏得的寶貴空隙時間就是黑客進行攻擊目標主機的時間,這使其偽裝成被信任主機成為可能。 


序列號取樣和猜測 
前面已經提到,要對目標主機進行攻擊,必須知道目標主機使用的數據包序列號。現在,我們來討論黑客是如何進行預測的。
他們先與被攻擊主機的一個端口(SMTP是一個很好的選擇)建立起正常的連接。通常,這個過程被重複若干次,並將目標主
機最後所發送的ISN存儲起來。黑客還需要估計他的主機與被信任主機之間的RTT時間(往返時間),這個RTT時間是通過多次
統計平均求出的。RTT 對於估計下一個ISN是非常重要的。前面已經提到每秒鐘ISN增加128000,每次連接增加64000。現在就
不難估計出ISN的大小了,它是128000乘以RTT的一半,如果此時目標主機剛剛建立過一個連接,那麼再加上一個64000。再估
計出ISN大小後,立即就開始進行攻擊。當黑客的虛假TCP數據包進入目標主機時,根據估計的準確度不同,會發生不同的情
況: 

如果估計的序列號是準確的,進入的數據將被放置在接收緩衝器以供使用。 
如果估計的序列號小於期待的數字,那麼將被放棄。 
如果估計的序列號大於期待的數字,並且在滑動窗口(前面講的緩衝)之內,那麼,該數據被認為是一個未來的數據,TCP模
塊將等待其它缺少的數據。 
如果估計的序列號大於期待的數字,並且不在滑動窗口(前面講的緩衝)之內,那麼,TCP將會放棄該數據並返回一個期望獲
得的數據序列號。下面將要提到,黑客的主機並不能收到返回的數據序列號。 


1 Z(B) --──SYN ──-> A 
2 B <──-SYN/ACK──- A 
3 Z(B) --──-ACK──-> A 
4 Z(B) ──---PSH──-> A 

攻擊者偽裝成被信任主機的IP 地址,此時,該主機仍然處在停頓狀態(前面講的喪失處理能力),然後向目標主機的513端口
(rlogin的端口號)發送連接請求,如時刻1所示。在時刻2,目標主機對連接請求作出反應,發送SYN/ACK數據包給被信任主機
(如果被信任主機處於正常工作狀態,那麼會認為是錯誤並立即向目標主機返回RST數據包,但此時它處於停頓狀態)。按照
計劃,被信任主機會拋棄該SYN/ACK數據包。然後在時刻3,攻擊者向目標主機發送ACK數據包,該ACK使用前面估計的序列
號加1(因為是在確認)。如果攻擊者估計正確的話,目標主機將會接收該ACK 。至此,連接正式建立起來了。在時刻4,將開
始數據傳輸。一般地,攻擊者將在系統中放置一個後門,以便侵入。經常會使用 ′cat ++ >> ∼/.rhosts′。之所以這樣是因
為,這個辦法迅速、簡單地為下一次侵入舖平了道路。 

一個和這種TCP序列號攻擊相似的方法,是使用NETSTAT服務。在這個攻擊中,入侵者模擬一個主機關機了。如果目標主機上
有NETSTAT,它能提供在另一端口上的必須的序列號。這取消了所有要猜測的需要。 

典型攻擊工具和攻擊過程:hunt 
  
防止的要點在於,這種攻擊的關鍵是相對粗糙的初始序列號變量在Berkeley系統中的改變速度 

。TCP協議需要這個變量每秒要增加25000次。Berkeley 使用的是相對比較慢的速度。但是,最重要的是,是改變間隔,而不是
速度。 

我們考慮一下一個計數器工作在250000Hz時是否有幫助。我們先忽略其他發生的連接,僅僅考慮這個計數器以固定的頻率改
變。 

為了知道當前的序列號,發送一個SYN包,收到一個回復: 
X---S: SYN(ISN X ) 
S---X: SYN(ISN S ) ,ACK(ISN X ) (1) 
第一個欺騙包,它觸發下一個序列號,能立即跟隨服務器對這個包的反應: 
X---S: SYN(ISN X ) ,SRC = T (2) 
序列號ISN S用於回應了: 
S---T: SYN(ISN S ) ,ACK(ISN X ) 
是由第一個消息和服務器接收的消息唯一決定。這個號碼是X和S的往返精確的時間。這樣,如果欺騙能精確地測量和產生這個
時間,即使是一個4-U時鐘都不能擊退這次攻擊。 


拋棄基於地址的信任策略 
阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗證。不允許r*類遠程調用命令的使用;刪除.rhosts 文件;清
空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段,如telnet、ssh、skey等等。 


進行包過濾 
如果您的網絡是通過路由器接入Internet 的,那麼可以利用您的路由器來進行包過濾。確信只有您的內部LAN可以使用信任關
係,而內部LAN上的主機對於LAN以外的主機要慎重處理。您的路由器可以幫助您過濾掉所有來自於外部而希望與內部建立連
接的請求。 


使用加密方法 
阻止IP欺騙的另一種明顯的方法是在通信時要求加密傳輸和驗證。當有多種手段並存時,可能加密方法最為適用。 


使用隨機化的初始序列號 
黑客攻擊得以成功實現的一個很重要的因素就是,序列號不是隨機選擇的或者隨機增加的。Bellovin 描述了一種彌補TCP不足
的方法,就是分割序列號空間。每一個連接將有自己獨立的序列號空間。序列號將仍然按照以前的方式增加,但是在這些序列
號空間中沒有明顯的關係。可以通過下列公式來說明: 

ISN =M+F(localhost,localport ,remotehost ,remoteport ) 
M:4微秒定時器 
F:加密HASH函數。 

F產生的序列號,對於外部來說是不應該能夠被計算出或者被猜測出的。Bellovin 建議F是一個結合連接標識符和特殊矢量(隨
機數,基於啟動時間的密碼)的HASH函數。