欺骗( IP spoofing )和hijacking攻击
这儿是我
些技术资料
希望它能帮助你明白这类攻击是如何回事
这是两种截然区别攻击手段IP 源地址欺骗和 TCP 序列序列预报是为了获得那些使用 X terminal作为无盘工作站
使用权当root 权限被获得时个已知到其他系统连接就会被“可加载内核 STREAMS 模块”或 hijacked
这次攻击中数据记录都是由 tcpdump 来完成兴趣很明确(也很短!)有些Ri期被遗漏了我特别推荐 Steve Bellovin 有关“IP spoofing”文章他对 TCP 握手描述非常详细也提出了怎样阻止这种攻击手段
我设置是这样:
SPARC 工作站
x-terminal = 运行Solaris 1 提供 "X terminal"服务
目 标 = 攻击显然目标IP spoofing 攻击是从 14:09:32 PST _disibledevent=>数据包
记录):
这样
探测是为了查看在这些系统的中有什么信赖关系借此可以发动 IP spoofing 攻击从 showmount 和 rpcinfo 源端口可以看出是toad.com root
6分钟的后 我们收到了大量 TCP SYN 请求(TCP 连接请求)是来自 130.92.6.97 到服务器上 513 (login) 端口这些 SYN 请求目就是堵塞513端口连接队列使其成为半开连接状态因此无法接受其它新连接请求详细些就是它是不会对那些SYN-ACK 请求发送TCP RST回应
513 端口是个“特权”(< IPPORT_RESERVED)端口server.login 可以被假定源地址安全使用是在UNIX上"r-服务" (rsh,rlogin)进行地址spoofing攻击130.92.6.97 明显是没有反应地址(对收到数据包):
注意每个x-terminal送出
SYN-ACK 数据包通过 x-terminal 有个数列并且都比前个来大
我们看到个伪造 SYN (连接请求) 是从 server.login 送到 x-terminal.shell 设想服务器如果被x-terminal所信任那么x-terminal 就可以利用了(甚至些伪装服务器) 请求了
x-terminal 会对服务器回复个 SYN-ACK只有 ACK 过才可以打开连接服务器会丢失送到 server.login 数据包所以ACK 也要伪造
通常情况下 SYN-ACK 数列需要用来生成有效 ACK虽然这样攻击者可以预知序列包含在 SYN-ACK 中基于已知x-terminal tcp 序列生成规律下面还可以用 ACK 来对付那些没有看见 SYN-ACK:
现在被 spoofing
机器现在只有种思路方法连接到x-terminal.shell服务器就是 server.login它可以维护连接 connection 和 send 请求可以通过完全ACK 掉应该像下面这样:
相当于:
从第
个 spoofed 数据包共用了:< 16 秒时间欺骗;连接已经被终止了:
我们现在看到 RST 释放了在 server.login 上
队列中那些半连接和空连接:
server.login 又可以接受连接请求了
通过IP地址spoofing 成果获得root权限后个叫做"tap-201"内核模块被x-terminal 编译和安装:
这是
个出现内核 STREAMS 模块可以防到已有 STREAMS 堆栈和控制 tty device 上面用户 篇文章: 抓住只“肥”灰鸽子篇文章: 入侵 6合彩--扩散性思维利用
最新评论