电子科技大学
课程名称: 网络协议实践
tcp ip协议简要分析论文实验名称: IP欺骗和TCP会话窃用
学 号: 201422260
姓 名:
指导老师: 李毅超
日 期: 2014年05月10日
一、实验目的
通过本实验,讨论IP协议中的漏洞,特别是对IP欺骗和TCP会话窃用进行分析。掌握IP欺骗方法的入侵和防范,了解TCP会话窃用过程。
二、实验内容
本实验包括几个从合法的客户端到服务器的telnet会话,每个telnet会话都被第三台机器通过IP欺骗和TCP会话窃用进行攻击。一些会话以FIN或RST位终止,另一些会话被劫持,攻击者的数据流入侵到这些会话的数据流中。另外,攻击者还捕获了用户的密码,并使用它从服务器获取文件。
三、实验原理
IP欺骗是指用一个伪造的源IP地址发送分组,这一般都是通过一种称为原始IP接口的方法实现的。由操作系统构造的IP分组都会以一个正确的源IP地址作为标志,但是应用程序可以使用原始IP接口的方法构造和发送他们伪造的分组。通过构造源IP和目的IP地址以及源端口和目的端口相匹配的IP分组,攻击者可以利用IP欺骗向TCP数据流中发送数据段。如果攻击者能够正确地设置数据,接收者就会接收TCP数据流当中的伪造分组。
接收者会像响应正常TCP数据流一样响应伪造的分组,但是,要真正地窃用会话还必须设置正确的序号。如果攻击者发送分组的序号太小,接收者就会简单地发送一个确认信息,说明它已经收到了这样的分组;如果攻击者发送的分组序号太大,接收者很可能会简单地发送一个数据段,告知可能会高速缓存这些非正常序列的数据,并重申它现在所希望接受的分组序号。但是,如果攻击者发送的是接收者所期望的序号的分组,就可以成功地实现“会话窃用”。
四、实验配置操作及实验数据的产生
1、实验配置
在本实验中,我们在未连接到因特网的私有网络中进行跟踪。本实验在得到了所有用户许可和已知的情况下进行。连接在网络中的两台台式机,一台作为合法的telnet和FTP服务器,另一台作为合法的客户端。在实验中,第三台电脑连接到网络中,并对这些合法主机进行攻击,实验配置如图1所示。
图1 实验配置
2、实验数据的产生
客户端到服务器的telnet会话被第三台机器通过IP欺骗和TCP会话窃用进行攻击,将所有的攻
击分组按照跟踪顺序保存在session_hijack.cap文件中,再将每个单独的连接分别保存在独立文件中:
telnet_hijacked.cap,telnet2_fin.cap,telnet3_rst.cap,
telnet4_hijacked.cap及attacker_ftp.cap。
五、实验数据分析及分析步骤
1、telnet1_hijacked.cap分析
打开telnet1_hijacked.cap文件(见图2),共有98125个分组,现进行简要分析:
图2 合法客户端和服务器之间的连接
在分组1和分组2中可以看到SYN和SYNACK标志。分组1是从IP地址为192.168.1.103的客户端发送到IP地址为192.168.1.101的服务器,分析Ethereal的帧首部可见客户端MAC地址为00:06:5b:d5:1e:e7,服务器的MAC地址为00:00:c0:29:36:e8,分组2 是服务器向客户端的响应。理论上来说这样的TCP连接总共应该有98125个分组,但是在过滤器中添加条件后只有98123个分组,丢失了两个分组,通过过滤器添加条件出这两个丢失的分组分别为223和243。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论