前言

　　通常，大家所说的入侵，都是针对一台主机，在获得管理员权限后，就很是得意;其实，真正的入侵是占领整个内部网络。针对内部网络的攻击方法比较多，但比较有效的方法非ARP欺骗、DNS欺骗莫属了。但是，不管使用什么技术，无非都是抓取目标的数据包，然后分析出敏感数据。如果目标内部采用的是共享式网络(采用HUB集线器连网)，那只需要把网卡设置为“混杂模式”，挂上嗅探器(Sniffer)，就能简听到你想得到的数据。如果是交换式网络(采用交换机连网)，这样方法就行不通了，因为对于嗅探器，有三种网络环境是无法跨越的：“网桥”、“交换机”、“路由器”。可惜，对于ARP欺骗，交换式网络还是无能为力，如果我们借助ARP欺骗，在实现更高一层的“入侵手段”，从而真正的控制内部网络。这也就是本文要叙述的会话劫持攻击……

　　一、会话劫持原理

　　1、什么是会话劫持

　　在现实生活中，比如你去市场买菜，在交完钱后你要求先去干一些别的事情，稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走，卖菜的人会把菜给陌生人吗?!当然，这只是一个比喻，但这恰恰就是会话劫持的喻意。所谓会话，就是两台主机之间的一次通讯。例如你Telnet到某台主机，这就是一次Telnet会话;你浏览某个网站，这就是一次HTTP会话。而会话劫持(Session Hijack)，就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行简听，甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型：1)中间人攻击(Man In The Middle，简称MITM)，2)注射式攻击(Injection);并且还可以把会话劫持攻击分为两种形式：1)被动劫持，2)主动劫持;被动劫持实际上就是在后台监视双方会话的数据流，丛中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”(FreeBSD下的Shadow文件)。

　　MITM攻击简介

　　这也就是我们常说的“中间人攻击”，在网上讨论比较多的就是SMB会话劫持，这也是一个典型的中间人攻击。要想正确的实施中间人攻击，攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。关于ARP欺骗黑客防线介绍的比较多，网上的资料也比较多，我就不在多说了，我只简单谈谈DNS欺骗。DNS(Domain Name System)，即域名服务器，我们几乎天天都要用到。对于正常的DNS请求，例如在浏览器输入www.hacker.com.cn，然后系统先查看Hosts文件，如果有相对应的IP，就使用这个IP地址访问网站(其实，利用Hosts文件就可以实现DNS欺骗);如果没有，才去请求DNS服务器;DNS服务器在接收到请求之后，解析出其对应的IP地址，返回给我本地，最后你就可以登陆到黑客防线的网站。而DNS欺骗则是，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了恶意网页，可你却在不知不觉中已经被攻击者下了“套”……DNS欺骗也可以在广域网中进行，比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗，还是DNS欺骗，中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一个透明代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密协议来实现。

　　注射式攻击简介

　　这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1)IP欺骗，2)预测TCP序列号。如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。对于IP欺骗，有两种情况需要用到：1)隐藏自己的IP地址;2)利用两台机器之间的信任关系实施入侵。在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限;在Windows平台上，不能使用Winsock，需要使用Winpacp(也可以使用Libnet)。例如在Linux系统，首先打开一个Raw Socket(原始套接字)，然后自己编写IP头及其他数据。可以参考下面的实例代码：

　　sockfd = socket(AF_INET, SOCK_RAW, 255);

　　setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));

　　struct ip *ip;

　　struct tcphdr *tcp;

　　struct pseudohdr pseudoheader;

　　ip->ip_src.s_addr = xxx;

　　pseudoheader.saddr.s_addr = ip->ip_src.s_addr;

　　tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));

　　sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));

　　对于基于TCP协议的注射式会话劫持，攻击者应先采用嗅探技术对目标进行简听，然后从简听到的信息中构造出正确的序列号，如果不这样，你就必须先猜测目标的ISN(初始序列号)，这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢?请继续往下看。

2、TCP会话劫持

　　本文主要叙述基于TCP协议的会话劫持。如果劫持一些不可靠的协议，那将轻而易举，因为它们没有提供一些认证措施;而TCP协议被欲为是可靠的传输协议，所以要重点讨论它。