什麼是MOST攻擊
MOST(Man-on-the-Side)是一種類似中間人攻擊手法:中間人攻擊是完全控制一個網路節點, 而Man-on-the-side攻擊則是攻擊者監聽通信通道利用時間差注入新資料。 儘管如此, 有一些Man-on-the-Side攻擊手法, 如量子插入(QUANTUM INSERT), 仍然可以秘密發動攻擊, 並且不會觸發這些IDS特徵。
MOST原理
MOTS的攻擊原理為:該攻擊可行的前提是攻擊者可以監聽到通信的流量, 並且利用時間差優勢在正常的回應包返回之前插入精心構造的資料包, 同時利用協定本身的弱點達到欺騙用戶端的目的。
舉個例子:
1、用戶端發起一個請求, 由於攻擊者可以監聽用戶端, 因此這個請求也會到達攻擊者, 同時伺服器也會收到這個請求
2、攻擊者和伺服器都收到用戶端的請求, 於是他們都進行了應答
3、攻擊者的回應報文先到達用戶端, 因此用戶端接收攻擊者的應答
4、由於時間關係, 伺服器的回應報文此時也送到用戶端,
這裡面的關鍵有以下:
1、攻擊者能夠讀取流量資訊並插入新消息, 但是不會修改或刪除通信方發送的消息。
2、當受害者發出請求時, 攻擊者利用時間優勢讓自己發送的回應先於合法的回應到達受害者
3、TCP/IP協定本身不校驗消息的真實性, 只接受先回應的。
基於TCP的攻擊
我們學習過TCP/IP原理的兄弟們都應該瞭解:TCP是一種可靠的協議, 其可靠性主要依賴TCP確認號。 也就是說基於TCP的應用其可靠性一般嚴重依賴TCP做保證, 以打開freebuf首頁為例:
67號報文(SYN)的序號為2859590583, 148號報文(ACK+SYN)的確認號為上一個報文的seq+應用層長度+1, 這裡面上一個報文的序號為2859590583, 應用層長度為0, 所以其確認號為2859590584。 確認號是攻擊基於TCP應用的關鍵。
DOS
對基於TCP的應用做DOS攻擊可以在兩個層面做DOS, 一般情況下只需要發送單向的Reset包即可。
1、三次握手時
2、對用戶端某些特定請求
對三次握手時做DOS
若用戶端請求某個埠或某個特定服務時, 通過MOTS做DOS攻擊, 攻擊者只需要監聽到用戶端的SYN包的序號, 然後發送一個Reset+ACK包即可達到DOS的效果。 其對SYN包進行DOS的例子如下所示:
當用戶端收到攻擊者發送Reset+ACK報文以後, 用戶端會主動釋放連接, 此後當正常的伺服器的SYN+ACK報文過來以後, 由於用戶端已經釋放了連接, 因此用戶端一般情況下會忽略這個SYN+ACK報文, 不做任何處理。
構造這種攻擊報文需要注意以下細節:
1、用戶端的IP、源埠、序號
2、伺服器的IP、目標埠
3、IP和TCP校驗和計算, 具體計算方法大家google一下, 在這裡不做詳細描述。 在這裡說一下:IP校驗和僅校驗IP頭部;TCP校驗和是必選的, 其是對TCP頭部和資料的校驗;UDP的校驗和是可選的。
4、攻擊報文的源IP為伺服器的IP、源埠為伺服器的埠;目標IP為用戶端的IP、目標埠為用戶端的埠;ACK=用戶端SYN請求報文序號+1,並且計算好相應的IP和TCP的校驗和,避免用戶端校驗時發現錯誤,而將該報文丟棄。
對用戶端某些特定請求進行DOS
這個場景是這樣的:攻擊者一直監聽用戶端的請求,並且前期做好相應的策略,一旦用戶端請求某些內容時,攻擊者主動發送Reset+ack報文釋放連接。這裡一般情況下可以對用戶端的請求進行異常釋放,也可以對伺服器進行釋放;考慮的比較深入的話可以雙向發送reset報文來雙向釋放。技術細節可參考上文。
TCP劫持
基於MOTS的劫持只要TCP的上層為明文傳輸就存在被攻擊的可能。基於MOTS的TCP劫持一般情況下都是劫持基於TCP的上層應用,如HTTP劫持。
大家可能對HTTP劫持瞭解的比較多,因為大家或多或少都遇到過打開網頁的時候運營商在正常頁面插入廣告或者尾巴的情況,這裡面運營商用的比較多的技術是HTTP劫持,當然除了HTTP劫持外還有其他的技術,如DNS污染等。忽略中間的設備,HTTP劫持如下所示:
在這裡說明一下HTTP劫持的相關原理和實現細節:
1、攻擊者一直需要監聽用戶端的請求
2、當有請求相關頁面時,攻擊者利用時間差優勢進行應答,如用戶端訪問www.freebuf.com時,攻擊者立即進行應答,此應答報文為攻擊者精心構造的報文,其效果可以用來進行推送廣告,也可以進行掛馬。
3、由於攻擊者的應答報文比伺服器的應答報文早到,因此用戶端接收一攻擊者的報文,丟棄了伺服器的應答報文。
技術細節:
1、攻擊者需要獲取用戶端的IP、源埠、序號和伺服器的IP、目標埠
2、攻擊報文的源IP為伺服器的IP、源埠為伺服器的埠;目標IP為用戶端的IP、目標埠為用戶端的埠;ACK=用戶端SYN請求報文序號+應用層長度+1,並且計算好相應的IP和TCP的校驗和,避免用戶端校驗時發現錯誤,而將該報文丟棄。
3、攻擊者的報文一定要比伺服器正常的回應報文早到。
檢測MOTS攻擊
Martin Bruse開發了一款名為qisniff的軟體,可以用來自動檢測含有不同資料的重複TCP段。下面是利用qisniff分析mots-with-fin.pcap檔時的一個截圖:
在上面的命令輸出中,不僅可以看到被注入的內容,還有來自實際Web伺服器的合法內容。實際上,qisniff所做的工作,基本就是重新組織資料流程,並比將新收到的TCP段中的應用層資料與之前收到的TCP段重點資料進行比較。這是一種通用的檢測方法,可以檢測任何形式的TCP資料包注入,不管是量子插入攻擊中的包注入,還是Airpwn注入或其他新興的資料包注入攻擊,都非常有效。
SSL證書是HTTP明文協定升級HTTPS加密協定的重要管道,是網路安全傳輸的加密到通道。關於更多SSL證書的資訊,請關注GDCA(數安時代)。GDCA致力於網路資訊安全,已通過WebTrust 的國際認證,是全球可信任的證書簽發機構。GDCA專業技術團隊將根據使用者具體情況為其提供最優的產品選擇建議,並針對不同的應用或伺服器要求提供專業對應的HTTPS解決方案。
文章轉載:https://www.trustauth.cn/wiki/19231.html
4、攻擊報文的源IP為伺服器的IP、源埠為伺服器的埠;目標IP為用戶端的IP、目標埠為用戶端的埠;ACK=用戶端SYN請求報文序號+1,並且計算好相應的IP和TCP的校驗和,避免用戶端校驗時發現錯誤,而將該報文丟棄。
對用戶端某些特定請求進行DOS
這個場景是這樣的:攻擊者一直監聽用戶端的請求,並且前期做好相應的策略,一旦用戶端請求某些內容時,攻擊者主動發送Reset+ack報文釋放連接。這裡一般情況下可以對用戶端的請求進行異常釋放,也可以對伺服器進行釋放;考慮的比較深入的話可以雙向發送reset報文來雙向釋放。技術細節可參考上文。
TCP劫持
基於MOTS的劫持只要TCP的上層為明文傳輸就存在被攻擊的可能。基於MOTS的TCP劫持一般情況下都是劫持基於TCP的上層應用,如HTTP劫持。
大家可能對HTTP劫持瞭解的比較多,因為大家或多或少都遇到過打開網頁的時候運營商在正常頁面插入廣告或者尾巴的情況,這裡面運營商用的比較多的技術是HTTP劫持,當然除了HTTP劫持外還有其他的技術,如DNS污染等。忽略中間的設備,HTTP劫持如下所示:
在這裡說明一下HTTP劫持的相關原理和實現細節:
1、攻擊者一直需要監聽用戶端的請求
2、當有請求相關頁面時,攻擊者利用時間差優勢進行應答,如用戶端訪問www.freebuf.com時,攻擊者立即進行應答,此應答報文為攻擊者精心構造的報文,其效果可以用來進行推送廣告,也可以進行掛馬。
3、由於攻擊者的應答報文比伺服器的應答報文早到,因此用戶端接收一攻擊者的報文,丟棄了伺服器的應答報文。
技術細節:
1、攻擊者需要獲取用戶端的IP、源埠、序號和伺服器的IP、目標埠
2、攻擊報文的源IP為伺服器的IP、源埠為伺服器的埠;目標IP為用戶端的IP、目標埠為用戶端的埠;ACK=用戶端SYN請求報文序號+應用層長度+1,並且計算好相應的IP和TCP的校驗和,避免用戶端校驗時發現錯誤,而將該報文丟棄。
3、攻擊者的報文一定要比伺服器正常的回應報文早到。
檢測MOTS攻擊
Martin Bruse開發了一款名為qisniff的軟體,可以用來自動檢測含有不同資料的重複TCP段。下面是利用qisniff分析mots-with-fin.pcap檔時的一個截圖:
在上面的命令輸出中,不僅可以看到被注入的內容,還有來自實際Web伺服器的合法內容。實際上,qisniff所做的工作,基本就是重新組織資料流程,並比將新收到的TCP段中的應用層資料與之前收到的TCP段重點資料進行比較。這是一種通用的檢測方法,可以檢測任何形式的TCP資料包注入,不管是量子插入攻擊中的包注入,還是Airpwn注入或其他新興的資料包注入攻擊,都非常有效。
SSL證書是HTTP明文協定升級HTTPS加密協定的重要管道,是網路安全傳輸的加密到通道。關於更多SSL證書的資訊,請關注GDCA(數安時代)。GDCA致力於網路資訊安全,已通過WebTrust 的國際認證,是全球可信任的證書簽發機構。GDCA專業技術團隊將根據使用者具體情況為其提供最優的產品選擇建議,並針對不同的應用或伺服器要求提供專業對應的HTTPS解決方案。
文章轉載:https://www.trustauth.cn/wiki/19231.html