劫持不可靠路由会话劫持攻击分析与检测

不可靠路由会话劫持攻击分析与检测3

庞 胜,陈常嘉

(北京交通大学电子信息工程学院,北京100044)

摘 要:为了检测会话劫持,通过分析在路由节点上进行会话劫持的网络数据的R TT特征,用N S(ne two rk simu2lation)仿真了会话劫持过程,最后提出CRD(compare RTT detecting)方法,能够有效地检测到会话劫持攻击。

关键词:会话劫持;网络攻击;路由; RTT

中图分类号: TP30116 文献标志码: A 文章编号: 100123695(2009)0923506202doi: 10 3969/j issn 100123695 2009 09 087

Session hijack analysis and detecting in untrusted route

PANG Sheng, CHEN Chang2jia

(School of Electric&Inform ation Engineering, Beijing Jiaotong University, B eijing 100044, China)

Abstract: Thispaper described the behavior of session hijack, simulated the hijack process and analysed the RTTs of theprocess according to the results of simulation, and come up with CRD to detect session hijack

Key words: session hijack; network attack; route; RTT(round trip time)

引言 会话劫持分析

方式结束一些特殊的连接[1 ] ,从中可以看出中国政府和一些 有路由器资源的话,他们就可以大范围地进行会话劫持攻击。组织能够获取路由上的关键路由节点资源。 本文分析一种常用的会话劫持攻击。会话劫持利用TCP/

会话劫持利用了TCP/IP工作原理来设计攻击[2] 。 TCP IP本身机制进行网络攻击。简单地讲,攻击者在攻击目标和使用端到端的连接,即TCP用(源IP,源TCP端口号,目的IP, 其所信任的主机会话的过程中,通过冒充主机的IP地址估算目的TCP端号)来惟一标志每一条已经建立连接的TCP链 出下一个序列号完成与攻击目标的三次握手过程[5] ,从而劫路。另外,TCP在进行数据传输时,TCP报文首部的两个字段 持整个会话进行攻击[2] 。图1为会话劫持的简单物理连接序号 图,C为客户机,S为服务器,R是C和S链路所经过的路由( seq)和确认序号(ack seq)非常重要,它们是与所携带TCP数 中

它所要发出的报文中的seq值应等于它刚收到的报文中的 TCP包交换过程。C向S发送H TTP请求下载文件,路由节ack seq的值;它所要发送报文中ack seq的值应为它所收到报 点

文中seq的值加上该报文中所发送的TCP净荷的长度。 R为C和S所建立连接的中间节点,A为监听路由节点R并实

方图的形式比较两种R TT的统计特征获取它们的最小值的差 时地将下载的文件以Sa的身份转发给C,当然在这个过程中值特征来判断是否遭到攻击。 A

收稿日期: 2008212207;修回日期: 2009201220 基金项目:国家“973”计划资助项目(2007CB307101 ) ;国家自然科学基金资助项目(60772043, 60672069)

作者简介:庞胜(19772) ,男,浙江天台县人,硕士,主要研究方向为P2P网络安全(pangsheng_bjtu@yahoo com cn) ;陈常嘉(19492) ,男,北京人,教授,博士,主要研究方向为P2P流媒体网络

第9期 庞 胜,等:不可靠路由会话劫持攻击分析与检测 ·3507·

已经将木马或者病毒感染到了C要下载的文件中。在图2中 6、8的(b)为R TT直方图,X轴为R TT值,Y轴为R TT值的忽略了从A到路由器R的延迟是为了画图方便也能够更容易 统

地理解会话劫持过程。

会话劫持检测方法 的。但是也能看出两者的最小值之间的差近似于由攻击者进

节点1为劫持攻击端A,节点2为路由器R,节点3为服务端 结束语

S。节点2与3之间带宽为1 bps。在节点2中作路由监控,由

节点1会话劫持攻击。在节点2和3之间,引入了exp oo开关 由于政府和一些组织利用路由器资源设置防火墙[1 ] ,他信源[7]来仿真实际网络流量。 们同样也可以利用这些资源来作会话劫持攻击。本文提出一