12、会话劫持：原理、工具与防范策略

会话劫持：原理、工具与防范策略

1. 会话劫持概述

会话劫持是指黑客在用户成功与服务器进行身份验证后，控制该用户会话的攻击方式。黑客通过识别客户端与服务器通信中的当前会话 ID，进而接管客户端的会话。这种攻击能够实现，依赖于可以进行序列号预测的工具。

1.1 欺骗攻击与劫持攻击的区别

欺骗攻击和劫持攻击有所不同。在欺骗攻击中，黑客会进行嗅探，监听网络中从发送方到接收方的流量，然后利用收集到的信息伪装成合法系统的地址。而劫持攻击则是主动使另一个用户离线，以实施攻击。攻击者依靠合法用户建立连接并完成身份验证，之后接管会话，使合法用户的会话断开。

1.2 会话劫持的步骤

会话劫持通常包括以下三个步骤来实施攻击：
1. 跟踪会话 ：黑客识别出一个开放的会话，并预测下一个数据包的序列号。
2. 使连接不同步 ：黑客向合法用户的系统发送 TCP 重置（RST）或结束（FIN）数据包，导致用户关闭其会话。
3. 注入攻击者的数据包 ：黑客向服务器发送带有预测序列号的 TCP 数据包，服务器会将其视为合法用户的下一个数据包而接受。

1.3 DoS 扫描工具

以下是一些常见的 DoS 扫描工具：
| 工具名称 | 功能描述 |
| ---- | ---- |
| Find_ddos | 扫描可能包含 DDoS 程序的本地系统，能检测几种已知的 DoS 攻击工具。 |
| SARA | 通过检查网络服务收集有关远程主机和网络的信