建站
咨詢
售后
建站咨詢
新聞中心
本篇內(nèi)容介紹了“TCP重置攻擊的工作原理是什么”的有關(guān)知識,在實(shí)際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!
我們提供的服務(wù)有:網(wǎng)站建設(shè)、做網(wǎng)站、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、永吉ssl等。為上千余家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的永吉網(wǎng)站制作公司
TCP 重置攻擊是使用一個(gè)單一的數(shù)據(jù)包來執(zhí)行的,只有幾個(gè)字節(jié)大小。攻擊者制作并發(fā)送一個(gè)偽造的 TCP 重置包來干擾用戶和網(wǎng)站的連接,欺騙通信雙方終止
TCP連接。我們偉大的 xx 長城便運(yùn)用了這個(gè)技術(shù)來進(jìn)行 TCP 關(guān)鍵字阻斷。
理解 TCP 重置攻擊并不需要具備深厚的網(wǎng)絡(luò)知識功底,只需要一臺筆記本就可以對自己進(jìn)行模擬攻擊。本文將會帶你了解 TCP 重置攻擊的原理,同時(shí)會幫助你理解很多關(guān)于 TCP 協(xié)議的特性。本文主要內(nèi)容:
回顧 TCP 協(xié)議的基礎(chǔ)知識
了解 TCP 重置攻擊的原理
使用一個(gè)簡單的
Python腳本來模擬攻擊
下面開始分析 TCP 重置攻擊原理。
1. 偉大的 xx 長城是如何利用 TCP 重置攻擊的?
這一段略過,原因你懂得,感興趣的請直接看原文。
2. TCP 重置攻擊的工作原理
在 TCP 重置攻擊中,攻擊者通過向通信的一方或雙方發(fā)送偽造的消息,告訴它們立即斷開連接,從而使通信雙方連接中斷。正常情況下,如果客戶端收發(fā)現(xiàn)到達(dá)的報(bào)文段對于相關(guān)連接而言是不正確的,TCP 就會發(fā)送一個(gè)重置報(bào)文段,從而導(dǎo)致 TCP 連接的快速拆卸。
TCP 重置攻擊利用這一機(jī)制,通過向通信方發(fā)送偽造的重置報(bào)文段,欺騙通信雙方提前關(guān)閉 TCP 連接。如果偽造的重置報(bào)文段完全逼真,接收者就會認(rèn)為它有效,并關(guān)閉 TCP 連接,防止連接被用來進(jìn)一步交換信息。服務(wù)端可以創(chuàng)建一個(gè)新的 TCP 連接來恢復(fù)通信,但仍然可能會被攻擊者重置連接。萬幸的是,攻擊者需要一定的時(shí)間來組裝和發(fā)送偽造的報(bào)文,所以一般情況下這種攻擊只對長連接有殺傷力,對于短連接而言,你還沒攻擊呢,人家已經(jīng)完成了信息交換。
從某種意義上來說,偽造 TCP 報(bào)文段是很容易的,因?yàn)?TCP/IP 都沒有任何內(nèi)置的方法來驗(yàn)證服務(wù)端的身份。有些特殊的 IP 擴(kuò)展協(xié)議(例如 IPSec)確實(shí)可以驗(yàn)證身份,但并沒有被廣泛使用。客戶端只能接收報(bào)文段,并在可能的情況下使用更高級別的協(xié)議(如 TLS)來驗(yàn)證服務(wù)端的身份。但這個(gè)方法對 TCP 重置包并不適用,因?yàn)?TCP 重置包是 TCP 協(xié)議本身的一部分,無法使用更高級別的協(xié)議進(jìn)行驗(yàn)證。
盡管偽造 TCP 報(bào)文段很容易,但偽造正確的 TCP 重置報(bào)文段并完成攻擊卻并不容易。為了理解這項(xiàng)工作的難度,我們需要先了解一下 TCP 協(xié)議的工作原理。
3. TCP 協(xié)議工作原理
TCP 協(xié)議的目標(biāo)是向客戶端發(fā)送一份完整的數(shù)據(jù)副本。例如,如果我的服務(wù)器通過 TCP 連接向你的計(jì)算機(jī)發(fā)送我的網(wǎng)站的 HTML,你的計(jì)算機(jī)的 TCP 協(xié)議棧應(yīng)該能夠以我發(fā)送的形式和順序輸出 HTML。
然而現(xiàn)實(shí)生活中我的 HTML 內(nèi)容并不是按順序發(fā)送的,它被分解成許多小塊(稱為 TCP 分組),每個(gè)小塊在網(wǎng)絡(luò)上被單獨(dú)發(fā)送,并被重新組合成原來發(fā)送的順序。這種重新組合后的輸出被稱為 TCP 字節(jié)流。
將分組重建成字節(jié)流并不簡單,因?yàn)榫W(wǎng)絡(luò)是不可靠的。TCP分組可能會被丟棄,可能不按發(fā)送的順序到達(dá)客戶端,也可能會被重復(fù)發(fā)送、報(bào)文損壞等等。因此,TCP 協(xié)議的職責(zé)是在不可靠的網(wǎng)絡(luò)上提供可靠的通信。TCP 通過要求連接雙方保持密切聯(lián)系,持續(xù)報(bào)告它們接收到了哪些數(shù)據(jù)來實(shí)現(xiàn)可靠通信,這樣服務(wù)端就能夠推斷出客戶端尚未接收到的數(shù)據(jù),并重新發(fā)送丟失的數(shù)據(jù)。
為了進(jìn)一步理解這個(gè)過程,我們需要了解服務(wù)端和客戶端是如何使用序列號(sequence numbers)來標(biāo)記和跟蹤數(shù)據(jù)的。
TCP 序列號
TCP 協(xié)議的通信雙方, 都必須維護(hù)一個(gè)序列號(sequence numbers),對于客戶端來說,它會使用服務(wù)端的序列號來將接收到的數(shù)據(jù)按照發(fā)送的順序排列。
當(dāng)通信雙方建立 TCP 連接時(shí),客戶端與服務(wù)端都會向?qū)Ψ桨l(fā)送一個(gè)隨機(jī)的初始序列號,這個(gè)序列號標(biāo)識了其發(fā)送數(shù)據(jù)流的第一個(gè)字節(jié)。TCP 報(bào)文段包含了 TCP 頭部,它是附加在報(bào)文段開頭的元數(shù)據(jù),序列號就包含在 TCP 頭部中。由于 TCP 連接是雙向的,雙方都可以發(fā)送數(shù)據(jù),所以 TCP 連接的雙方既是發(fā)送方也是接收方,每一方都必須分配和管理自己的序列號。
確認(rèn)應(yīng)答
當(dāng)接收方收到一個(gè) TCP 報(bào)文段時(shí),它會向發(fā)送方返回一個(gè) ACK 應(yīng)答報(bào)文(同時(shí)將 TCP 頭部的 ACK 標(biāo)志位置 1),這個(gè) ACK 號就表示接收方期望從發(fā)送方收到的下一個(gè)字節(jié)的序列號。發(fā)送方利用這個(gè)信息來推斷接收方已經(jīng)成功接收到了序列號為 ACK 之前的所有字節(jié)。
TCP 頭部格式如下圖所示:
一個(gè)確認(rèn)應(yīng)答報(bào)文的 TCP 頭部必須包含兩個(gè)部分:
ACK 標(biāo)志位置位 1
包含確認(rèn)應(yīng)答號(ACK number)
TCP 總共有 6 個(gè)標(biāo)志位,下文就會講到其中的 RST 標(biāo)志位。
TCP 頭部包含了多個(gè)選項(xiàng),其中有一個(gè)選擇確認(rèn)選項(xiàng)(
SACK),如果使用該選項(xiàng),那么當(dāng)接收方收到了某個(gè)范圍內(nèi)的字節(jié)而不是連續(xù)的字節(jié)時(shí),就會發(fā)送SACK告知對方。例如,只收到了字節(jié)1000~3000和4000~5000,但沒有收到3001~3999。為了簡單起見,下文討論 TCP 重置攻擊時(shí)將忽略選擇確認(rèn)選項(xiàng)。
如果發(fā)送方發(fā)送了報(bào)文后在一段時(shí)間內(nèi)沒有收到 ACK,就認(rèn)為報(bào)文丟失了,并重新發(fā)送報(bào)文,用相同的序列號標(biāo)記。這就意味著,如果接收方收到了重復(fù)的報(bào)文,可以使用序列號來判斷是否見過這個(gè)報(bào)文,如果見過則直接丟棄。網(wǎng)絡(luò)環(huán)境是錯綜復(fù)雜的,往往并不是如我們期望的一樣,先發(fā)送的數(shù)據(jù)包,就先到達(dá)目標(biāo)主機(jī),反而它很騷,可能會由于網(wǎng)絡(luò)擁堵等亂七八糟的原因,會使得舊的數(shù)據(jù)包,先到達(dá)目標(biāo)主機(jī)。一般分兩種情況:
發(fā)送的數(shù)據(jù)包丟失了
發(fā)送的數(shù)據(jù)包被成功接收,但返回的 ACK 丟失了
這兩種情況對發(fā)送方來說其實(shí)是一樣的,發(fā)送方并不能區(qū)分是哪種情況,所以只能重新發(fā)送數(shù)據(jù)包。
只要不頻繁重復(fù)發(fā)送數(shù)據(jù),額外的開銷基本可以忽略。
為偽造的重置包選擇序列號
構(gòu)建偽造的重置包時(shí)需要選擇一個(gè)序列號。接收方可以接收序列號不按順序排列的報(bào)文段,但這種容忍是有限度的,如果報(bào)文段的序列號與它期望的相差甚遠(yuǎn),就會被直接丟棄。
因此,一個(gè)成功的 TCP 重置攻擊需要構(gòu)建一個(gè)可信的序列號。但什么才是可信的序列號呢?對于大多數(shù)報(bào)文段(除了重置包,即 RST 包)來說,序列號是由接收方的接收窗口大小決定的。
TCP 滑動窗口大小
想象一下,將一臺上世紀(jì) 90 年代初的古老計(jì)算機(jī),連接到現(xiàn)代千兆光纖網(wǎng)絡(luò)。閃電般快速的網(wǎng)絡(luò)可以以令人瞠目結(jié)舌的速度向這臺古老的計(jì)算機(jī)傳送數(shù)據(jù),速度遠(yuǎn)遠(yuǎn)超過該計(jì)算機(jī)的處理能力。但并沒有什么卵用,因?yàn)橹挥薪邮辗浇邮詹⑻幚砹藞?bào)文,才能認(rèn)為這個(gè)報(bào)文已經(jīng)被收到了。
TCP 協(xié)議棧有一個(gè)緩沖區(qū),新到達(dá)的數(shù)據(jù)被放到緩沖區(qū)中等待處理。但緩沖區(qū)的大小是有限的,如果接收方的處理速度跟不上發(fā)送方的發(fā)送速度,緩沖區(qū)就會被填滿。一旦緩沖區(qū)被填滿,多余的數(shù)據(jù)就會被直接丟棄,也不會返回 ACK。因此一旦接收方的緩沖區(qū)有了空位,發(fā)送方必須重新發(fā)送數(shù)據(jù)。也就是說,如果接收方的處理速度跟不上,發(fā)送方的發(fā)送速度再快也沒用。
緩沖區(qū)到底有多大?發(fā)送方如何才能知道什么時(shí)候可以一次發(fā)送更多的數(shù)據(jù),什么時(shí)候該一次發(fā)送很少的數(shù)據(jù)?這就要靠 TCP 滑動窗口了。接收方的滑動窗口大小是指發(fā)送方無需等待確認(rèn)應(yīng)答,可以持續(xù)發(fā)送數(shù)據(jù)的最大值。假設(shè)接收方的通告窗口大小為 100,000 字節(jié),那么發(fā)送方可以無需等待確認(rèn)應(yīng)答,持續(xù)發(fā)送 100,000 個(gè)字節(jié)。再假設(shè)當(dāng)發(fā)送方發(fā)送第 100,000 個(gè)字節(jié)時(shí),接收方已經(jīng)發(fā)送了前 10,000 個(gè)字節(jié)的 ACK,這就意味著窗口中還有 90,000 個(gè)字節(jié)未被確認(rèn),發(fā)送方還可以再持續(xù)發(fā)送 10,000 個(gè)字節(jié)。如果發(fā)送了 10,000 個(gè)字節(jié)的過程中沒有收到任何的 ACK,那么接收方的滑動窗口將被填滿,發(fā)送方將停止發(fā)送新數(shù)據(jù)(可以繼續(xù)發(fā)送之前丟失的數(shù)據(jù)),直到收到相關(guān)的 ACK 才可以繼續(xù)發(fā)送。
TCP 連接雙方會在建立連接的初始握手階段通告對方自己窗口的大小,后續(xù)還可以動態(tài)調(diào)整。TCP 緩沖區(qū)大的服務(wù)器可能會聲明一個(gè)大窗口,以便最大限度提高吞吐量。TCP 緩沖區(qū)小的服務(wù)器可能會被迫聲明一個(gè)小窗口,這樣做會犧牲一定的吞吐量,但為了防止接收方的 TCP 緩沖區(qū)溢出,還是很有必要的。
換個(gè)角度來看,TCP 滑動窗口大小是對網(wǎng)絡(luò)中可能存在的未確認(rèn)數(shù)據(jù)量的硬性限制。我們可以用它來計(jì)算發(fā)送方在某一特定時(shí)間內(nèi)可能發(fā)送的最大序列號(max_seq_no):
max_seq_no = max_acked_seq_no + window_size
其中 max_acked_seq_no 是接收方發(fā)送的最大 ACK 號,它表示發(fā)送方知道接收方已經(jīng)成功接收的最大序列號。window_size 是窗口大小,它表示允許發(fā)送方最多發(fā)送的未被確認(rèn)的字節(jié)。所以發(fā)送方可以發(fā)送的最大序列號是:max_acked_seq_no + window_size。
TCP 規(guī)范規(guī)定,接收方應(yīng)該忽略任何序列號在接收窗口之外的數(shù)據(jù)。例如,如果接收方確認(rèn)了所有序列號在 15,000 以下的字節(jié),且接收窗口大小為 30,000,那么接下來接收方只能接收序列號范圍在 15,000 ~ 45,000 之間的數(shù)據(jù)。如果一個(gè)報(bào)文段的部分?jǐn)?shù)據(jù)在窗口內(nèi),另一部分?jǐn)?shù)據(jù)在窗口外,那么窗口內(nèi)的數(shù)據(jù)將被接收確認(rèn),窗口外的數(shù)據(jù)將被丟棄。注意:這里忽略了選擇確認(rèn)選項(xiàng),再強(qiáng)調(diào)一遍!
對于大多數(shù) TCP 報(bào)文段來說,滑動窗口的規(guī)則告訴了發(fā)送方自己可以接收的序列號范圍。但對于重置報(bào)文來說,序列號的限制更加嚴(yán)格,這是為了抵御一種攻擊叫做盲目 TCP 重置攻擊(blind TCP reset attack),下文將會解釋。
TCP 重置報(bào)文段的序列號
對于 TCP 重置報(bào)文段來說,接收方對序列號的要求更加嚴(yán)格,只有當(dāng)其序列號正好等于下一個(gè)預(yù)期的序列號時(shí)才能接收。繼續(xù)搬出上面的例子,接收方發(fā)送了一個(gè)確認(rèn)應(yīng)答,ACK 號為 15,000。如果接下來收到了一個(gè)重置報(bào)文,那么其序列號必須是 15,000 才能被接收。
如果重置報(bào)文的序列號超出了接收窗口范圍,接收方就會直接忽略該報(bào)文;如果其序列號在接收窗口范圍內(nèi),那么接收方就會返回一個(gè) challenge ACK,告訴發(fā)送方重置報(bào)文段的序列號是錯誤的,并告之正確的序列號,發(fā)送方可以利用 challenge ACK 中的信息來重新構(gòu)建和發(fā)送重置報(bào)文。
其實(shí)在 2010 年之前,TCP 重置報(bào)文段和其他報(bào)文段的序列號限制規(guī)則一樣,但無法抵御盲目 TCP 重置攻擊,后來才采取這些措施施加額外的限制。
盲目 TCP 重置攻擊
如果攻擊者能夠截獲通信雙方正在交換的信息,攻擊者就能讀取其數(shù)據(jù)包上的序列號和確認(rèn)應(yīng)答號,并利用這些信息得出偽裝的 TCP 重置報(bào)文段的序列號。相反,如果無法截獲通信雙方的信息,就無法確定重置報(bào)文段的序列號,但仍然可以批量發(fā)出盡可能多不同序列號的重置報(bào)文,以期望猜對其中一個(gè)序列號。這就是所謂的盲目 TCP 重置攻擊(blind TCP reset attack)。
在 2010 年之前 TCP 的原始版本中,攻擊者只需要猜對接收窗口內(nèi)的隨便哪一個(gè)序列號即可,一般只需發(fā)送幾萬個(gè)報(bào)文段就能成功。采取額外限制的措施后,攻擊者需要發(fā)送數(shù)以百萬計(jì)的報(bào)文段才有可能猜對序列號,這幾乎是很難成功的。更多細(xì)節(jié)請參考 RFC-5963。
4. 模擬攻擊
以下實(shí)驗(yàn)是在
OSX系統(tǒng)中完成的,其他系統(tǒng)請自行測試。
現(xiàn)在來總結(jié)一下偽造一個(gè) TCP 重置報(bào)文要做哪些事情:
嗅探通信雙方的交換信息。
截獲一個(gè)
ACK標(biāo)志位置位 1 的報(bào)文段,并讀取其ACK號。偽造一個(gè) TCP 重置報(bào)文段(
RST標(biāo)志位置為 1),其序列號等于上面截獲的報(bào)文的ACK號。這只是理想情況下的方案,假設(shè)信息交換的速度不是很快。大多數(shù)情況下為了增加成功率,可以連續(xù)發(fā)送序列號不同的重置報(bào)文。將偽造的重置報(bào)文發(fā)送給通信的一方或雙方,時(shí)其中斷連接。
為了實(shí)驗(yàn)簡單,我們可以使用本地計(jì)算機(jī)通過 localhost 與自己通信,然后對自己進(jìn)行 TCP 重置攻擊。需要以下幾個(gè)步驟:
在兩個(gè)終端之間建立一個(gè) TCP 連接。
編寫一個(gè)能嗅探通信雙方數(shù)據(jù)的攻擊程序。
修改攻擊程序,偽造并發(fā)送重置報(bào)文。
下面正式開始實(shí)驗(yàn)。
建立 TCP 連接
可以使用 netcat 工具來建立 TCP 連接,這個(gè)工很多操作系統(tǒng)都預(yù)裝了。打開第一個(gè)終端窗口,運(yùn)行以下命令:
$ nc -nvl 8000
這個(gè)命令會啟動一個(gè) TCP 服務(wù),監(jiān)聽端口為 8000。接著再打開第二個(gè)終端窗口,運(yùn)行以下命令:
$ nc 127.0.0.1 8000
該命令會嘗試與上面的服務(wù)建立連接,在其中一個(gè)窗口輸入一些字符,就會通過 TCP 連接發(fā)送給另一個(gè)窗口并打印出來。
嗅探流量
編寫一個(gè)攻擊程序,使用 Python 網(wǎng)絡(luò)庫 scapy 來讀取兩個(gè)終端窗口之間交換的數(shù)據(jù),并將其打印到終端上。完整的代碼參考我的 GitHub 倉庫,代碼的核心是調(diào)用 scapy 的嗅探方法:
t = sniff( iface='lo0', lfilter=is_packet_tcp_client_to_server(localhost_ip, localhost_server_port, localhost_ip), prn=log_packet, count=50)
這段代碼告訴 scapy 在 lo0 網(wǎng)絡(luò)接口上嗅探數(shù)據(jù)包,并記錄所有 TCP 連接的詳細(xì)信息。
iface: 告訴 scapy 在
lo0(localhost)網(wǎng)絡(luò)接口上進(jìn)行監(jiān)聽。lfilter: 這是個(gè)過濾器,告訴 scapy 忽略所有不屬于指定的 TCP 連接(通信雙方皆為
localhost,且端口號為8000)的數(shù)據(jù)包。prn: scapy 通過這個(gè)函數(shù)來操作所有符合
lfilter規(guī)則的數(shù)據(jù)包。上面的例子只是將數(shù)據(jù)包打印到終端,下文將會修改函數(shù)來偽造重置報(bào)文。count: scapy 函數(shù)返回之前需要嗅探的數(shù)據(jù)包數(shù)量。
發(fā)送偽造的重置報(bào)文
下面開始修改程序,發(fā)送偽造的 TCP 重置報(bào)文來進(jìn)行 TCP 重置攻擊。根據(jù)上面的解讀,只需要修改 prn 函數(shù)就行了,讓其檢查數(shù)據(jù)包,提取必要參數(shù),并利用這些參數(shù)來偽造 TCP 重置報(bào)文并發(fā)送。
例如,假設(shè)該程序截獲了一個(gè)從(src_ip, src_port)發(fā)往 (dst_ip, dst_port)的報(bào)文段,該報(bào)文段的 ACK 標(biāo)志位已置為 1,ACK 號為 100,000。攻擊程序接下來要做的是:
由于偽造的數(shù)據(jù)包是對截獲的數(shù)據(jù)包的響應(yīng),所以偽造數(shù)據(jù)包的源
IP/Port應(yīng)該是截獲數(shù)據(jù)包的目的IP/Port,反之亦然。將偽造數(shù)據(jù)包的
RST標(biāo)志位置為 1,以表示這是一個(gè)重置報(bào)文。將偽造數(shù)據(jù)包的序列號設(shè)置為截獲數(shù)據(jù)包的 ACK 號,因?yàn)檫@是發(fā)送方期望收到的下一個(gè)序列號。
調(diào)用
scapy的send方法,將偽造的數(shù)據(jù)包發(fā)送給截獲數(shù)據(jù)包的發(fā)送方。
對于我的程序而言,只需將這一行取消注釋,并注釋這一行的上面一行,就可以全面攻擊了。按照步驟 1 的方法設(shè)置 TCP 連接,打開第三個(gè)窗口運(yùn)行攻擊程序,然后在 TCP 連接的其中一個(gè)終端輸入一些字符串,你會發(fā)現(xiàn) TCP 連接被中斷了!
進(jìn)一步實(shí)驗(yàn)
可以繼續(xù)使用攻擊程序進(jìn)行實(shí)驗(yàn),將偽造數(shù)據(jù)包的序列號加減 1 看看會發(fā)生什么,是不是確實(shí)需要和截獲數(shù)據(jù)包的
ACK號完全相同。打開
Wireshark,監(jiān)聽 lo0 網(wǎng)絡(luò)接口,并使用過濾器ip.src == 127.0.0.1 && ip.dst == 127.0.0.1 && tcp.port == 8000來過濾無關(guān)數(shù)據(jù)。你可以看到 TCP 連接的所有細(xì)節(jié)。在連接上更快速地發(fā)送數(shù)據(jù)流,使攻擊更難執(zhí)行。
總的來說,TCP 重置攻擊既深奧又簡單,祝你實(shí)驗(yàn)順利。
“TCP重置攻擊的工作原理是什么”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!
名稱欄目:TCP重置攻擊的工作原理是什么
鏈接分享:http://www.ef60e0e.cn/article/isjoei.html
