【文章內(nèi)容簡(jiǎn)介】 TCP使用連接而不是協(xié)議端口作為基本的抽象概念；連接是用一對(duì)端點(diǎn)來(lái)標(biāo)識(shí) 。 那么 ， 一個(gè)連接的端點(diǎn)究竟是什么呢 ？ 我們往往認(rèn)為一個(gè)連接是由兩個(gè)應(yīng)用程序之間的虛電路組成的 ， 所以把應(yīng)用程序當(dāng)作端點(diǎn)的想法很自然 。 然而這種看法是不正確的 。 實(shí)際情況中 ， TCP把端點(diǎn) (endpoint)定義為一對(duì)整數(shù) ， 即(host,port)， 其中 ， host是主機(jī)的 IP地址 ， 而 port則是主機(jī)上的 TCP端口號(hào) 。 例如 ， 端點(diǎn) (,25)表示的是 IP地址為 25號(hào) TCP端口 。 第 5章 因特網(wǎng)與 TCP/IP安全 TCP安全缺陷 LAND攻擊是最簡(jiǎn)單的一種 TCP攻擊方法：將 TCP包的源地址和目的地址 ， 源端口和目的端口都設(shè)置成相同即可 。 其中 ， 地址字段都設(shè)置為目標(biāo)機(jī)器的 IP地址 。 需要注意的是 ， 對(duì)應(yīng)的端口所提供的服務(wù)器必須是激活的 。 LAND攻擊可以非常有效地使目標(biāo)機(jī)器重新啟動(dòng)或者死機(jī) 。 這種攻擊能夠奏效的原因在于 TCP連接的可靠特性 。 為了使連接可靠 ， TCP完成兩個(gè)關(guān)鍵的任務(wù)： 第 5章 因特網(wǎng)與 TCP/IP安全 (1) 初始化連接：也就是在客戶和服務(wù)器之間進(jìn)行三次握手 (Threeway Handshake)。三次握手協(xié)議完成兩個(gè)重要功能：確保連接雙方做好數(shù)據(jù)傳輸準(zhǔn)備 (而且他們知道對(duì)方準(zhǔn)備好了 )，而且使得雙方統(tǒng)一了初始序列號(hào)。序列號(hào)可以幫助 TCP確認(rèn)包的順序以及包是否丟失。 第 5章 因特網(wǎng)與 TCP/IP安全 (2) 應(yīng)答每個(gè)接收到的數(shù)據(jù)包 。 如果在規(guī)定時(shí)間內(nèi)應(yīng)答沒(méi)有被接收到 ， 包被重傳 。 LAND攻擊利用 TCP初始連接建立期間的應(yīng)答方式存在的問(wèn)題 ， 攻擊的關(guān)鍵在于服務(wù)器端和客戶端有各自的序列號(hào) 。 例如 ， 服務(wù)器端的序列號(hào)可以是 1， 2， 3，4， … ， 而客戶端的序列號(hào)可能是 1001, 1002, 1003， … 。對(duì)于每一次數(shù)據(jù)傳輸 ， 接收端都必須發(fā)送一個(gè)應(yīng)答包 ，其中包含期望從發(fā)送端所接收的下一個(gè)包的序列號(hào) 。例如 ， 發(fā)送端說(shuō) “ 我正在給你發(fā)送 1000個(gè)字節(jié) ， 序列號(hào)為 5000。 ” 接收端則應(yīng)答： “ 好 ， 我收到了 ， 我正在等待序列號(hào)為 6001的字節(jié) (5000+1000+1)。 ” 第 5章 因特網(wǎng)與 TCP/IP安全 攻擊從發(fā)送一個(gè)包含隨機(jī)序列號(hào)的數(shù)據(jù)包作為第一次握手開始 。 目標(biāo)計(jì)算機(jī)說(shuō) ， OK,這是我的序列號(hào) ，然后對(duì)其序列號(hào)加 1(在此沒(méi)有數(shù)據(jù)傳送 )進(jìn)行應(yīng)答 ， 并送回給攻擊者 。 這是第二次握手 。 如果是正常握手過(guò)程 ， 攻擊者應(yīng)當(dāng)能夠收到這個(gè)包 ， 并且對(duì)目標(biāo)機(jī)器的序列號(hào)加 1進(jìn)行應(yīng)答 ， 并發(fā)還給目標(biāo)機(jī)器 ， 從而完成第三次握手 。 這樣的話 ， 雙方機(jī)器都知道了對(duì)方的序列號(hào) ， 可以進(jìn)行數(shù)據(jù)傳輸了 。 圖 510給出了一次典型的三次握手過(guò)程 。 第 5章 因特網(wǎng)與 TCP/IP安全 圖 510 正常 TCP三次握手過(guò)程 客戶端客戶端通過(guò)發(fā)送隨機(jī)初始序列號(hào)發(fā)起連接客戶序列號(hào)＝ 100 1偵聽連接服務(wù)器服務(wù)器通過(guò)發(fā)送自己的初始序列號(hào)并把客戶的序列號(hào)＋ 1 作為應(yīng)答 服務(wù)器序列號(hào)＝ 499 9 ，客戶序列號(hào)應(yīng)答＝ 100 2等待服務(wù)器應(yīng)答以及序列號(hào) 服務(wù)器序列號(hào)應(yīng)答＝ 500 0客戶端驗(yàn)證應(yīng)答，把服務(wù)器序列號(hào)＋ 1 作為最終應(yīng)答發(fā)回服務(wù)器連接建立，數(shù)據(jù)傳輸可以開始①②③第 5章 因特網(wǎng)與 TCP/IP安全 此過(guò)程的問(wèn)題在于目標(biāo)機(jī)器把包發(fā)送給了自己 (源和目的 IP地址是相同的 )。 目標(biāo)機(jī)器等待自己的序列號(hào)得到應(yīng)答 ， 而這個(gè)應(yīng)答卻是它自己剛剛才發(fā)送出去的 ，而且其應(yīng)答序列號(hào)是攻擊者的序列號(hào) (1002)。 由于這個(gè)序列號(hào)同目標(biāo)機(jī)器所期望的序列號(hào)差別太大 (不在接收窗口范圍內(nèi) )， TCP認(rèn)為這個(gè)包有問(wèn)題 ， 被丟棄 。 這樣目標(biāo)機(jī)器再次重發(fā)數(shù)據(jù)包 。 這對(duì)于 TCP來(lái)說(shuō) ， 意味著“ 那不是我所期望的包 ， 請(qǐng)重發(fā) ” 。 這將導(dǎo)致無(wú)限循環(huán)：目標(biāo)機(jī)器一直給自己發(fā)送錯(cuò)誤應(yīng)答 ， 并希望能夠看到具有正確序列號(hào)的應(yīng)答返回 。 圖 511形象地描繪了此情景 。 第 5章 因特網(wǎng)與 TCP/IP安全 圖 511 LAND攻擊示意圖 攻擊者①②③攻擊 者發(fā)起 LAN D攻擊，源地址和端口設(shè)置為服務(wù)器端攻擊包的序列號(hào)＝ 10 01服務(wù)器偵聽連接服務(wù)器通過(guò)發(fā)送自己的初始序列號(hào)并把客戶的序列號(hào)＋ 1 作為應(yīng)答服務(wù)器等待客戶端發(fā)送回服務(wù)器的序列號(hào)＋1 作為應(yīng)答。這里是50 00 作為應(yīng)答包的序列號(hào)服務(wù)器只看到序列號(hào)＝ 10 02 應(yīng)答包，因此重發(fā)服務(wù)器等待客戶端發(fā)送回服務(wù)器的序列號(hào)＋1 作為應(yīng)答。這里是50 00 作為應(yīng)答包的序列號(hào)服務(wù)器只看到序列號(hào)＝ 10 02 應(yīng)答包，因此重發(fā) 服務(wù)器序列號(hào)＝ 49 99客戶序列號(hào)應(yīng)答＝ 10 02 服務(wù)器序列號(hào)＝ 49 99客戶序列號(hào)應(yīng)答＝ 10 02…第 5章 因特網(wǎng)與 TCP/IP安全 由于 TCP是具有高優(yōu)先權(quán)的內(nèi)核級(jí)進(jìn)程 ， 這也就意味著 TCP相對(duì)其它非內(nèi)核應(yīng)用程序具有更高的權(quán)限 ?；旧?， 它將中斷其它的正常系統(tǒng)操作以聲明更多的內(nèi)核資源來(lái)處理進(jìn)入的數(shù)據(jù) 。 這樣 ， 無(wú)限循環(huán)很快會(huì)消耗完系統(tǒng)資源 ， 引起大多數(shù)系統(tǒng)死機(jī) 。 只有少數(shù)系統(tǒng)在內(nèi)核資源耗盡情況下還可以繼續(xù)穩(wěn)定運(yùn)行 。 第 5章 因特網(wǎng)與 TCP/IP安全 LAND攻擊相對(duì)容易 。 下面讓我們深入探討 TCP問(wèn)題的另一個(gè)嚴(yán)重問(wèn)題 。 在前面我們已經(jīng)對(duì) TCP連接初始化過(guò)程有了大致的了解 。 我們同樣也提到了 TCP在成功進(jìn)行數(shù)據(jù)收發(fā)以后如何進(jìn)行應(yīng)答 。 或許你已經(jīng)注意到 ， 在此過(guò)程當(dāng)中沒(méi)有任何的認(rèn)證機(jī)制 。 TCP假定只要接收到的數(shù)據(jù)包包含正確的序列號(hào)就認(rèn)為數(shù)據(jù)是可以接受的 。 一旦連接建立 ， 服務(wù)器無(wú)法確定進(jìn)入的數(shù)據(jù)包確實(shí)是來(lái)自真正的客戶機(jī)器的而不是來(lái)自某一臺(tái)假冒的機(jī)器的 。 第 5章 因特網(wǎng)與 TCP/IP安全 讓我們考慮下述情形：一個(gè)客戶程序通過(guò) TCP正在與一臺(tái)服務(wù)器進(jìn)行通信。攻擊者使用 ARP技術(shù) (后面詳述 )來(lái)截獲和重定向客戶與服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過(guò)攻擊者的機(jī)器。攻擊者可以采取被動(dòng)攻擊以免引起注意，即客戶的所有命令保持原樣被發(fā)送到服務(wù)器，服務(wù)器的響應(yīng)也不加修改的發(fā)送給客戶。對(duì)于客戶和服務(wù)器來(lái)說(shuō)，它們都認(rèn)為是在直接進(jìn)行通信。由于攻擊者可以看到序列號(hào)，有必要的話，它可以把偽造的數(shù)據(jù)包放到 TCP流中。 第 5章 因特網(wǎng)與 TCP/IP安全 這將允許攻擊者以被欺騙的客戶具有的特權(quán)來(lái)訪問(wèn)服務(wù)器 。 攻擊者同樣也可以查看所有同攻擊相關(guān)的輸出 ，而且不把它們送往客戶機(jī) 。 這樣的攻擊是透明的 。 在這種情況下 ， 攻擊者甚至于不需要知道訪問(wèn)機(jī)器所需的口令 ， 攻擊者只需簡(jiǎn)單地等待用戶登陸到服務(wù)器 ，然后劫持 (Hijack)會(huì)話數(shù)據(jù)流即可 。 圖 512顯示了攻擊者是如何劫持一個(gè) TCP會(huì)話的 。 第 5章 因特網(wǎng)與 TCP/IP安全 圖 512 TCP會(huì)話劫持 攻擊者去同步連接攻擊者去同步連接攻擊者現(xiàn)在可以截獲所有通信客戶和服務(wù)器之間的通信被重定向正常 TCP 通信客戶端 服務(wù)器客戶端 服務(wù)器第 5章 因特網(wǎng)與 TCP/IP安全 這種攻擊的關(guān)鍵在于攻擊者可以把自己的機(jī)器置于數(shù)據(jù)通信流的中間 (正如本章后續(xù)章節(jié)所敘述的 ， 這并不是很難 )。 在眾多的 TCP/IP實(shí)現(xiàn)中存在發(fā)動(dòng)這類攻擊的安全漏洞 ， 而 TCP協(xié)議本身也允許進(jìn)行類似的假冒 。 下面我們將討論一種可以用于 TCP會(huì)話劫持的攻擊技術(shù) ， 稱為去同步技術(shù) (Desynchronization)。 首先 ， 讓我們?cè)儆懻撘幌氯挝帐帜Ｐ停? 握手 1：客戶給服務(wù)器發(fā)送同步包 (SYN)， 序列號(hào)為CLT_SEQ。 客戶等待服務(wù)器應(yīng)答 。 第 5章 因特網(wǎng)與 TCP/IP安全 握手 2： 服務(wù)器發(fā)送應(yīng)答 (ACK)， 其中應(yīng)答序列號(hào)為 CLT_SEQ+1， 自己的序列號(hào)為 SVR_SEQ。 此時(shí)客戶處于連接建立狀態(tài) ， 而服務(wù)器還必須等待來(lái)自客戶端的應(yīng)答包 ， 也就是握手 3的完成 。 在完成握手 2以后 ， 攻擊者跳了出來(lái) ， 他以客戶身份向服務(wù)器發(fā)送連接復(fù)位 (RST)包 。 服務(wù)器接收到這個(gè)包以后 ， 會(huì)認(rèn)為握手過(guò)程出錯(cuò)從而斷開同客戶端的連接 ， 并偵聽新的連接請(qǐng)求 。 但同時(shí)真正的客戶端卻向服務(wù)器發(fā)送了握手 3的應(yīng)答包 ， 由于攻擊者關(guān)閉了連接 ，這個(gè)應(yīng)答包將被服務(wù)器所忽略 。 第 5章 因特網(wǎng)與 TCP/IP安全 現(xiàn)在我們看一下客戶和服務(wù)器所處的狀態(tài) 。 客戶一旦發(fā)送握手 3的應(yīng)答包即已經(jīng)認(rèn)為連接已經(jīng)建立 ， 他無(wú)需再?gòu)姆?wù)器得到進(jìn)一步的應(yīng)答 。 客戶端也認(rèn)為服務(wù)器是激活的 (事實(shí)上不是 )， 所以客戶端認(rèn)為連接處于建立狀態(tài) 。 對(duì)于服務(wù)器 ， 他認(rèn)為客戶端出了什么問(wèn)題 ，連接被復(fù)位以至于關(guān)閉 ， 但事實(shí)上客戶端并沒(méi)有關(guān)閉連接 。 攻擊者現(xiàn)在可以假冒客戶端的身份同服務(wù)器進(jìn)行三次握手過(guò)程 。 握手 1：攻擊者假冒客戶機(jī)身份向服務(wù)器啟動(dòng)連接請(qǐng)求 ， 使用的序列號(hào)為 Attack_SEQ。 第 5章 因特網(wǎng)與 TCP/IP安全 握手 2：服務(wù)器向真正的客戶端發(fā)送應(yīng)答：應(yīng)答序列號(hào)為 Attack_SEQ+1， 自身序列為 New_SVR_SEQ。 由于應(yīng)答序列號(hào)不符 ， 應(yīng)答包被客戶端忽略 。 握手 3：攻擊者再次假冒客戶端進(jìn)行應(yīng)答 ， 應(yīng)答序列號(hào)為 New_SVR_SEQ+1。 到此為止 ， 服務(wù)器也處于連接建立狀態(tài) 。 但是由于客戶和服務(wù)器之間的序列號(hào)無(wú)法一致 ， 它們之間并不能真正進(jìn)行通信 ， 各自發(fā)往對(duì)方的數(shù)據(jù)包都將被忽略 。 第 5章 因特網(wǎng)與 TCP/IP安全 1． 去同步狀態(tài) 首先定義以下術(shù)語(yǔ)： SVR_SEQ 服務(wù)器將要發(fā)送的下一個(gè)字節(jié)的序列號(hào) SVR_ACK 服務(wù)器將要接收的下一個(gè)字節(jié) (所接收到的最后字節(jié)的序列號(hào)加 1) SVR_WIND 服務(wù)器的接收窗口 CLT_SEQ 客戶將要發(fā)送的下一個(gè)字節(jié)的序列號(hào) CLT_ACK 客戶將要接收的下一個(gè)字節(jié) CLT_WIND 客戶的接收窗口 SEG_SEQ 包序列號(hào) SEG_ACK 包應(yīng)答號(hào) 第 5章 因特網(wǎng)與 TCP/IP安全 術(shù)語(yǔ)“去同步狀態(tài)”指雙方都處于連接建立(Established)狀態(tài)，還沒(méi)有數(shù)據(jù)要發(fā)送 (穩(wěn)定狀態(tài) )和 SVR_SEQ ! = CLT_ACK CLT_SEQ ! = SVR_ACK 第 5章 因特網(wǎng)與 TCP/IP安全 此狀態(tài)只要沒(méi)有數(shù)據(jù)發(fā)送就是穩(wěn)定的 。 如果有數(shù)據(jù)要發(fā)送 ， 可能有兩種情況： (1) 如果 CLT_SEQ SVR_ACK + SVR_WIND CLT_SEQ SVR_ACK 包是可接收的 ， 數(shù)據(jù)也將被存儲(chǔ)以備后用 (依賴于實(shí)現(xiàn) )， 但不發(fā)送給用戶 ， 因?yàn)閿?shù)據(jù)流的開始部分 (從序列號(hào) SVR_ACK開始 )丟失了 。 第 5章 因特網(wǎng)與 TCP/IP安全 (2) 如果 CLT_SEQ SVR_ACK + SVR_WIND 或 CLT_SEQ SVR_ACK 包是不可接受的 ， 則被丟棄 。 在這兩種情況下 ， 數(shù)據(jù)交換是不可能的 ， 即使還處于連接建立狀態(tài) 。 建立去同步狀態(tài)除了上面所提到的在三次握手過(guò)程中實(shí)現(xiàn)以外 ， 我們也可以在通信雙方連接已經(jīng)建立好的情況下來(lái)完成 ， 稱為無(wú)效數(shù)據(jù)去同步法 。 第 5章 因特網(wǎng)與 TCP/IP安全 這種方法是攻擊者發(fā)送大量的無(wú)效數(shù)據(jù)給客戶和服務(wù)器 ， 發(fā)送的數(shù)據(jù)不能影響也不能讓客戶方或服務(wù)器