【文章內容簡介】 重新發(fā)送，如圖所示 TCP攻擊舉例3/1/2023 53TCP會話劫持– TCP劫持經常用于接管 Tel會話， Tel會話只在客戶和服務器之間簡單地傳送字節(jié)流，攻擊者可以把自己的命令插入到被欺騙的 TCP報文段中。服務器將得到的這個命令串加以執(zhí)行，就像合法用戶發(fā)出的一樣。被劫持主機的 Tel進程將由于沒有接收到確認信息而被掛起，重新發(fā)送報文段。定時器超時之后，將開始重新建立新的連接。– 對于攻擊者來說， TCP會話劫持相對于其它攻擊方法有許多優(yōu)點，例如相對于網絡嗅探器程序，特別是當合法用戶使用了高級的身份識別和認證技術之后，嗅探一次性口令或嗅探密碼認證機制發(fā)出的挑戰(zhàn)信息的響應是無意義的。然而由于這些認證技術都發(fā)生在連接剛開始建立的時候，一般會話建立和相互認證之后將不再提供其它的保護措施。因此， TCP會話劫持可以繞過一次性口令和強認機制劫持合法連接來獲得系統(tǒng)的入口。 3/1/2023 54TCP攻擊舉例? 3 Land攻擊– 在 Land攻擊中，攻擊者向目標主機發(fā)送一個特別偽造的 SYN包，它的 IP源地址和目標地址都被設置目標主機，此舉將導致目標主機向它自自身發(fā)送 SYNACK消息，而其自身又發(fā)回 ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，這樣的空連接多了，由于 TCP/IP協(xié)議棧對連接有數量的限制，這就造成了拒絕服務攻擊。– 不同系統(tǒng)對 Land攻擊反應不同，許多 UNIX系統(tǒng)將崩潰， NT變的極其緩慢。3/1/2023 55TCP攻擊舉例? 4 Winnuke攻擊– winnuke是利用 NetBIOS協(xié)議中一個 OOB（ Out of Band）的漏洞，也就是所謂的帶外數據漏洞而進行的，它的原理是通過 TCP/IP協(xié)議傳遞一個 Urgent緊急數據包到計算機的 13 138或 139端口，當 win95/NT收到這個數據包之后就會瞬間死機或藍屏，不重新啟動計算機就無法繼續(xù)使用 TCP/IP協(xié)議來訪問網絡– 帶外數據 OOB是指 TCP連接中發(fā)送的一種特殊數據，它的優(yōu)先級高于一般的數據，帶外數據在報頭中設置了 URG標志，可以不按照通常的次序進入 TCP緩沖區(qū)，而是進入另外一個緩沖區(qū)，立即可以被進程讀取或根據進程設置使用 SIGURG信號通知進程有帶外數據到來。– 后來的 Winnuke系列工具已經從最初對單個 IP的攻擊發(fā)展到可以攻擊一個 IP區(qū)間范圍的計算機，可以檢測和選擇端口，并且可以進行連續(xù)攻擊，還能驗證攻擊的效果，所以使用它可以造成某個 IP地址區(qū)間的計算機全部藍屏死機。3/1/2023 56TCP攻擊舉例? 5. RST和 FIN攻擊：– TCP報文段中有兩個特別的標志 RST和 FIN也能被攻擊者用來進行拒絕服務攻擊。– 在正常情況下， RST標志用于連接復位， FIN標志用于表示發(fā)送方字節(jié)流結束。這種攻擊要求的條件和 TCP會話劫持一樣，都要求能夠訪問在目標主機和被欺騙主機之間發(fā)送的 IP數據報，以便攻擊者可使用協(xié)議分析器收集 IP數據報獲得正確的 TCP序列號。– 發(fā)送目標主機可接收的帶有 RST或 FIN標志的 TCP報文段只需要有正確的序列號，而不需要確認信號。攻擊者計算目標主機所期望的、來自被欺騙主機的下一個 TCP報文段的序列號，然后發(fā)送 個偽造數據包： RST標志被置位，具有正確 TCP序列號，使用被欺騙主機的 IP地址。目標主機接收這個報文之后，關閉和被欺騙主機的連接。 FIN攻擊和 RST攻擊類似，攻擊者構造好 TCP報文段后向目標主機發(fā)送，目標主機接收之后，將不再接收被欺騙主機以后發(fā)送來的數據，目標主機認為這些在 FIN包之后的數據是由網絡錯誤造成的。 3/1/2023 57TCP攻擊舉例? 6 SYN flooding攻擊：– 是當前最流行也是最有效的 DoS方式之一– 它利用建立 TCP連接的三次握手機制進行攻擊。– 在正常條件下，希望通過 TCP交換數據的主機必須使用三次握手建立會話連接，服務器系統(tǒng)需要為維護每個三次握手付出一部分系統(tǒng)資源 .– SYN flooding 攻擊就是利用耗盡系統(tǒng)資源達到拒絕服務攻擊的目的的。– 攻擊主機只是不斷的偽造不同 IP發(fā)送 TCP請求建立鏈接的數據包，服務器在接受請求建立鏈接的數據包后始終無法處于等待接受確認包的過程，直到超時，在超時前如果系統(tǒng)維護連接的系統(tǒng)資源耗盡，則系統(tǒng)無法提供正常的服務。被攻擊主機 攻擊主機偽造源地址不存在的主機不斷重試及等待，消耗系統(tǒng)資源不響應SYNSYN+ACK3/1/2023 58TCP攻擊舉例? 7 端口掃描攻擊：– TCP connect() 掃描：連接成功表示端口開啟；– TCP SYN掃描：這種技術通常認為是 “ 半開放 ” 掃描，這是因為掃描程序不必要打開一個完全的 TCP連接。掃描程序發(fā)送的是一個 SYN數據包，好象準備打開一個實際的連接并等待反應一樣（參考 TCP的三次握手建立一個 TCP連接的過程）。一個 SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個 RST返回，表示端口沒有處于偵聽態(tài)。如果收到一個 SYN|ACK，則掃描程序必須再發(fā)送一個 RST信號，來關閉這個連接過程3/1/2023 59TCP攻擊舉例– TCP FIN 掃描：這種掃描方法的思想是關閉的端口會用適當的 RST來回復 FIN數據包。這種方法和系統(tǒng)的實現有一定的關系。有的系統(tǒng)不管端口是否打開，都回復 RST，這樣，這種掃描方法就不適用了。并且這種方法在區(qū)分 Unix和 NT時，是十分有用的。– 慢速掃描：由于一般掃描檢測器的實現是通過監(jiān)視某個時間段里一臺特定主機被連接的數目來決定是否在被掃描，這樣攻擊者可以通過使用掃描速度慢一些的掃描軟件進行掃描，這樣檢測軟件就不會判別出他在進行掃描了。3/1/2023 60TCP攻擊舉例? 8 TCP初始序號預測：– 有 3種常用的方法來產生初始序列號：? 64K規(guī)則：這是一種最簡單的機制，目前仍在一些主機上使用。每秒用一常量（ 12800）增加初始序列號，如果有某一個連接啟動，則用另一個常量（ 64000）增加序列號計數器。? 與時間相關的產生規(guī)則：這是一種很流行的簡單機制，允許序列號產生器產生與時間相關的值。這個產生器在計算機自舉時產生初始值，依照每臺計算機各自的時鐘增加。由于各計算機上的時鐘并不完全相等，增大了序列號的隨機性。? 偽隨機數產生規(guī)則：較新的操作系統(tǒng)使用偽隨機數產生器產生初始序列號。 3/1/2023 61TCP初始序號預測– 對于第一、第二種方式產生的初始序號，攻擊者在一定程度上是可以預測的。首先，攻擊者發(fā)送一個 SYN包，目標主機響應后，攻擊者可以知道目標主機的 TCP/IP協(xié)議棧當前使用的初始序列號。– 然后，攻擊者可以估計數據包的往返時間，根據相應的初始序號產生方法較精確的估算出初始序號的一個范圍。– 有了這個預測出的初始序號范圍，攻擊者可以對目標主機進行 TCP欺騙的盲攻擊3/1/2023 62UDP攻擊舉例? ICMP端口不能到達掃描 – 由于這個協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送一個確認，關閉的端口也并不需要發(fā)送一個錯誤數據包。– 許多主機在向一個未打開的 UDP端口發(fā)送一個數據包時，會返回一個 ICMP_PORT_UNREACH錯誤。這樣就能發(fā)現哪個端口是關閉的。3/1/2023 63TCP攻擊防范1) 縮短 SYN Timeout（連接等待超時）時間：– 由于 SYN flooding攻擊的效果取決于服務器上保持的SYN半連接數，這個值等于 SYN攻擊的頻度乘以 SYN Timeout，所以通過縮短從接收到 SYN報文到確定這個報文無效并丟棄改連接的時間（過低的 SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。 2) 根據源 IP記錄 SYN連接：就是對每一個請求連接的 IP地址都進行記錄，如果短時間內連續(xù)受到某個 IP的重復 SYN報文，就認定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。3/1/2023 64TCP攻擊防范3)負反饋策略：正常情況下，操作系統(tǒng)對 TCP連接的一些重要參數有一個常規(guī)的設置： SYN Timeout時間、 SYNACK的重試次數、 SYN報文從路由器到系統(tǒng)再到 Winsock的延時等等。這個常規(guī)設置針對系統(tǒng)優(yōu)化，可以給用戶提供方便快捷的服務；一旦服務器受到攻擊， SYN Half link（ SYN半連接） 的數量超過系統(tǒng)中 TCP活動半連接的最大設置，系統(tǒng)將會認為自己受到了 SYN flooding攻擊，并將根據攻擊的判斷情況作出反應：減短 SYN Timeout時間、減少 SYNACK的重試次數、自動對緩沖區(qū)中的報文進行延時等等措施，力圖將攻擊危害減到最低。3/1/2023 65TCP攻擊防范4)容忍策略：它是基于 SYN flooding攻擊代碼的一個缺陷。– SYN flooding攻擊程序有兩種攻擊方式，基于 IP的和基于域名的，前者是攻擊者自己進行域名解析并將 IP地址傳遞給攻擊程序，后者是攻擊程序自動進行域名解析，它們有一點是相同的，就是一旦攻擊開始，將不會再進行域名解析。– 假設一臺服務器在受到 SYN flooding攻擊后迅速更換自己的 IP地址，那么攻擊者仍在不斷攻擊的只是一個空的 IP地址，并沒有任何主機，而防御方只要將 DNS解析更改到新的 IP地址就能在很短的時間內（取決于 DNS的刷新時間）恢復用戶通過域名進行的正常訪問。– 為了迷惑攻擊者，甚至可以放置一臺 “ 犧牲 ” 服務器讓攻擊者滿足于攻擊的 “ 效果 ” 。 3/1/2023 66TCP攻擊防范5）利用 DNS進行負載均衡：在眾多的負載均衡架構中，基于 DNS解析的負載均衡本身就擁有對 SYN flooding的免疫力，基于 DNS解析的負載均衡能將用戶的請求分配到不同 IP的服務器主機上，攻擊者攻擊的永遠只是其中一臺服務器，一來這樣增加了攻擊者的成本，二來過多的 DNS請求可以幫助我們追查攻擊者的真正蹤跡（ DNS請求不同于 SYN攻擊，是需要返回數據的，所以很難進行 IP偽裝）。3/1/2023 67TCP攻擊防范6）利用防火墻技術? 第一階段，客戶機請求與防火墻建立連接；? 第二階段，防火墻偽裝成客戶機與后臺的服務器建立連接；? 第三階段，之后