tcprst攻击_攻击TCP服务器

*** 安全-TCP-IP攻击

概述

1. SYN-Flooding攻击效果,受害者系统卡死.

2. TCP-RST攻击实现已经建立的TCP连接断开.

3. TCP会话劫持,劫持TCP会话,并实现反向Shell.

实验环境

1. 三台Linux系统主机,一台作为攻击者,一台作为受害者,一台作为观察者.

2. 为了简化TCP序列号和源端口号的“猜测”,实验处于同一局域网内,你可以使用嗅探器来获取受害者信息.

SYN-Flooding攻击

1. SYN-Flooding攻击原理

SYN-Flooding是DoS攻击的一种，攻击者向受害者的TCP端口发送很多SYN请求，但攻击者无意完成三次握手过程.

攻击者要么使用欺骗性的假的IP地址，要么不要继续完成整个三次握手过程.

通过这种攻击，攻击者可以淹没用于半连接的受害者队列，即已完成SYN，SYN-ACK但尚未得到最终ACK的连接.

当这个队列已满时，受害者不能再进行任何连接.

正常三次握手过程:

在Linux中，我们可以使用以下命令检查

我们可以使用命令“netstat -na”来检查队列的使用情况，即与监听端口相关联的半连接的数量.

这种半连接的状态是SYN-RECV。如果三次握手完成，则连接的状态将为ESTABLISHED.

在这个任务中，你需要演示SYN-Flooding攻击:

您可以使用Netwox来执行攻击，然后使用嗅探器捕获攻击性数据包.

在攻击发生时，在受害机器上运行“netstat -na”命令，并将结果与攻击前的结果进行比较.

2. Netwox 76简介

3. SYN Cookie防御机制

如果你的攻击看起来不成功，你可以检查是否启用了SYN cookie机制.

SYN cookie是抵抗SYN-Flooding的防御机制.

防御原理简介:

在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，

而是根据这个SYN包计算出一个cookie值.

在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性.

如果合法，再分配专门的数据区进行处理未来的TCP连接.

你可以使用sysctl命令打开/关闭SYN cookie机制：

4. 实验结果分析

比较 netstat -na 前后状态如下:

产生大量的TCP半连接,阻塞了队列,导致后续正常TCP连接无法建立!!

TCP-RST攻击

1. FTP协议

2. TELNET协议

3. SSH协议

4. Newox 78简介

5. 实验结果分析

-** FTP**

FTP服务器地址: 192.168.59.146/24

FTP客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

Telnet服务器地址: 192.168.59.146/24

Telnet客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

SSH服务器地址: 192.168.59.146/24

SSH客户端地址: 192.168.59.144/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP-RST打击:

结果显示:已经建立的TCP连接断开.

TCP会话劫持

1. 会话劫持简介

TCP会话劫持攻击的目标是通过向该会话中注入恶意内容来劫持两名受害者之间的现有TCP连接（会话）.

如果这个连接是一个telnet会话,攻击者可以在这个会话中注入恶意命令(例如删除重要文件),导致受害者执行恶意命令.

2. Wireshark简介

如果您使用Wireshark观察 *** 流量,当Wireshark显示TCP序列号时,

默认情况下会显示相对序列号,它等于实际序列号减去初始序列号.

如果想查看包中的实际序列号,则需要右键单击Wireshark输出的TCP部分,

然后选择"Protocol Preference". 在弹出窗口中，取消选"Relative Sequence Number"选项.

3. Netwox 40简介

4. 实验结果分析

Telnet服务器地址: 192.168.59.148/24

Telnet客户端地址: 192.168.59.146/24

攻击者地址: 192.168.59.1/24

攻击者终端对受害者进行TCP会话劫持:

我们要伪造发下一个包:

所以直接采用nextseq作为下一个包的ack,采用ack作为下一个包的seq.

最后一个Telnet数据包内容如下:

我们伪造向服务器 192.168.59.148 发送 ls 命令,

通过netwox构造我们的攻击指令如下:

在wireshark上显示抓包数据如下:

来创建我们的肉鸡~

现在我们来通过NC反弹一个Shell,来控制我们受害者:

首先是构造NC命令:

实验结果如图:

首先看结果:我们成功拿到了服务器上的用户gu的所有权限!

咱们再来看看抓包数据,通过抓包数据,你可以看到最后一条Telnet的TCP数据,通过这些数据,就可以很方便通过Netwox构造攻击语句了!!

tcp/ip常见攻击方式

常见 TCP/IP 协议攻击 *** 分析

2.1 IP 欺骗( IP Spoofing)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。

防范措施

各个 *** ISP 应该限制源地址为外部地址的 IP 数据包进入互联网

合理的配置防火墙，限制数据包的源地址为内部 *** 的数据包进入 *** 。

2.2 TCP 会话劫持 (TCP sessJOn hijacking)

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

攻击者看到被假冒主机和目标主机建立一个连接并进行身份认证后，通过对数据包捕获和进行分析，就可以得到连接的序列号。

一旦得到正确的序列号就可以发送一个假冒的 TCP 分段，接管已经建立的连接。这样，被假冒主机发送的数据包都会被目标主机忽略，因为它们的序列号会被目标主机认为不正确。

防范措施

最主要的 *** 是在传输层对数据进行加密。

2.3 拒绝服务( Denial Of Service )

拒绝服务坷的目的就是使受害的服务器不能提供正常的 *** 服务。

2.3.1 SYN 淹没 (SYN Flooding)

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Tran *** ission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。

防范措施

无效连接监视释放

这种 *** 不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种 *** 对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种 *** 属于入门级的SYN Flood *** 。

延缓TCB分配 ***

从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的 *** 是使用Syn Cache和Syn Cookie技术。

Syn Cache技术：

这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYN ACK报文，并在一个专用HASH表（Cache）中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYN ACK中需要使用一个己方的Sequence Number，这个数字不能被对方猜到，否则对于某些稍微智能一点的Syn Flood攻击软件来说，它们在发送Syn报文后会发送一个ACK报文，如果己方的Sequence Number被对方猜测到，则会被其建立起真正的连接。因此一般采用一些加密算法生成难于预测的Sequence Number。

Syn Cookie技术：

对于SYN攻击，Syn Cache虽然不分配TCB，但是为了判断后续对方发来的ACK报文中的Sequence Number的正确性，还是需要使用一些空间去保存己方生成的Sequence Number等信息，也造成了一些资源的浪费。

Syn Cookie技术则完全不使用任何存储资源，这种 *** 比较巧妙，它使用一种特殊的算法生成Sequence Number，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比较固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其是否与对方回应报文中的（Sequence Number-1）相同，从而决定是否分配TCB资源。

基于 TCP/IP 协议的常见攻击 ***

TCP/IP 中，对资源占杳和分配设计的一个基本原则是自觉原则。如参加 TCP通信的一方发现上次发送的数据报丢失，则主动将通信速率降至原来的一半。这样，也给恶意的 *** 破坏者提供了机会 c 如 *** 破坏者可以大量的发 IP 报，造成 *** 阻塞，也可以向一台主机发送大量的 SYN 包从而大量占有该主机的资源 (SYN Flood) 。这种基于资源占用造成的攻击被称为拒绝服务攻击( DOS)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。

防范措施

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

防范措施

最主要的 *** 是在传输层对数据进行加密。

拒绝服务坷的目的就是使受害的服务器不能提供正常的 *** 服务。

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Tran *** ission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。

防范措施

从上图（左图）中可以看出，防火墙在确认了连接的有效性后，才向内部的服务器（Listener）发起SYN请求，在右图中，所有的无效连接均无法到达内部的服务器。

采用这种方式进行防范需要注意的一点就是防火墙需要对整个有效连接的过程发生的数据包进行 *** ，如下图所示：

因为防火墙代替发出的SYN ACK包中使用的序列号为c，而服务器真正的回应包中序列号为c’，这其中有一个差值|c-c’|，在每个相关数据报文经过防火墙的时候进行序列号的修改。

TCP Safe Reset技术：

这也是防火墙Syn *** 的一种方式，其工作过程如下图所示：

这种 *** 在验证了连接之后立即发出一个Safe Reset命令包，从而使得Client重新进行连接，这时出现的Syn报文防火墙就直接放行。在这种方式中，防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。这需要客户端的TCP协议栈支持RFC 793中的相关约定，同时由于Client需要两次握手过程，连接建立的时间将有所延长。

死亡之 Ping 是利用 ICMP 协议的一种碎片攻击 。攻击者发送一个长度超过 65 535Byte 的 Echo Request 数据包，目标主机在重组分片的时候会造成事先分配的 65 535 Byt 字节缓冲区溢出，系统通常会崩愤或挂起

IP 数据包的更大长度是 65 535 (2 16 - 1) Byte，其中包括包头长度(如果 IP 选项末指定，一般为 20 B)超过 MTU( Maximum Tran *** ission Unit) 的数据包被分割成小的数据包，在接受端重新组装。一般以太网的MTU 为 11500 Byte ，互联网上的 MTU 通常是 576 Byte ICMP 回应请求放在 IP 数据包中，其中有 8 Byt 的 ICMP头信息，接下来是 "Ping" 请求的数据宇节的数目。因此数据区所允许的更大尺寸为 65 535 - 20 - 8 = 65 507Byte

分段后的 IP 包要在接收端的 IP 层进行重组，这样"死亡之 Ping"就可以再发送一个回应请求数据包，使它的数据包中的数据超过 65 507 Byte ，使得某些系统的 IP 分段组装模块出现异常。因为在 IP 分段组装的过程中，它通过每一个 IP 分段中的偏移量来决定每一个分段在整个 IP 包中的位置，最后一个分段中，如果 IP 包的长度大于 65 507 Byte各个分段组装后就会超过 IP 包的更大长度。某些操作系统要等到将所有的分段组装完后才对 IP 包进行处理，所以就存在这样一种内部缓冲区或内部变量溢出的可能性，这样会导致系统崩愤或重启。

防范措施

在 TCP 包中有 6 个标志位来指示分段的状态。其中 RST 用来复位一个连接， FIN 表示没有数据要发送了攻击者经常利用这两个标志位进行拒绝服务攻击。他们先分析通过目标主机和受骗主机之间的 IP 数据包，计算出从受骗主机发往目标主机的下一个 TCP 段的序列号，然后产生一个带有 RST 位设置的 TCP 段，将其放在假冒源 IP 地址的数据包中发往目标主机，目标主机收到后就关闭与受骗主机的连接。

利用 FIN 位的攻击与 RST 位的攻击很相似。攻击者预测到正确的序列号后，使用它创建一个带 FIN 位的 TCP 分段，然后发送给目标主机，好像受骗主机没有数据要发送了，这样，由受骗主机随后发出的 TCP 段都会目标主机认为是 *** 错误而忽略。

通过地址欺骗，并使用回复地址设置成受害 *** 的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该 *** 的所有主机都对此ICMP应答请求做出答复，导致 *** 阻塞

用一个特别打造的SYN包，其原地址和目标地址都被设置成某一个服务器地址。此举将导致服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时

防御 *** ：

这类攻击的检测 *** 相对来说比较容易，因为可以直接通过判断 *** 数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的 *** 当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

UDP不需要像TCP那样进行三次握手，运行开销低，不需要确认数据包是否成功到达目的地。这就造成UDP泛洪攻击不但效率高，而且还可以在资源相对较少的情况下执行。UDP FLOOD可以使用小数据包(64字节)进行攻击,也可以使用大数据包(大于1500字节,以太网MTU为1500字节)进行攻击。大量小数据包会增大 *** 设备处理数据包的压力；而对于大数据包， *** 设备需要进行分片、重组，最终达到的效果就是占用 *** 传输接口的带宽、 *** 堵塞、服务器响应慢等等。

防御方案： 限制每秒钟接受到的流量(可能产生误判)；通过动态指纹学习(需要攻击发生一定时间)，将非法用户加入黑名单。

“teardrop”,又称“泪滴”：IP数据包在 *** 传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。之一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动，达到攻击者需要的拒绝服务的目的。

“DoS”是Denial of Service，拒绝服务的缩写。所谓的拒绝服务是当前 *** 攻击手段中最常见的一种。它故意攻击 *** 协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或 *** 无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而最值得注意的是，攻击者在此攻击中并不入侵目标服务器或目标 *** 设备，单纯利用 *** 缺陷或者暴力消耗即可达到目的。

从原理上来说 ，无论攻击者的攻击目标(服务器、计算机或 *** 服务)的处理速度多快、内存容量多大、 *** 带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以攻击者总能找到一个 *** 使请求的值大于该极限值，导致所提供的服务资源耗尽。

从技术分类的角度上来说 ，最常见的DoS攻击有对计算机 *** 的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击 *** ，使得所有可用 *** 资源都被消耗殆尽，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击服务器或计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

在 *** 还不发达的时候，单一的DoS攻击一般是采用一对一的方式，也就是攻击者直接利用自己的计算机或者设备，对攻击目标发起DoS攻击。当攻击目标处在硬件性能低下、 *** 连接情况不好等情况的时候，一对一的DoS攻击效果是非常明显的，很有可能直接一个攻击者就搞定一个网站或者一个服务器，让它拒绝服务。

随着计算机和 *** 技术的发展，硬件设备的处理性能加速度增长，成本也变得非常低廉， *** 的快速发展更是让带宽、出入口节点宽度等大大的提升，这让传统的DoS攻击很难凑效。

随着这样情况的出现，攻击者研究出了新的攻击手段，也就是DDoS。

DDoS是在传统的DoS攻击基础之上产生的一种新的攻击方式，即Distributed Denial Of Service，分布式拒绝服务攻击。

如果说计算机与 *** 的处理能力比以往加大了10倍的话(示例数据，没有实质意义)，那攻击者使用10台计算机同时进行攻击呢？也就达到了可以让目标拒绝服务的目的。简单来说，DDoS就是利用更多的计算机来发起攻击。

就技术实现方式来分析，分布式拒绝服务攻击就是攻击者利用入侵手段，控制几百台，或者成千上万台计算机(一般被控制的计算机叫做傀儡主机，或者口头被 *** 安全相关人员称为“肉鸡”)，然后在这些计算机上安装大量的DDoS程序。这些程序接受来自攻击者的控制命令，攻击者同时启动全部傀儡主机向目标服务器发起拒绝服务攻击，形成一个DoS攻击群，猛烈的攻击目标，这样能极为暴力的将原本处理能力很强的目标服务器攻陷。

通过上面的分析，可以看出DDoS与DoS的更大区别是数量级的关系，DoS相对于DDoS来说就像是一个个体，而DDoS是无数DoS的 *** 。另一方面，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到 *** 中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的 *** ，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。

TCP/IP协议遭受到破坏或攻击会怎么样？

（1）从应用层上来看，攻击者每次攻击时，与8300端口都有建立最多两、三百个tcp连接。

（2）从防火墙监控来看，攻击的流量非常微小，以至于防火墙的流量报警都未触发。

（3）每次攻击产生时，原先的玩家的tcp连接并未断开（应用程序未抛出TCP连接断开的异常），但服务端的再也接收不到来自客户端的任何消息。服务端进程的CPU飙到100%，而内存使用未发现异常。

（4）而且服务端也从未接收到来自攻击者的tcp连接的任何消息。

（5）重启服务端程序后，一切恢复正常。