網(wǎng)絡(luò)安全課程設(shè)計(jì)完整版

網(wǎng)絡(luò)安全課程設(shè)計(jì)HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】課程名稱(chēng): 物聯(lián)網(wǎng)信息安全管理設(shè)計(jì)題目：基于TCP協(xié)議的網(wǎng)絡(luò)攻擊學(xué)院（直屬系） 計(jì)算機(jī)學(xué)院年級(jí)/專(zhuān)業(yè)/班： 物聯(lián)網(wǎng)工程學(xué)生姓名：宋涌指導(dǎo)教師：魏正曦老師摘要本課程是物聯(lián)網(wǎng)工程專(zhuān)業(yè)所開(kāi)設(shè)的一門(mén)重要實(shí)踐課程，主要要求掌握網(wǎng)絡(luò)安全原理和技術(shù)在實(shí)踐中的應(yīng)用。本課程設(shè)計(jì)的目的是在理論學(xué)習(xí)的基礎(chǔ)上，動(dòng)手實(shí)踐網(wǎng)絡(luò)安全的相關(guān)理論，通過(guò)應(yīng)用所學(xué)習(xí)的知識(shí)，來(lái)解決一些實(shí)際的網(wǎng)絡(luò)安全應(yīng)用問(wèn)題。在此基礎(chǔ)上，真正理解和掌握網(wǎng)絡(luò)安全的基本原理，具備網(wǎng)絡(luò)安全方面的分析和動(dòng)手能力。在網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境中完成TCP/IP協(xié)議棧中TCP層重點(diǎn)協(xié)議的攻擊實(shí)驗(yàn)。包括TCPRST攻擊、TCP會(huì)話劫持和TCPSYNFlood攻擊。關(guān)鍵字：TCPRST攻擊、TCP會(huì)話劫持和TCPSYNFlood攻擊課題分工宋涌：TCP會(huì)話劫持，和編寫(xiě)課程設(shè)計(jì)胡坤：TCPRST攻擊，和參考資料查詢周禮?。篢CPSYNFlood攻擊，和課程設(shè)計(jì)分工一引言源于Unix的網(wǎng)絡(luò)協(xié)議TCP/IP隨著Internet的飛迅發(fā)展，已被越來(lái)越多的人所使用.然而由于TCP/IP協(xié)議族在設(shè)計(jì)時(shí)并沒(méi)有過(guò)多的考慮網(wǎng)絡(luò)安全問(wèn)題,黑客事件不斷發(fā)生，使如電子商務(wù)等Internet應(yīng)用存在著許多不安全因素.欲防網(wǎng)絡(luò)攻擊，必應(yīng)先知其攻擊原理，才可正確實(shí)施安全策略.下面是網(wǎng)絡(luò)內(nèi)部或外部人員常用的幾種網(wǎng)絡(luò)攻擊方式：?密碼猜測(cè)(PasswordGuessing):主要通過(guò)窮舉的辦法來(lái)試探被攻擊系統(tǒng)的密碼，為下一步攻擊做好準(zhǔn)備.?窺探(Sniffing):主要通過(guò)劫獲網(wǎng)絡(luò)上的數(shù)據(jù)包來(lái)獲得被攻擊系統(tǒng)的認(rèn)證信息或其它有價(jià)值的信息.-電子欺騙(Spoofing):通過(guò)假冒合法用戶的身份來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，從而達(dá)到掩蓋攻擊者真實(shí)身份，嫁禍他人的目的.-信息剽竊(InformationTheft):這是網(wǎng)絡(luò)攻擊的主要目的之一.攻擊者通過(guò)獲得訪問(wèn)被攻擊主機(jī)的許可權(quán)而竊取主機(jī)上的重要信息.-讓主機(jī)拒絕服務(wù)(DenialofService):是網(wǎng)絡(luò)攻擊的主要目的之一.這種攻擊使主機(jī)或網(wǎng)絡(luò)不能為合法用戶提供服務(wù).例如攻擊者可以用TCP的SYN信號(hào)淹沒(méi)的方法來(lái)實(shí)現(xiàn)這一攻擊.?信息破壞(InformationDestruction):這也是網(wǎng)絡(luò)攻擊的主要目的之一.通過(guò)篡改或毀壞被攻擊主機(jī)上的信息達(dá)到破壞的目的.以上這些攻擊主要是利用TCP/IP協(xié)議本身的漏洞而對(duì)TCP/IP協(xié)議進(jìn)行攻擊實(shí)現(xiàn)的，下面分析了幾種對(duì)TCP/IP的攻擊的實(shí)現(xiàn)方式未來(lái)的高技術(shù)戰(zhàn)爭(zhēng)是信息網(wǎng)絡(luò)戰(zhàn)，以網(wǎng)絡(luò)中心信息為主的聯(lián)合作戰(zhàn)正在取代傳統(tǒng)的平臺(tái)中心戰(zhàn)。TCP/IP協(xié)議使得世界上不同體系結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)互連在一起形成一個(gè)全球性的廣域網(wǎng)絡(luò)Internet，實(shí)現(xiàn)海、陸、空、天立體戰(zhàn)埸信息共享。因此開(kāi)展TCP/IP協(xié)議的分析和研究，尋求其簿弱環(huán)節(jié)，能否攻其一點(diǎn)，而癱瘓一片，即以小的投入達(dá)到大的產(chǎn)出，是有效實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)對(duì)抗的關(guān)鍵。在以TCP/IP為協(xié)議的通信計(jì)算機(jī)網(wǎng)絡(luò)中，通常將每臺(tái)計(jì)算機(jī)稱(chēng)為主機(jī)，在Internet中的每一臺(tái)計(jì)算機(jī)可以訪問(wèn)Internet上的其它任意一臺(tái)計(jì)算機(jī)，好像它們?cè)谝粋€(gè)局域網(wǎng)內(nèi)用雙絞線或同軸電纜直接連接起來(lái)一樣(不同之處是速度比局域網(wǎng)的慢)。TCP/IP通信計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。圖我們把計(jì)算機(jī)網(wǎng)絡(luò)之間相連的設(shè)備稱(chēng)為路由器。各主機(jī)之間可以通過(guò)數(shù)據(jù)鏈連接，也可以通過(guò)路由器間接相連。TCP/IP協(xié)議使用“包”(packet)這個(gè)數(shù)據(jù)單位來(lái)發(fā)送信息，圖中用箭頭指向描述了從主機(jī)C向主機(jī)J發(fā)送信息包的路徑。二實(shí)驗(yàn)原理TCP是在IP網(wǎng)絡(luò)層之上的傳輸層協(xié)議，用于提供port到port面向連接的可靠的字節(jié)流傳輸。我來(lái)用土語(yǔ)解釋下上面的幾個(gè)關(guān)鍵字：port到port：IP層只管數(shù)據(jù)包從一個(gè)IP到另一個(gè)IP的傳輸，IP層之上的TCP層加上端口后，就是面向進(jìn)程了，每個(gè)port都可以對(duì)應(yīng)到用戶進(jìn)程?？煽浚篢CP會(huì)負(fù)責(zé)維護(hù)實(shí)際上子虛烏有的連接概念，包括收包后的確認(rèn)包、丟包后的重發(fā)等來(lái)保證可靠性。由于帶寬和不同機(jī)器處理能力的不同，TCP要能控制流量。字節(jié)流：TCP會(huì)把應(yīng)用進(jìn)程傳來(lái)的字節(jié)流數(shù)據(jù)切割成許多個(gè)數(shù)據(jù)包，在網(wǎng)絡(luò)上發(fā)送°IP包是會(huì)失去順序或者產(chǎn)生重復(fù)的，TCP協(xié)議要能還原到字節(jié)流本來(lái)面目。TCP(TransmissionControlProtocol傳輸控制協(xié)議)是一種面向連接(連接導(dǎo)向)的、可靠的、基于IP的傳輸層協(xié)議。TCP在IP報(bào)文的協(xié)議號(hào)是6。TCP是一個(gè)超級(jí)麻煩的協(xié)議，而它又是互聯(lián)網(wǎng)的基礎(chǔ)，也是每個(gè)程序員必備的基本功。首先來(lái)看看OSI的七層模型：圖OSI的七層模型我們需要知道TCP工作在網(wǎng)絡(luò)OSI的七層模型中的第四層——Transport層，IP在第三層 Network層，ARP在第二層 DataLink層;在第二層上的數(shù)據(jù)，我們把它叫Frame，在第三層上的數(shù)據(jù)叫Packet，第四層的數(shù)據(jù)叫Segment。同時(shí)，我們需要簡(jiǎn)單的知道，數(shù)據(jù)從應(yīng)用層發(fā)下來(lái)，會(huì)在每一層都會(huì)加上頭部信息，進(jìn)行封裝，然后再發(fā)送到數(shù)據(jù)接收端。這個(gè)基本的流程你需要知道，就是每個(gè)數(shù)據(jù)都會(huì)經(jīng)過(guò)數(shù)據(jù)的封裝和解封裝的過(guò)程。在OSI七層模型中，每一層的作用和對(duì)應(yīng)的協(xié)議如下：圖OSI七層模型中，每一層的作用和對(duì)應(yīng)的協(xié)議TCP是一個(gè)協(xié)議，那這個(gè)協(xié)議是如何定義的，它的數(shù)據(jù)格式是什么樣子的呢?要進(jìn)行更深層次的剖析，就需要了解，甚至是熟記TCP協(xié)議中每個(gè)字段的含義。圖OSI含義上面就是TCP協(xié)議頭部的格式，由于它太重要了，是理解其它內(nèi)容的基礎(chǔ)，下面就將每個(gè)字段的信息都詳細(xì)的說(shuō)明一下。SourcePort和DestinationPort:分別占用16位，表示源端口號(hào)和目的端口號(hào)；用于區(qū)別主機(jī)中的不同進(jìn)程，而IP地址是用來(lái)區(qū)分不同的主機(jī)的，源端口號(hào)和目的端口號(hào)配合上IP首部中的源IP地址和目的IP地址就能唯一的確定一個(gè)TCP連接;SequenceNumber:用來(lái)標(biāo)識(shí)從TCP發(fā)端向TCP收端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個(gè)報(bào)文段中的的第一個(gè)數(shù)據(jù)字節(jié)在數(shù)據(jù)流中的序號(hào);主要用來(lái)解決網(wǎng)絡(luò)報(bào)亂序的問(wèn)題；AcknowledgmentNumber:32位確認(rèn)序列號(hào)包含發(fā)送確認(rèn)的一端所期望收到的下一個(gè)序號(hào)，因此，確認(rèn)序號(hào)應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)字節(jié)序號(hào)加1。不過(guò)，只有當(dāng)標(biāo)志位中的ACK標(biāo)志（下面介紹）為1時(shí)該確認(rèn)序列號(hào)的字段才有效。主要用來(lái)解決不丟包的問(wèn)題；Offset:給出首部中32bit字的數(shù)目，需要這個(gè)值是因?yàn)槿芜x字段的長(zhǎng)度是可變的。這個(gè)字段占4bit（最多能表示15個(gè)32bit的的字，即4*15=60個(gè)字節(jié)的首部長(zhǎng)度），因此TCP最多有60字節(jié)的首部。然而，沒(méi)有任選字段，正常的長(zhǎng)度是20字節(jié);TCPFlags:TCP首部中有6個(gè)標(biāo)志比特，它們中的多個(gè)可同時(shí)被設(shè)置為1，主要是用于操控TCP的狀態(tài)機(jī)的，依次為URG，ACK，PSH，RST，SYN，F(xiàn)IN。每個(gè)標(biāo)志位的意思如下：URG:此標(biāo)志表示TCP包的緊急指針域（后面馬上就要說(shuō)到）有效，用來(lái)保證TCP連接不被中斷，并且督促中間層設(shè)備要盡快處理這些數(shù)據(jù)；ACK：此標(biāo)志表示應(yīng)答域有效，就是說(shuō)前面所說(shuō)的TCP應(yīng)答號(hào)將會(huì)包含在TCP數(shù)據(jù)包中;有兩個(gè)取值：0和1，為1的時(shí)候表示應(yīng)答域有效，反之為0;PSH:這個(gè)標(biāo)志位表示Push操作。所謂Push操作就是指在數(shù)據(jù)包到達(dá)接收端以后，立即傳送給應(yīng)用程序，而不是在緩沖區(qū)中排隊(duì)；RST：這個(gè)標(biāo)志表示連接復(fù)位請(qǐng)求。用來(lái)復(fù)位那些產(chǎn)生錯(cuò)誤的連接，也被用來(lái)拒絕錯(cuò)誤和非法的數(shù)據(jù)包；SYN：表示同步序號(hào)，用來(lái)建立連接。SYN標(biāo)志位和ACK標(biāo)志位搭配使用，當(dāng)連接請(qǐng)求的時(shí)候，SYN=1，ACK=0;連接被響應(yīng)的時(shí)候，SYN=1，ACK=1;這個(gè)標(biāo)志的數(shù)據(jù)包經(jīng)常被用來(lái)進(jìn)行端口掃描。掃描者發(fā)送一個(gè)只有SYN的數(shù)據(jù)包，如果對(duì)方主機(jī)響應(yīng)了一個(gè)數(shù)據(jù)包回來(lái)，就表明這臺(tái)主機(jī)存在這個(gè)端口；但是由于這種掃描方式只是進(jìn)行TCP三次握手的第一次握手，因此這種掃描的成功表示被掃描的機(jī)器不很安全，一臺(tái)安全的主機(jī)將會(huì)強(qiáng)制要求一個(gè)連接嚴(yán)格的進(jìn)行TCP的三次握手；FIN：表示發(fā)送端已經(jīng)達(dá)到數(shù)據(jù)末尾，也就是說(shuō)雙方的數(shù)據(jù)傳送完成，沒(méi)有數(shù)據(jù)可以傳送了，發(fā)送FIN標(biāo)志位的TCP數(shù)據(jù)包后，連接將被斷開(kāi)。這個(gè)標(biāo)志的數(shù)據(jù)包也經(jīng)常被用于進(jìn)行端口掃描。Window:窗口大小，也就是有名的滑動(dòng)窗口，用來(lái)進(jìn)行流量控制三設(shè)計(jì)過(guò)程TCPRST攻擊RST攻擊原理：圖從上面TCP協(xié)議圖可以看到，標(biāo)志位共有六個(gè)，其中RST位就在TCP異常時(shí)出現(xiàn)通過(guò)三次握手建立連接下面我通過(guò)A向B建立TCP連接來(lái)說(shuō)明三次握手怎么完成的。第一次握手；本人A的序號(hào)從開(kāi)始，我能接受每個(gè)TCP第一次握手；本人A的序號(hào)從開(kāi)始，我能接受每個(gè)TCP包最大皿60竽節(jié)，我的滑動(dòng)窗口大小是58W字節(jié).請(qǐng)求建立連接SYN,seq=100Tmss=1460,win=5840第二次握手】本人B發(fā)送ack=101*示確認(rèn)收到A的請(qǐng)求，本B的序號(hào)從5。。開(kāi)始，我能接受每個(gè)TCP包最大1024宰節(jié)，我的滑動(dòng)窗口大小是4096字宣請(qǐng)求建立連接SYN;seq=500,mss=1024,W!n=4096,ack=101第三次握手*A表示了髀清楚了B的狀況.A方半雙工通道完成，現(xiàn)在通過(guò)ack=501-&訴B,B在收到后整個(gè)全雙工的TCP連接建立完成寸win=5840,ack.=501圖為了能夠說(shuō)清楚下面的RST攻擊，需要結(jié)合上圖說(shuō)說(shuō)：SYN標(biāo)志位、序號(hào)、滑動(dòng)窗口大小。建立連接的請(qǐng)求中，標(biāo)志位SYN都要置為1，在這種請(qǐng)求中會(huì)告知MSS段大小，就是本機(jī)希望接收TCP包的最大大小。發(fā)送的數(shù)據(jù)TCP包都有一個(gè)序號(hào)。它是這么得來(lái)的：最初發(fā)送SYN時(shí)，有一個(gè)初始序號(hào)，根據(jù)RFC的定義，各個(gè)操作系統(tǒng)的實(shí)現(xiàn)都是與系統(tǒng)時(shí)間相關(guān)的。之后，序號(hào)的值會(huì)不斷的增加，比如原來(lái)的序號(hào)是100，如果這個(gè)TCP包的數(shù)據(jù)有10個(gè)字節(jié)，那么下次的TCP包序號(hào)會(huì)變成110?；瑒?dòng)窗口用于加速傳輸，比如發(fā)了一個(gè)seq=100的包，理應(yīng)收到這個(gè)包的確認(rèn)ack=101后再繼續(xù)發(fā)下一個(gè)包，但有了滑動(dòng)窗口，只要新包的seq與沒(méi)有得到確認(rèn)的最小seq之差小于滑動(dòng)窗口大小，就可以繼續(xù)發(fā)?；瑒?dòng)窗口毫無(wú)疑問(wèn)是用來(lái)加速數(shù)據(jù)傳輸?shù)?。TCP要保證“可靠”，就需要對(duì)一個(gè)數(shù)據(jù)包進(jìn)行ack確認(rèn)表示接收端收到。有了滑動(dòng)窗口，接收端就可以等收到許多包后只發(fā)一個(gè)ack包，確認(rèn)之前已經(jīng)收到過(guò)的多個(gè)數(shù)據(jù)包。有了滑動(dòng)窗口，發(fā)送端在發(fā)送完一個(gè)數(shù)據(jù)包后不用等待它的ack，在滑動(dòng)窗口大小內(nèi)可以繼續(xù)發(fā)送其他數(shù)據(jù)包。四次握手的正常TCP連接關(guān)閉：圖FIN標(biāo)志位也看到了，它用來(lái)表示正常關(guān)閉連接。圖的左邊是主動(dòng)關(guān)閉連接方，右邊是被動(dòng)關(guān)閉連接方，用netstat命令可以看到標(biāo)出的連接狀態(tài)。FIN是正常關(guān)閉，它會(huì)根據(jù)緩沖區(qū)的順序來(lái)發(fā)的，就是說(shuō)緩沖區(qū)FIN之前的包都發(fā)出去后再發(fā)FIN包，這與RST不同。RST表示復(fù)位，用來(lái)異常的關(guān)閉連接，在TCP的設(shè)計(jì)中它是不可或缺的。就像上面說(shuō)的一樣，發(fā)送RST包關(guān)閉連接時(shí)，不必等緩沖區(qū)的包都發(fā)出去（不像上面的FIN包），直接就丟棄緩存區(qū)的包發(fā)送RST包。而接收端收到RST包后，也不必發(fā)送ACK包來(lái)確認(rèn)。TCP處理程序會(huì)在自己認(rèn)為的異常時(shí)刻發(fā)送RST包。例如，A向B發(fā)起連接，但B之上并未監(jiān)聽(tīng)相應(yīng)的端口，這時(shí)B操作系統(tǒng)上的TCP處理程序會(huì)發(fā)RST包。又比如，AB正常建立連接了，正在通訊時(shí)，A向B發(fā)送了FIN包要求關(guān)連接，B發(fā)送ACK后，網(wǎng)斷了，A通過(guò)若干原因放棄了這個(gè)連接（例如進(jìn)程重啟）。網(wǎng)通了后，B又開(kāi)始發(fā)數(shù)據(jù)包，A收到后表示壓力很大，不知道這野連接哪來(lái)的，就發(fā)了個(gè)RST包強(qiáng)制把連接關(guān)了，B收到后會(huì)出現(xiàn)connectresetbypeer錯(cuò)誤。RST攻擊：A和服務(wù)器B之間建立了TCP連接，此時(shí)C偽造了一個(gè)TCP包發(fā)給B，使B異常的斷開(kāi)了與入之間的TCP連接，就是RST攻擊了。實(shí)際上從上面RST標(biāo)志位的功能已經(jīng)可以看出這種攻擊如何達(dá)到效果了。那么偽造什么樣的TCP包可以達(dá)成目的呢？我們至頂向下的看。假定C偽裝成A發(fā)過(guò)去的包，這個(gè)包如果是RST包的話，毫無(wú)疑問(wèn)，B將會(huì)丟棄與A的緩沖區(qū)上所有數(shù)據(jù)，強(qiáng)制關(guān)掉連接。如果發(fā)過(guò)去的包是SYN包，那么，B會(huì)表示A已經(jīng)發(fā)瘋了（與OS的實(shí)現(xiàn)有關(guān)），正常連接時(shí)又來(lái)建新連接，B主動(dòng)向A發(fā)個(gè)RST包，并在自己這端強(qiáng)制關(guān)掉連接。這兩種方式都能夠達(dá)到復(fù)位攻擊的效果。似乎挺恐怖，然而關(guān)鍵是，如何能偽造成A發(fā)給B的包呢？這里有兩個(gè)關(guān)鍵因素，源端口和序列號(hào)。一個(gè)TCP連接都是四元組，由源IP、源端口、目標(biāo)IP、目標(biāo)端口唯一確定一個(gè)連接。所以，如果C要偽造A發(fā)給B的包，要在上面提到的IP頭和TCP頭，把源IP、源端口、目標(biāo)^、目標(biāo)端口都填對(duì)。這里B作為服務(wù)器，IP和端口是公開(kāi)的，A是我們要下手的目標(biāo)，IP當(dāng)然知道，但A的源端口就不清楚了，因?yàn)檫@可能是A隨機(jī)生成的。當(dāng)然，如果能夠?qū)ΤＲ?jiàn)的OS如windows和linux找出生成sourceport規(guī)律的話，還是可以搞定的。那么，序列號(hào)不是問(wèn)題，源端口會(huì)麻煩點(diǎn)，如果各個(gè)操作系統(tǒng)不能完全隨機(jī)的生成源端口，或者黑客們能通過(guò)其他方式獲取到sourceport，RST攻擊易如反掌，后果很?chē)?yán)重圖防御：對(duì)付這種攻擊也可以通過(guò)防火墻簡(jiǎn)單設(shè)置就可以了。建議使用防火墻將進(jìn)來(lái)的包帶RST位的包丟棄就可以了。RST攻擊只能針對(duì)tcp。對(duì)udp無(wú)效。對(duì)付這種攻擊也可以通過(guò)防火墻簡(jiǎn)單設(shè)置就可以了。TCP會(huì)話劫持會(huì)話劫持原理：例如你Telnet到某臺(tái)主機(jī)，這就是一次Telnet會(huì)話;你瀏覽某個(gè)網(wǎng)站，這就是一次HTTP會(huì)話。而會(huì)話劫持(SessionHijack)，就是結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。例如，在一次正常的會(huì)話過(guò)程當(dāng)中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)，也可以在雙方的會(huì)話當(dāng)中進(jìn)行監(jiān)聽(tīng)，甚至可以是代替某一方主機(jī)接管會(huì)話。我們可以把會(huì)話劫持攻擊分為兩種類(lèi)型：1)中間人攻擊(ManInTheMiddle，簡(jiǎn)稱(chēng)MITM)，2)注射式攻擊(Injection);并且還可以把會(huì)話劫持攻擊分為兩種形式：1)被動(dòng)劫持，2)主動(dòng)劫持；被動(dòng)劫持實(shí)際上就是在后臺(tái)監(jiān)視雙方會(huì)話的數(shù)據(jù)流，從中獲得敏感數(shù)據(jù);而主動(dòng)劫持則是將會(huì)話當(dāng)中的某一臺(tái)主機(jī)〃踢〃下線，然后由攻擊者取代并接管會(huì)話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如"catetc/〃(FreeBSD下的Shadow文件)。會(huì)話劫持利用了TCP/IP工作原理來(lái)設(shè)計(jì)攻擊。TCP使用端到端的連接，即TCP用(源IP，源TCP端口號(hào)，目的^，目的TCP端號(hào))來(lái)唯一標(biāo)識(shí)每一條已經(jīng)建立連接的TCP鏈路。另外，TCP在進(jìn)行數(shù)據(jù)傳輸時(shí)，TCP報(bào)文首部的兩個(gè)字段序號(hào)(seq)和確認(rèn)序號(hào)(ackseq)非常重要。序號(hào)(seq)和確認(rèn)序號(hào)(ackseq)是與所攜帶TCP數(shù)據(jù)凈荷(payload)的多少有數(shù)值上的關(guān)系:序號(hào)字段(seq)指出了本報(bào)文中傳送的數(shù)據(jù)在發(fā)送主機(jī)所要傳送的整個(gè)數(shù)據(jù)流中的順序號(hào)，而確認(rèn)序號(hào)字段(ackseq)指出了發(fā)送本報(bào)文的主機(jī)希望接收的對(duì)方主機(jī)中下一個(gè)八位組的順序號(hào)。因此，對(duì)于一臺(tái)主機(jī)來(lái)說(shuō)，其收發(fā)的兩個(gè)相臨TCP報(bào)文之間的序號(hào)和確認(rèn)序號(hào)的關(guān)系為:它所要發(fā)出的報(bào)文中的seq值應(yīng)等于它所剛收到的報(bào)文中的ackseq的值，而它所要發(fā)送報(bào)文中ackseq的值應(yīng)為它所收到報(bào)文中seq的值加上該報(bào)文中所發(fā)送的TCP凈荷的長(zhǎng)度。TCP會(huì)話劫持的攻擊方式可以對(duì)基于TCP的任何應(yīng)用發(fā)起攻擊，如HTTP、FTP、Telnet等。對(duì)于攻擊者來(lái)說(shuō)，所必須要做的就是窺探到正在進(jìn)行TCP通信的兩臺(tái)主機(jī)之間傳送的報(bào)文，這樣攻擊者就可以得知該報(bào)文的源IP、源TCP端口號(hào)、目的^、目的TCP端號(hào)，從而可以得知其中一臺(tái)主機(jī)對(duì)將要收到的下一個(gè)TCP報(bào)文段中seq和ackseq值的要求。這樣，在該合法主機(jī)收到另一臺(tái)合法主機(jī)發(fā)送的TCP報(bào)文前，攻擊者根據(jù)所截獲的信息向該主機(jī)發(fā)出一個(gè)帶有凈荷的TCP報(bào)文，如果該主機(jī)先收到攻擊報(bào)文，就可以把合法的TCP會(huì)話建立在攻擊主機(jī)與被攻擊主機(jī)之間。帶有凈荷的攻擊報(bào)文能夠使被攻擊主機(jī)對(duì)下一個(gè)要收到的TCP報(bào)文中的確認(rèn)序號(hào)(ackseq)的值的要求發(fā)生變化，從而使另一臺(tái)合法的主機(jī)向被攻擊主機(jī)發(fā)出的報(bào)文被被攻擊主機(jī)拒絕。TCP會(huì)話劫持攻擊方式的好處在于使攻擊者避開(kāi)了被攻擊主機(jī)對(duì)訪問(wèn)者的身份驗(yàn)證和安全認(rèn)證，從而使攻擊者直接進(jìn)入對(duì)被攻擊主機(jī)的的訪問(wèn)狀態(tài)，因此對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。攻擊過(guò)程：1找到一個(gè)活動(dòng)的會(huì)話會(huì)話劫持的第一步要求攻擊者找到一個(gè)活動(dòng)的會(huì)話。這要求攻擊者嗅探在子網(wǎng)上的通訊。攻擊者將尋找諸如FTP之類(lèi)的一個(gè)已經(jīng)建立起來(lái)的TCP會(huì)話。如果這個(gè)子網(wǎng)使用一個(gè)集線器，查找這種會(huì)話是很容易的。一個(gè)交換的網(wǎng)絡(luò)需要攻擊者破壞地址解析協(xié)議。2猜測(cè)正確的序列號(hào)碼下一步，攻擊者必須能夠猜測(cè)正確的序列號(hào)碼。請(qǐng)記住，一個(gè)基本的TCP協(xié)議設(shè)計(jì)是傳輸?shù)臄?shù)據(jù)的每一個(gè)字節(jié)必須要有一個(gè)序列號(hào)碼。這個(gè)序列號(hào)用來(lái)保持跟蹤數(shù)據(jù)和提供可靠性。最初的序列號(hào)碼是在TCP協(xié)議握手的第一步生成的。目的地系統(tǒng)使用這個(gè)值確認(rèn)發(fā)出的字節(jié)。這個(gè)序列號(hào)字段長(zhǎng)度有32個(gè)字節(jié)。這就意味著可能有大約4,294,967,295個(gè)序列號(hào)。一旦這個(gè)序列號(hào)一致，這個(gè)賬戶就會(huì)隨著數(shù)據(jù)的每一個(gè)字節(jié)逐步增加。3把合法的用戶斷開(kāi)一旦確定了序列號(hào)，攻擊者就能夠把合法的用戶斷開(kāi)。這個(gè)技術(shù)包括拒絕服務(wù)、源路由或者向用戶發(fā)送一個(gè)重置命令。無(wú)論使用哪一種技術(shù)，這個(gè)目的都是要讓用戶離開(kāi)通訊路徑并且讓服務(wù)器相信攻擊者就是合法的客戶機(jī)。如果這些步驟取得成功，攻擊者現(xiàn)在就可以控制這個(gè)會(huì)話。只要這個(gè)會(huì)話能夠保持下去，攻擊者就能夠通過(guò)身份驗(yàn)證進(jìn)行訪問(wèn)。這種訪問(wèn)能夠用來(lái)在本地執(zhí)行命令以便進(jìn)一步利用攻擊者的地位。圖上機(jī)：TCP會(huì)話劫持?jǐn)?shù)據(jù)分析：圖分析分組1和分組2數(shù)據(jù)圖排除非客戶端的MAC數(shù)據(jù)10個(gè)ASCII碼字符，前8個(gè)ASCII碼為0x08字符，后面2個(gè)ASCII為0x0a字符。ASCII碼0x08代表退格符，ASCII碼0x0a代表?yè)Q行符。當(dāng)這個(gè)分組加入TCP數(shù)據(jù)流后，服務(wù)器會(huì)認(rèn)為用戶鍵入退格符8次，然后回車(chē)符兩次。雖然看起來(lái)可能不會(huì)有太大的危害，它的目的僅僅是清空合法用戶的輸入，然后顯示一個(gè)空白命令行給用戶。但是，這個(gè)可以幫組確保攻擊者構(gòu)造的下一組所能實(shí)現(xiàn)的功能，不再是

簡(jiǎn)單地在合法用戶輸入的任何命令行末尾添加一些信息。如圖所示?telnetl_hijacked,cap-Ethereal圖分組1數(shù)據(jù)信息第二個(gè)偽造分組的序號(hào)為243,含有37個(gè)字節(jié)的數(shù)據(jù)。主要包括以下的命令：echo“echoHACKED”>>$HOME/.profile。這個(gè)命令后緊跟著一個(gè)ASCII碼為0x0a的字符，提示換行輸入新的命令。這個(gè)命令會(huì)把“echoHACKED”字符添加到用戶的根目錄下名為.profile的文件中。在一些命令行shell中，用戶登錄后首先讀?。簆rofile文件并執(zhí)行其中所有命令。用戶通常都根據(jù)需要為創(chuàng)建他們的工作環(huán)境而執(zhí)行一些列命令。將這些命令放置到.profile文件中意味著用戶在每次登錄后都不用手動(dòng)地執(zhí)行這些設(shè)置命令。通過(guò)在.profile文件中添加“echoHACKED”

命令，當(dāng)用戶下次登錄時(shí)，他會(huì)在屏幕上看見(jiàn)“HACKED”字符串。如圖所示teln?tl_hjacked.cap-FtherealFileEditViewGoCaptureAnali^eStatistics Help劇鼠甌翩■翹己is*姓m回（命切谷殳[b]qFilter:^th.srceqC0:00:c0:29:36eB)and(eth.srceq0006:5b:d5:1&:e7)/Ejoressior...ClearApplyNO.,Timesource□eallnation3TCtOCClmro4615G3Lfi：192.16E.1.L03192.16B.1.101TELNETTelnetData.■』656493.50983：192.168.1.103192,166.1.101TELNETTe1netData...0000□0100020Q0300040005069B2coof0000□0100020Q0300040005069B2coof626050549044646Eo7o56eo1o466ooobr300046911132o3e47014510c3o447od5os8046042oo1COTooQ722oE8f5oa1645OOBd4c5640.74□6b648195800564ba24ea622so8oeoac223odafea81630204805oc2626???)6???.Kl...E.，巳L..O.|.e...ecHACKED/.prof11■■■■?日?■$.(iY.p.hotchu?$HCMEe..AEthernetII,src:3coin_87:aB:eb<00:0L:03:87:aB:eb^),Dst:We5ternD_29:36:eB((0Destination:WesterniC_29:36:e8(00:00:cO:29:2G:eE^QSource;3cam_37:a8:eb(00;01:03:87:afl:eb)TypE：IP(0x0800)minternetProtocol,5rc：192-168.1.103(192.L.6B.1.103^.Ost:01(1安曰TransmissionControlProtocol,￡rcPort:1072(1073),DstPort:telmet(22),￡50Urcepurl:L073(1Q73^Destinationport:te：lmet(23)^equenzpnumber:?43 (rplalivescqj@rc@number^[Nextsequencenumber:280(relativesequercenjmber}]Acknow!edgementnumber:110i(relat1veacknumber)Headerlength:20bytesQrlags:0x001E(psh,ac<^Windowidze:31744checksjm:0x45elLcorr&ctJ0TelnetData:echo"echoHACKED" prafilc'\nuatd；\oooFile:_C:'-UeersUnutao'iDEskt叩房忤度D13課件倒楚協(xié)議冥..|P:98125D:2M:0圖分組2數(shù)據(jù)信息TCP會(huì)話終止數(shù)據(jù)分析：在文件中，攻擊者成功地加入了實(shí)現(xiàn)其自身的“hijack”會(huì)話，同時(shí)使合法客戶端和服務(wù)器無(wú)法通信。在文件中，攻擊者發(fā)送了含有它自己的分組535。這次攻擊者是偽裝為服務(wù)器向客戶端發(fā)送偽造的分組?？蛻舳擞盟约悍纸M538中的FIN位作為響應(yīng)。而對(duì)于真正的服務(wù)器，它是第一次接收到客戶端關(guān)閉連接的分組，這樣它會(huì)認(rèn)為客戶端希望斷開(kāi)連接，并以一個(gè)分組540中的FIN位作為響應(yīng)?？蛻舳私邮盏竭@個(gè)分組后，服務(wù)器和客戶端的連接已經(jīng)斷開(kāi)，客戶端會(huì)發(fā)送一個(gè)窗口位為0和RST位置的

■￡)telnet2_fip9c^p-Eche^ealFileEdllVie*GoCaplureAnal^eSlalistiesHelpSi制朝球朝&0xa囪中奪陌否址回日⑨砂?；豈SFiller▼EvprasisianClaar4ppiyDesUnaHon^rrtocclInfoNe.rTimeSource53214S.56?95<0103telnetFiller▼EvprasisianClaar4ppiyDesUnaHon^rrtocclInfoNe.rTimeSource53214S.56?95<0103telnetTelnetoac占...54。ISO.88227；01192.168.1,103TCPteTnet>1074:'TN,A￡K]Seq-84?Ack-2^1Win-?212t541150.BEZ51-192.16B4lu103lez^eB.1.101TCP1QM>relnet■ramSeq=271Ler^OhFrane535(60bycesori^nre,60bytescaptured}AE-rherner口』src:3c(Hn_a7：aa!ehWmdlECi3您『：的：站、。戲】Dellconp_d5:ie:?7(do:Q6:5bjd53ie3€7)QDe-stinatian;DelICo叩一曲汀小的(00;0^:5b;d5;le;e7JQSource;Jcom_87:aS;eb(00;01;03;87;aS;ebjTypwIP(0x0800)Trailer;000000000000QInternetProtocol.Src;192.168-1.101(1^2,168.1,101J.tet;192-1^,1^103(1^2.168A,103)□TTansmissiarCorrtralProtocol!BsrcPer”telnetC23J.DstPart107^(10?-).5eq;M6BAck;270iLw;0Sourcepart；tellnet(23)[>e-5tinationport:1074(1074)^equen匚專(zhuān)nunfcer:346(rel-acivesequencerrnnber)Acknonledgemenrnumber:270(rellari?/eacknumber)Headerlangrlhs20byresHFlags:OxOOll(fin,ack)w1ndows說(shuō)131744cbecksum! (correcr)OQOo16?DDOSon-OQOo16?DDOSon-5-doD4407020eo3oe&4oLO&Q5179doldb103■.?■s.?c.■_"■687oQ26Qoloac_u&Q-JO.8LQ415004CSD5e如既b8QOeadoOUQSoac4o7210Bb?D5GboDC0JD41[dIfa4IdIfa4Ifa￡4

r(1n■eE■ €■;i.g...2js.!h..rf.IFileTUJs自『期hu晦＜陌白9助叩搟杵12131丁樣件聞蝌協(xié)瞄眼網(wǎng)131IIMTnace漏|P:B41D:S41M:D圖FIN攻擊文件中，攻擊者向客戶段發(fā)送了一個(gè)RST位置位的分組339。攻擊者再次偽裝服務(wù)器，并向客戶端發(fā)送偽造的分組?？蛻舳藭?huì)立刻直接關(guān)閉與服務(wù)器的連接，而不是按通常的三次握手的步驟來(lái)關(guān)閉連接。而此時(shí)真正的服務(wù)器并不知道發(fā)生了這些，它會(huì)繼續(xù)向客戶端發(fā)送分組340。當(dāng)分組到達(dá)客戶端后，客戶端會(huì)響應(yīng)連接已經(jīng)關(guān)閉的信息。如圖所示圖RST攻擊圖ftp攻擊結(jié)果分析：在TCP會(huì)話劫持中，只有攻擊者發(fā)送的是接受者所期望的序號(hào)的分組，就可以成功地實(shí)現(xiàn)“會(huì)話竊用”。在“會(huì)話竊取”成功后，導(dǎo)致正常主機(jī)和服務(wù)器兩邊一直僵持狀態(tài)。在TCP會(huì)話終止中，攻擊者發(fā)送了一個(gè)帶FIN或RST位的信息到目標(biāo)主機(jī)，他會(huì)成功關(guān)閉這次連接。但是它沒(méi)有獲得非法途徑訪問(wèn)資源，能阻止合法用戶訪問(wèn)資源。然而攻擊者通過(guò)網(wǎng)絡(luò)嗅探到的用戶口令與服務(wù)器建立一個(gè)FTP連接，并獲取服務(wù)器文件。預(yù)防：處理會(huì)話劫持問(wèn)題有兩種機(jī)制:預(yù)防和檢測(cè)。預(yù)防措施包括限制入網(wǎng)的連接和設(shè)置你的網(wǎng)絡(luò)拒絕假冒本地地址從互聯(lián)網(wǎng)上發(fā)來(lái)的數(shù)據(jù)包。加密也是有幫助的。如果你必須要允許來(lái)自可信賴(lài)的主機(jī)的外部連接，你可以使用Kerberos或者IPsec工具。使用更安全的協(xié)議，F(xiàn)TP和Telnet協(xié)議是最容易受到攻擊的。SSH是一種很好的替代方法。SSH在本地和遠(yuǎn)程主機(jī)之間建立一個(gè)加密的頻道。通過(guò)使用IDS或者IPS系統(tǒng)能夠改善檢測(cè)。交換機(jī)、SSH等協(xié)議和更隨機(jī)的初始序列號(hào)的使用會(huì)讓會(huì)話劫持更加困難。此外，網(wǎng)絡(luò)管理員不應(yīng)該麻痹大意，有一種安全感。雖然會(huì)話劫持不像以前那樣容易了，但是，會(huì)話劫持仍是一種潛在的威脅。允許某人以經(jīng)過(guò)身份識(shí)別的身份連接到你的一個(gè)系統(tǒng)的是需要認(rèn)真對(duì)付的。TCPSYNFlood攻擊攻擊原理問(wèn)題就出在TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱(chēng)為SYNTimeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源----數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是崩潰-—即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之小），此時(shí)從正常客戶的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況我們稱(chēng)作：服務(wù)器端受到了SYNFlood攻擊通常主機(jī)A與主機(jī)B的每一次T P連接都要經(jīng)過(guò)三次握手的過(guò)程第一次握手主機(jī)A向主機(jī)B發(fā)送SYN請(qǐng)求主機(jī)A將它隨機(jī)產(chǎn)生的初始序列號(hào)ISN傳送給主機(jī)B請(qǐng)求建立T P連接。第二次握手主機(jī)B向主機(jī)A回應(yīng)SYN+AK主機(jī)B接收到來(lái)自主機(jī)A的帶有SYN標(biāo)志的ISN后將自己的隨機(jī)的初始序列號(hào)ISN連同應(yīng)答信息AK一同返回給主機(jī)A。第三次握手主機(jī)A向主機(jī)B回應(yīng)SYN+AK主機(jī)A再將主機(jī)B傳送來(lái)ISN及應(yīng)答信息A K返回給主機(jī)B。通過(guò)以上三次握手就建立了主機(jī)A與B的TP連接在TcP的三次握手中當(dāng)主機(jī)B接收到主機(jī)A中的SYN請(qǐng)求時(shí)即第一次握手與第二次握手之間的連接稱(chēng)為半開(kāi)連接。如果計(jì)算機(jī)有限的內(nèi)存緩沖區(qū)中充滿了虛假的半開(kāi)連接信息該計(jì)算機(jī)就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)直到緩沖區(qū)里的連接企圖超時(shí)。根據(jù)TCP連接的漏洞惡意的主機(jī)A想攻擊主機(jī)B,A可以使用發(fā)包軟件在短時(shí)間用偽造的不存在的IP地址作為源地址不斷地向防火墻發(fā)送具有SYN請(qǐng)求的TCP數(shù)據(jù)包。主機(jī)B在收到SYN請(qǐng)求后會(huì)向請(qǐng)求SYN數(shù)據(jù)包的源地址發(fā)送一個(gè)SYN十ACK據(jù)包。由于源地址是一個(gè)偽造的地址主機(jī)B不可能收到偽造IP地址的SYN+ACK回應(yīng)數(shù)據(jù)包。主機(jī)B在短時(shí)間內(nèi)有大量的連接請(qǐng)求等待確認(rèn)。由于主機(jī)B的內(nèi)存緩沖區(qū)是有限的當(dāng)主機(jī)B中未釋放的連接請(qǐng)求數(shù)量超過(guò)主機(jī)B的限制時(shí)候主機(jī)B就無(wú)法再對(duì)新的連接請(qǐng)求進(jìn)行響應(yīng)就算是正常的連接請(qǐng)求也不會(huì)被主機(jī)B接受這時(shí)主機(jī)B受到了TCPSYNFlood攻擊。SYN攻擊實(shí)現(xiàn)起來(lái)非常的簡(jiǎn)單在互聯(lián)網(wǎng)上有大量現(xiàn)成的SYN攻擊工具。如運(yùn)行Windows系統(tǒng)下的SYN工具選擇隨機(jī)的源地址和源端口并填寫(xiě)目標(biāo)機(jī)器地址和選擇允許訪問(wèn)的TP端口通常Windows系統(tǒng)開(kāi)放TP139端口UNIX系統(tǒng)開(kāi)放TCP7、21、23等端口激活運(yùn)行很快就會(huì)發(fā)現(xiàn)目標(biāo)系統(tǒng)運(yùn)行緩慢。檢測(cè)TCPSYNFlood攻擊對(duì)于受到TCPSYNFlood攻擊的計(jì)算機(jī)檢測(cè)SYN攻擊比較容易。當(dāng)服務(wù)器上有大量的半連接狀態(tài)時(shí)特別是源IP地址是隨機(jī)的則可以斷定這是一次TCPSYNFlood攻擊。在L