TCP 重置攻擊的工作原理

米開朗基楊發表於2020-06-17

原文連結:https://fuckcloudnative.io/posts/deploy-k3s-cross-public-cloud/

TCP 重置攻擊 是使用一個單一的資料包來執行的,只有幾個位元組大小。攻擊者製作併傳送一個偽造的 TCP 重置包來干擾使用者和網站的連線,欺騙通訊雙方終止 TCP 連線。我們偉大的 xx 長城便運用了這個技術來進行 TCP 關鍵字阻斷

理解 TCP 重置攻擊並不需要具備深厚的網路知識功底,只需要一臺筆記本就可以對自己進行模擬攻擊。本文將會帶你瞭解 TCP 重置攻擊的原理,同時會幫助你理解很多關於 TCP 協議的特性。本文主要內容:

  • 回顧 TCP 協議的基礎知識
  • 瞭解 TCP 重置攻擊的原理
  • 使用一個簡單的 Python 指令碼來模擬攻擊

下面開始分析 TCP 重置攻擊原理。

1. 偉大的 xx 長城是如何利用 TCP 重置攻擊的?

這一段略過,原因你懂得,感興趣的請直接看原文。

2. TCP 重置攻擊的工作原理

在 TCP 重置攻擊中,攻擊者通過向通訊的一方或雙方傳送偽造的訊息,告訴它們立即斷開連線,從而使通訊雙方連線中斷。正常情況下,如果客戶端收發現到達的報文段對於相關連線而言是不正確的,TCP 就會傳送一個重置報文段,從而導致 TCP 連線的快速拆卸。

TCP 重置攻擊利用這一機制,通過向通訊方傳送偽造的重置報文段,欺騙通訊雙方提前關閉 TCP 連線。如果偽造的重置報文段完全逼真,接收者就會認為它有效,並關閉 TCP 連線,防止連線被用來進一步交換資訊。服務端可以建立一個新的 TCP 連線來恢復通訊,但仍然可能會被攻擊者重置連線。萬幸的是,攻擊者需要一定的時間來組裝和傳送偽造的報文,所以一般情況下這種攻擊只對長連線有殺傷力,對於短連線而言,你還沒攻擊呢,人家已經完成了資訊交換。

從某種意義上來說,偽造 TCP 報文段是很容易的,因為 TCP/IP 都沒有任何內建的方法來驗證服務端的身份。有些特殊的 IP 擴充套件協議(例如 IPSec)確實可以驗證身份,但並沒有被廣泛使用。客戶端只能接收報文段,並在可能的情況下使用更高階別的協議(如 TLS)來驗證服務端的身份。但這個方法對 TCP 重置包並不適用,因為 TCP 重置包是 TCP 協議本身的一部分,無法使用更高階別的協議進行驗證。

儘管偽造 TCP 報文段很容易,但偽造正確的 TCP 重置報文段並完成攻擊卻並不容易。為了理解這項工作的難度,我們需要先了解一下 TCP 協議的工作原理。

3. TCP 協議工作原理

TCP 協議的目標是向客戶端傳送一份完整的資料副本。例如,如果我的伺服器通過 TCP 連線向你的計算機傳送我的網站的 HTML,你的計算機的 TCP 協議棧應該能夠以我傳送的形式和順序輸出 HTML

然而現實生活中我的 HTML 內容並不是按順序傳送的,它被分解成許多小塊(稱為 TCP 分組),每個小塊在網路上被單獨傳送,並被重新組合成原來傳送的順序。這種重新組合後的輸出被稱為 TCP 位元組流

將分組重建成位元組流並不簡單,因為網路是不可靠的。TCP分組可能會被丟棄,可能不按傳送的順序到達客戶端,也可能會被重複傳送、報文損壞等等。因此,TCP 協議的職責是在不可靠的網路上提供可靠的通訊。TCP 通過要求連線雙方保持密切聯絡,持續報告它們接收到了哪些資料來實現可靠通訊,這樣服務端就能夠推斷出客戶端尚未接收到的資料,並重新傳送丟失的資料。

為了進一步理解這個過程,我們需要了解服務端和客戶端是如何使用序列號(sequence numbers)來標記和跟蹤資料的。

TCP 序列號

TCP 協議的通訊雙方, 都必須維護一個序列號(sequence numbers),對於客戶端來說,它會使用服務端的序列號來將接收到的資料按照傳送的順序排列。

當通訊雙方建立 TCP 連線時,客戶端與服務端都會向對方傳送一個隨機的初始序列號,這個序列號標識了其傳送資料流的第一個位元組。TCP 報文段包含了 TCP 頭部,它是附加在報文段開頭的後設資料,序列號就包含在 TCP 頭部中。由於 TCP 連線是雙向的,雙方都可以傳送資料,所以 TCP 連線的雙方既是傳送方也是接收方,每一方都必須分配和管理自己的序列號。

確認應答

當接收方收到一個 TCP 報文段時,它會向傳送方返回一個 ACK 應答報文(同時將 TCP 頭部的 ACK 標誌位置 1),這個 ACK 號就表示接收方期望從傳送方收到的下一個位元組的序列號。傳送方利用這個資訊來推斷接收方已經成功接收到了序列號為 ACK 之前的所有位元組。

TCP 頭部格式如下圖所示:

一個確認應答報文的 TCP 頭部必須包含兩個部分:

  • ACK 標誌位置位 1
  • 包含確認應答號(ACK number)

TCP 總共有 6 個標誌位,下文就會講到其中的 RST 標誌位。

TCP 頭部包含了多個選項,其中有一個選擇確認選項(SACK),如果使用該選項,那麼當接收方收到了某個範圍內的位元組而不是連續的位元組時,就會傳送 SACK 告知對方。例如,只收到了位元組 1000~30004000~5000,但沒有收到 3001~3999。為了簡單起見,下文討論 TCP 重置攻擊時將忽略選擇確認選項。

如果傳送方傳送了報文後在一段時間內沒有收到 ACK,就認為報文丟失了,並重新傳送報文,用相同的序列號標記。這就意味著,如果接收方收到了重複的報文,可以使用序列號來判斷是否見過這個報文,如果見過則直接丟棄。網路環境是錯綜複雜的,往往並不是如我們期望的一樣,先傳送的資料包,就先到達目標主機,反而它很騷,可能會由於網路擁堵等亂七八糟的原因,會使得舊的資料包,先到達目標主機。一般分兩種情況:

  1. 傳送的資料包丟失了
  2. 傳送的資料包被成功接收,但返回的 ACK 丟失了

這兩種情況對傳送方來說其實是一樣的,傳送方並不能區分是哪種情況,所以只能重新傳送資料包。

只要不頻繁重複傳送資料,額外的開銷基本可以忽略。

為偽造的重置包選擇序列號

構建偽造的重置包時需要選擇一個序列號。接收方可以接收序列號不按順序排列的報文段,但這種容忍是有限度的,如果報文段的序列號與它期望的相差甚遠,就會被直接丟棄。

因此,一個成功的 TCP 重置攻擊需要構建一個可信的序列號。但什麼才是可信的序列號呢?對於大多數報文段(除了重置包,即 RST 包)來說,序列號是由接收方的接收視窗大小決定的。

TCP 滑動視窗大小

想象一下,將一臺上世紀 90 年代初的古老計算機,連線到現代千兆光纖網路。閃電般快速的網路可以以令人瞠目結舌的速度向這臺古老的計算機傳送資料,速度遠遠超過該計算機的處理能力。但並沒有什麼卵用,因為只有接收方接收並處理了報文,才能認為這個報文已經被收到了。

TCP 協議棧有一個緩衝區,新到達的資料被放到緩衝區中等待處理。但緩衝區的大小是有限的,如果接收方的處理速度跟不上傳送方的傳送速度,緩衝區就會被填滿。一旦緩衝區被填滿,多餘的資料就會被直接丟棄,也不會返回 ACK。因此一旦接收方的緩衝區有了空位,傳送方必須重新傳送資料。也就是說,如果接收方的處理速度跟不上,傳送方的傳送速度再快也沒用。

緩衝區到底有多大?傳送方如何才能知道什麼時候可以一次傳送更多的資料,什麼時候該一次傳送很少的資料?這就要靠 TCP 滑動視窗了。接收方的滑動視窗大小是指傳送方無需等待確認應答,可以持續傳送資料的最大值。 假設接收方的通告視窗大小為 100,000 位元組,那麼傳送方可以無需等待確認應答,持續傳送 100,000 個位元組。再假設當傳送方傳送第 100,000 個位元組時,接收方已經傳送了前 10,000 個位元組的 ACK,這就意味著視窗中還有 90,000 個位元組未被確認,傳送方還可以再持續傳送 10,000 個位元組。如果傳送了 10,000 個位元組的過程中沒有收到任何的 ACK,那麼接收方的滑動視窗將被填滿,傳送方將停止傳送新資料(可以繼續傳送之前丟失的資料),直到收到相關的 ACK 才可以繼續傳送。

TCP 連線雙方會在建立連線的初始握手階段通告對方自己視窗的大小,後續還可以動態調整。TCP 緩衝區大的伺服器可能會宣告一個大視窗,以便最大限度提高吞吐量。TCP 緩衝區小的伺服器可能會被迫宣告一個小視窗,這樣做會犧牲一定的吞吐量,但為了防止接收方的 TCP 緩衝區溢位,還是很有必要的。

換個角度來看,TCP 滑動視窗大小是對網路中可能存在的未確認資料量的硬性限制。我們可以用它來計算髮送方在某一特定時間內可能傳送的最大序列號(max_seq_no):

max_seq_no = max_acked_seq_no + window_size

其中 max_acked_seq_no 是接收方傳送的最大 ACK 號,它表示傳送方知道接收方已經成功接收的最大序列號。window_size 是視窗大小,它表示允許傳送方最多傳送的未被確認的位元組。所以傳送方可以傳送的最大序列號是:max_acked_seq_no + window_size

TCP 規範規定,接收方應該忽略任何序列號在接收視窗之外的資料。例如,如果接收方確認了所有序列號在 15,000 以下的位元組,且接收視窗大小為 30,000,那麼接下來接收方只能接收序列號範圍在 15,000 ~ 45,000 之間的資料。如果一個報文段的部分資料在視窗內,另一部分資料在視窗外,那麼視窗內的資料將被接收確認,視窗外的資料將被丟棄。注意:這裡忽略了選擇確認選項,再強調一遍!

對於大多數 TCP 報文段來說,滑動視窗的規則告訴了傳送方自己可以接收的序列號範圍。但對於重置報文來說,序列號的限制更加嚴格,這是為了抵禦一種攻擊叫做盲目 TCP 重置攻擊(blind TCP reset attack),下文將會解釋。

TCP 重置報文段的序列號

對於 TCP 重置報文段來說,接收方對序列號的要求更加嚴格,只有當其序列號正好等於下一個預期的序列號時才能接收。繼續搬出上面的例子,接收方傳送了一個確認應答,ACK 號為 15,000。如果接下來收到了一個重置報文,那麼其序列號必須是 15,000 才能被接收。

如果重置報文的序列號超出了接收視窗範圍,接收方就會直接忽略該報文;如果其序列號在接收視窗範圍內,那麼接收方就會返回一個 challenge ACK,告訴傳送方重置報文段的序列號是錯誤的,並告之正確的序列號,傳送方可以利用 challenge ACK 中的資訊來重新構建和傳送重置報文。

其實在 2010 年之前,TCP 重置報文段和其他報文段的序列號限制規則一樣,但無法抵禦盲目 TCP 重置攻擊,後來才採取這些措施施加額外的限制。

盲目 TCP 重置攻擊

如果攻擊者能夠截獲通訊雙方正在交換的資訊,攻擊者就能讀取其資料包上的序列號和確認應答號,並利用這些資訊得出偽裝的 TCP 重置報文段的序列號。相反,如果無法截獲通訊雙方的資訊,就無法確定重置報文段的序列號,但仍然可以批量發出儘可能多不同序列號的重置報文,以期望猜對其中一個序列號。這就是所謂的盲目 TCP 重置攻擊(blind TCP reset attack)。

在 2010 年之前 TCP 的原始版本中,攻擊者只需要猜對接收視窗內的隨便哪一個序列號即可,一般只需傳送幾萬個報文段就能成功。採取額外限制的措施後,攻擊者需要傳送數以百萬計的報文段才有可能猜對序列號,這幾乎是很難成功的。更多細節請參考 RFC-5963

4. 模擬攻擊

以下實驗是在 OSX 系統中完成的,其他系統請自行測試。

現在來總結一下偽造一個 TCP 重置報文要做哪些事情:

  • 嗅探通訊雙方的交換資訊。
  • 截獲一個 ACK 標誌位置位 1 的報文段,並讀取其 ACK 號。
  • 偽造一個 TCP 重置報文段(RST 標誌位置為 1),其序列號等於上面截獲的報文的 ACK 號。這只是理想情況下的方案,假設資訊交換的速度不是很快。大多數情況下為了增加成功率,可以連續傳送序列號不同的重置報文。
  • 將偽造的重置報文傳送給通訊的一方或雙方,時其中斷連線。

為了實驗簡單,我們可以使用本地計算機通過 localhost 與自己通訊,然後對自己進行 TCP 重置攻擊。需要以下幾個步驟:

  1. 在兩個終端之間建立一個 TCP 連線。
  2. 編寫一個能嗅探通訊雙方資料的攻擊程式。
  3. 修改攻擊程式,偽造併傳送重置報文。

下面正式開始實驗。

建立 TCP 連線

可以使用 netcat 工具來建立 TCP 連線,這個工很多作業系統都預裝了。開啟第一個終端視窗,執行以下命令:

$ nc -nvl 8000

這個命令會啟動一個 TCP 服務,監聽埠為 8000。接著再開啟第二個終端視窗,執行以下命令:

$ nc 127.0.0.1 8000

該命令會嘗試與上面的服務建立連線,在其中一個視窗輸入一些字元,就會通過 TCP 連線傳送給另一個視窗並列印出來。

嗅探流量

編寫一個攻擊程式,使用 Python 網路庫 scapy 來讀取兩個終端視窗之間交換的資料,並將其列印到終端上。完整的程式碼參考我的 GitHub 倉庫,程式碼的核心是呼叫 scapy 的嗅探方法:

t = sniff(
        iface='lo0',
        lfilter=is_packet_tcp_client_to_server(localhost_ip, localhost_server_port, localhost_ip),
        prn=log_packet,
        count=50)

這段程式碼告訴 scapylo0 網路介面上嗅探資料包,並記錄所有 TCP 連線的詳細資訊。

  • iface : 告訴 scapy 在 lo0(localhost)網路介面上進行監聽。
  • lfilter : 這是個過濾器,告訴 scapy 忽略所有不屬於指定的 TCP 連線(通訊雙方皆為 localhost,且埠號為 8000)的資料包。
  • prn : scapy 通過這個函式來操作所有符合 lfilter 規則的資料包。上面的例子只是將資料包列印到終端,下文將會修改函式來偽造重置報文。
  • count : scapy 函式返回之前需要嗅探的資料包數量。

傳送偽造的重置報文

下面開始修改程式,傳送偽造的 TCP 重置報文來進行 TCP 重置攻擊。根據上面的解讀,只需要修改 prn 函式就行了,讓其檢查資料包,提取必要引數,並利用這些引數來偽造 TCP 重置報文併傳送。

例如,假設該程式截獲了一個從(src_ip, src_port)發往 (dst_ip, dst_port)的報文段,該報文段的 ACK 標誌位已置為 1,ACK 號為 100,000。攻擊程式接下來要做的是:

  • 由於偽造的資料包是對截獲的資料包的響應,所以偽造資料包的源 IP/Port 應該是截獲資料包的目的 IP/Port,反之亦然。
  • 將偽造資料包的 RST 標誌位置為 1,以表示這是一個重置報文。
  • 將偽造資料包的序列號設定為截獲資料包的 ACK 號,因為這是傳送方期望收到的下一個序列號。
  • 呼叫 scapysend 方法,將偽造的資料包傳送給截獲資料包的傳送方。

對於我的程式而言,只需將這一行取消註釋,並註釋這一行的上面一行,就可以全面攻擊了。按照步驟 1 的方法設定 TCP 連線,開啟第三個視窗執行攻擊程式,然後在 TCP 連線的其中一個終端輸入一些字串,你會發現 TCP 連線被中斷了!

進一步實驗

  1. 可以繼續使用攻擊程式進行實驗,將偽造資料包的序列號加減 1 看看會發生什麼,是不是確實需要和截獲資料包的 ACK 號完全相同。
  2. 開啟 Wireshark,監聽 lo0 網路介面,並使用過濾器 ip.src == 127.0.0.1 && ip.dst == 127.0.0.1 && tcp.port == 8000 來過濾無關資料。你可以看到 TCP 連線的所有細節。
  3. 在連線上更快速地傳送資料流,使攻擊更難執行。

總的來說,TCP 重置攻擊既深奧又簡單,祝你實驗順利。


Kubernetes 1.18.2 1.17.5 1.16.9 1.15.12離線安裝包釋出地址http://store.lameleg.com ,歡迎體驗。 使用了最新的sealos v3.3.6版本。 作了主機名解析配置優化,lvscare 掛載/lib/module解決開機啟動ipvs載入問題, 修復lvscare社群netlink與3.10核心不相容問題,sealos生成百年證照等特性。更多特性 https://github.com/fanux/sealos 。歡迎掃描下方的二維碼加入釘釘群 ,釘釘群已經整合sealos的機器人實時可以看到sealos的動態。

相關文章