前情回顧:《非中間人就不能劫持TCP了嗎?》
不速之客
夜黑風高,烏雲蔽月。
兩位不速之客,身著黑衣,一高一矮,潛入Linux帝國。
這一潛就是一個多月,直到他們收到了一條訊息······
高個:“上峰終於給我們派任務了”
矮個:“什麼任務?我都閒的發慌了”
高個:“上峰讓我們配合他們完成TCP連線的劫持”
矮個:“TCP劫持?我們就是個普通程式,並沒有核心許可權,怎麼去修改網路連線啊,這不是強人所難嘛”
高個:“是啊,我也很奇怪。信上只約定了讓我們到時候告訴他們一個計數器的值就行,其他我們不用管”
矮個:“計數器,什麼計數器?”
高個:“DelayedACKLost,信上說執行cat /proc/net/netstat
就能看到”
矮個:“不需要特殊許可權嗎?”
高個:“我也不知道,要不我們先試一下?”
兩人收起信件,環顧一圈,見四下無人,便偷偷執行了這一條命令:
“這都是些什麼啊?怎麼這麼多?”,矮個子問到。
“看樣子,像是記錄了Linux帝國網路協議棧的很多統計資訊”,高個子一邊說一邊仔細的檢視著。
“這些資訊居然是公開的,誰都可以看?”
“也只能看,又改不了。怕啥?快找吧,找到DelayedACKLost再說”
兩人瞪大了眼睛,總算在一片密密麻麻的輸出中,找到了他們要的計數器。
可這一個小小的計數器怎麼就能助上峰完成TCP的劫持,二人卻是百思不得其解。
祕密任務
第二天晚上。
“快醒醒,上峰又來訊息了”,在高個子的一陣搖晃中,矮個睜開了困頓的雙眼。
“又是什麼訊息啊?”
“讓我們立即彙報DelayedACKLost的值”
兩人趕緊起身,再次執行了那條命令,拿到了計數器的值,報了上去。
剛發完訊息還沒緩過神,上峰的指示又來了:DelayedACKLost有無增加?
兩人互相看了一眼,不解其意,不過還是再次檢視了計數器,確認沒有增加,再次把結果報了上去。
就這樣,來來回回幾十次,上峰一直詢問這個計數器有無增加,可把哥倆忙壞了。
終於,上峰不再來訊息,兩人有了喘息的時間。
古怪的TCP連線
而此刻,Linux帝國網路部協議棧大廈還是燈火通明。
“今晚是怎麼回事,網路怎麼這麼差,我都收到了好多錯誤包了”,新來的Robert嘆了口氣。
“不至於吧,是不是因為剛來還不太熟練?”,一旁的Cerf隨口問到。
“不是啊,有一條連線,我收到的包序列號不是太小,就是太大,搞了好多次才正確的,我還沒見過這種情況呢!”,Robert繼續說到。
一聽這話,Cerf趕緊放下了手裡的工作,來到Robert工位旁邊,“這麼邪乎?你說這情況我來這裡這麼久也沒見過,讓我看看”
Cerf仔細檢視了過去一段時間的通訊,這條連線上,不斷有資料包傳送過來,但因為TCP序列號一直不對,所以一直給丟掉了。
“有點奇怪,這傢伙怎麼感覺像是在猜序列號啊?而且奇怪的是最終居然讓他給猜出來了!這條連線一定有古怪,多半是被人劫持了。劫持方因為不知道序列號,所以一直在嘗試猜測序列號”,Cerf說到。
Robert也看了一看,“你這麼一說,確實是,而且你看,他不是瞎猜,好像是用二分法在猜!序列號是個32位的整數,二分法猜測,只需要32次就能猜出來”
“二分法?要用二分法的前提他得知道他是猜大了還是猜小了,得不到這個反饋,他就只能瞎猜了。他是如何得知猜大還是猜小的呢?”
兩人思來想去,也想不通對方是如何用二分法猜出了最終的序列號,隨後將此事報給了網路部傳輸層主管,主管又將這事報給了帝國安全部長。
揪出潛伏者
部長得知這個訊息後,高度重視,要求全面排查網路部TCP小組相關的程式碼。
大家尋著TCP資料包處理的流程,在序列號檢查處的位置發現了問題。
如果序列號檢查不通過,就會進入tcp_send_dupack
,大家都把注意力放到了這裡:
“這裡這個before判斷是什麼意思?”,主管問到。
Cerf上前回答說:“這是在判斷收到的資料包的序列號是不是比期望的序列號小,如果小的話,說明網路有重傳,就要關閉延遲迴復ACK的機制,需要立即回覆ACK”
“延遲迴復ACK?”
“哦,主管,這是我們TCP小組的一個優化,TCP傳輸需要確認,但是如果每一次互動資料都傳送ACK就太浪費了,所以我們做了一個優化,等到多次或者有資料傳送的時候,一併把回覆的ACK帶上,就不用了每次傳送ACK報文,我們把這個叫Delayed ACK,也就是延遲確認。”,Cerf繼續解釋到。
“那下面這個tcp_enter_quickack_mode
是不是就是關閉這個機制,進入快速ACK回覆模式?”,主管問到。
“沒錯沒錯!”
這時,安全部長指著一行問到,“這裡看著有些古怪,是在幹嘛?”
“這個我知道,Cerf昨天教過我,這個是在進行統計。把這一次延遲ACK的丟失計入對應的全域性計數器中”,Robert說到。
經驗老道的安全部長此刻意識到了問題,“如此看來,收到的序列號比期望小的時候,這個計數器才會增加,如果大了就不會增加。各位試想一下,如果那個猜測的傢伙能看到這個計數器有無增長,不就能知道是猜大了還是猜小了?”
Robert搖了搖頭說到:“不會吧,這計數器在我們這裡,網路上其他人怎麼可能知道。再說了,這個計數器大家都在用,用這個判斷,誤差太大啦!”
主管也搖了搖頭,“不對,雖說是大家都在用,不過這裡這個計數器很特別,發生的概率很小,一般不會走到這裡來,網路哪那麼容易出問題嘛”
安全部長說到:“根據目前掌握的資訊,之前就有其他部門反映帝國有奸細混了進來,不過他們一直藏在暗處,至今還沒有揪出來。如若他們和外界勾結,作為眼線,觀察這個計數器的變化,外面就能知道他的猜測是大是小。對,一定是這樣!”
隨後,安全部長來到了檔案系統部門,呼叫了/proc/net/netstat
的訪問記錄,根據記錄很快定位到了隱藏在Linux帝國的兩個細作,下令將他們逮捕。
高矮兩位奸細如實交代了一切······
未完待續······
彩蛋
“老大,我們派出的潛伏者失去聯絡了”
“無妨,沒有那兩個笨蛋,我也能劫持TCP”
預知後事如何,請關注後續精彩······
本文的攻擊手法改編自看雪2018峰會,網路安全大牛錢志雲分享的主題《TCP的厄運,網路協議側通道分析及利用》