连接建立:TCP 连接的建立由要建立连接的客户机和该客户机联系的服务器通过三步握手过程执行。要开始连接,您需要有一个在特定端口提供服务的服务器;例如,在端口 23 侦听的 Telnet 服务。当客户机想要打开与服务器的连接时,它向服务器发送一个连接请求。这意味着向服务器发送一个设置了 SYN 标志的 TCP 包。服务器以设置了 SYN 和 ACK 标志的包应答。最后,客户机通过向服务器发送设置了 ACK 标志的 TCP 包进行确认。这样,客户机和服务器之间的连接就建立起来了。
连接关闭:在发送完所有数据之后,通信伙伴中的一方想要关闭连接。假设是客户机要终止连接。它将通过向服务器发送设置了 FIN 标志的 TCP 包来完成该操作。服务器将通过返回设置了 ACK 标志的包进行确认。从此刻起,客户机将不再向服务器发送任何数据。它将仅以空段确认由服务器发送的数据。当服务器关闭客户机流时,连接关闭。
讲完了预备知识,我将向您介绍两个 TCP 攻击的示例。
TCP SYN 扫描
类别:端口扫描
描述:TCP SYN 扫描是端口扫描的变体。端口扫描用来检查给定主机上的端口是否打开。收集此类信息是跟踪足迹(先前的攻击种类中讨论过)的一部分,用来获得主机上的额外信息。知道主机上哪些端口是打开的,对于攻击者推断目标主机上可能存在的弱点是重要的第一步。
TCP 端口扫描的最简单形式是打开一个到主机所有端口的连接。如果成功地打开了到给定端口的连接,则攻击者知道该服务是可用的。但是,因为操作系统和/或工具可能会记录此类行为并因此察觉端口扫描,所以,攻击者通常想在被扫描主机不知道的情况下执行端口扫描。在本节中,我将讨论攻击者所使用的一种端口扫描形式,它不会被目标主机轻易地侦测到。
TCP SYN 扫描也称为半开扫描。顾名思义,攻击者只是部分地打开连接。要实现这一点,攻击者向目标主机发送设置了 SYN 标志的 TCP 包,就象打开常规 TCP 连接时一样。如果该端口是打开的,则被扫描主机返回设置了 SYN 和 ACK 标志的包进行响应。如果端口未打开,则被扫描主机发送设置了 RST 和 ACK 标志的包。
在被扫描主机返回了 SYN/ACK 包后,连接在服务器端将进入挂起状态,表明连接正处于建立的过程中,但还没有完全建立。但是,攻击者会发送设置了 RST 和 ACK 标志的包回应 SYN/ACK 包。这将触发被扫描主机再次关闭已部分建立的连接。
这种攻击的想法是找出特定目标主机上打开的端口,但完成的方式非常狡猾,因此被攻击的主机或质量低劣的入侵检测工具不会发现。
SYN 扩散
种类:拒绝服务攻击
描述:在 Smurf 攻击流行之前,SYN 扩散攻击是最具破坏性的拒绝服务攻击。如上所述,当主机 A 想建立到目的地主机 D 的 TCP 连接时,它首先发送设置了 SYN 标志的 TCP 段。当接收这个段时,主机 D 通过返回设置了 SYN 和 ACK 标志的包确认它。但主机 D 同时将挂起(部分打开的)连接放到挂起连接队列中。当等待连接的发起方(主机 A)的确认时,连接保持挂起状态。
主机 D 在特定的超时周期以内等待确认的到来,通常根据中断的 IP 实现从 75 秒到 25 分钟不等。因为挂起连接队列大小有限(大约是十二个左右的连接),所以最终将被填满。您会发现,攻击者只要每十秒钟左右发送几个 SYN 包就可以禁用特定端口。这种攻击方法是一种非常严重的拒绝服务攻击方式,因为在接收新的 SYN 包之前,被攻击的系统将永远无法清除积压队列,因此也就无法响应任何其它请求。
这种攻击的动机也很明显。攻击者想要使特定服务(例如 Web 服务器)瘫痪。您可以再次发现,对攻击者一方而言,只需少得惊人的资源就可以执行这种攻击。
结束语
沉浸在计算机安全性的世界里会感觉既可怕同时又令人着迷:可怕是因为您会慢慢了解攻击者用非常简单的方法(作为安全初学者,您可能从未注意过这些事情)能造成什么样的破坏。令人着迷是因为您学得越多,就越能发现改进的余地和随之而来的新工作。
关注此文的读者还看过: