TCP协议安全分析()
要求:
1、TCP协议格式及说明
1、16位源端口号:16位的源端口中包含初始化通信的端口。源端口和源IP地址的作用是标识报文的返回地址。
2、16位目的端口号:16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。
3、32位序号:32位的序列号由接收端计算机使用,重新分段的报文成最初形式。当SYN出现,序列码实际上是初始序列码 (Initial Sequence Number,ISN),而第一个数据字节是ISN+1。这个序列号(序列码)可用来补偿传输中的不一致。
4、32位确认序号:32位的序列号由接收端计算机使用,重组分段的报文成最初形式。如果设置了ACK控制位,这个值表示一个准备接收的包的序列码。
5、4位首部长度:4位包括TCP头大小,指示何处数据开始。
6、保留(6位):6位值域,这些位必须是0。为了将来定义新的用途而保留。
7、标志(6位):表示为:
URG:紧急标志。紧急标志为\表明该位有效。
ACK:确认标志。表明确认编号栏有效。大多数情况下该标志位是置位的。TCP报头内
的确认编号栏内包含的确认编号(w+1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
PSH:推标志。该标志置位时,接收端不将该数据进行队列处理,而是尽可能快地将数
据转由应用处理。在处理Telnet或rlogin等交互模式的连接时,该标志总是置位的。
RST:复位标志。用于复位相应的TCP连接。
SYN:同步标志。表明同步序列编号栏有效。该标志仅在三次握手建立TCP连接时有效。
它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
FIN:结束标志。
8、16位窗口大小:用来表示想收到的每个TCP数据段的大小。TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16字节字段,因而窗口大小最大为65535字节。
9、16位校验和:16位TCP头。源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性。检验和覆盖了整个的TCP报文段:这是一个强制性的字段,一定是由发送端计算和存储,并由接收端进行验证的。(检验范围包括首部和数据两部分。和UDP用户数据报一样,在计算校验和时,要在TCP报文段加上12字节的伪首部。)
10、16位紧急指针:指向后面是优先数据的字节,在URG标志设置了时才有效。如果URG标志没有被设置,紧急域作为填充。加快处理标示为紧急的数据段。
11、选项:长度不定,但长度必须为1个字节。如果没有选项就表示这个1字节的域等于0。
12、数据:该TCP协议包负载的数据。
2、TCP协议传输特点
(1)可靠性
TCP协议自带超时重传,应答确认机制,保证其可靠性。 (2)面向连接
TCP数据报要想发送,必须先建立连接(三次握手),然后在连接好的双方之间进行数据传输。
三次握手:服务器向客户端发送带SYN标志位的请求报文,表示请求连接(初始值i)。客户端收到后发送带SYN标志位和ACK标志位的报文,表示服务器也要请求服务器的连接(表示应答的初始值j),并且回复客户端,表示“我已经收到了你的请求”(表示回复客户端的请求i+1)。客户端向服务器发送ACK报文,表示知道对方的请求(回复服务器的请求j+1)。
(3)全双工连接
该连接的两端有两条彼此独立、方向相反的传输通道,即双向通道。
3、TCP协议安全隐患
(1)SYN泛洪攻击(SYN Flooding)
之前介绍TCP建立连接需要三次握手,在这个过程中所发送的第一条消息称之为SYN消息,所以攻击者可以大量给目标主机发送第一条消息,而对对方所回送的ACK消息进行忽略。通过这样的方式,攻击者就实现对主机的拒绝服务攻击。而接收主机在每一次收到SYN消息之后都会花费资源来存储这些TCP连接的相关内容,如果攻击者所发送的次数足够大,那么接收主机的存储资源会被消耗掉,当正常用户对主机进行访问时,则不能为其提供服务。
(2)ACK泛洪攻击(ACK Flooding)-随机IP
攻击者通过随机产生随机源IP和随机源端口,在已经建立TCP连接的情况下,对攻击目标发送一条ACK有效的消息,这违背了TCP三次握手的规定,主机B会向攻击者发送一条重置连接的消息。如果攻击者通过这样的方式不断的产生随机源和随机端口,呢么主机B会花费大量的时间查询本地表。那么被攻击者会忙于处理这些非法请求,当正常用户对主机进行访问时,则不能为其提供服务。
(3)ACK泛洪攻击(ACK Flooding)-伪造IP
这种方式中,攻击者会伪造一个被攻击对象的IP地址和端口号,然后将源IP地址修改为被攻击目标的IP地址,之后攻击者向网络中发送一条ACK泛红消息,这些主机收到这些消息之后,这样的消息是非法的,接受ACK消息的主机会向源IP地址回送一个RET消息,当RET消息足够多的时候,被攻击目标会忙于处理这些非法请求,当正常用户对主机进行访问时,则不能为其提供服务。
(4)序列号预测攻击
在TCP协议中,数据包是否能被对方接收,取决于这个数据包的序列号是否是对方所期待的序列号,已经建立TCP连接的双方,是通过序列号和确认号来确认双方传输的,作为攻击者,如果通过端口猜测和序列号预测知道了已经建立的TCP连接的下一条消息的序列号,那么攻击者就可以伪造一个相应的数据包,将其发送到网络中,对方收到这个数据包后会认为是一个合法的数据包,从而进行接受和处理。
(5)LAND攻击
如果源IP和目的IP相同会是什么样子?在建立三次握手时,发送SYN消息时,其目的IP和源IP均为服务器的IP地址,此时服务器会建立一个自己与自己的空连接,从而占用大量的资源。
4、TCP协议安全防范策略
1.TCP欺骗
描述:利用主机之间某种网络服务的信任关系建立虚拟的TCP连接,可能模拟受害者从服务器端获取信息,具体过程类似于IP欺骗攻击
网络协议分析作业1TCP协议格式及说明2TCP协议传输特点3TCP协议安全隐患TCP协议安全防范策略
