精华内容
下载资源
问答
  • TCP序列号攻击的原理及预防方法,对于TCP序列攻击有一定的参考价值
  • 具体讲述阻止TCP中ACK的攻击方法 很好
  • DDoS攻击--TCP攻击概述

    万次阅读 多人点赞 2018-08-22 16:14:34
    目前TCP协议占全网的流量达到80%,因此这也成为黑客主要攻击的类别。 TCP报文结构 一个TCP报头的标识(code bits)字段包含6个标志位: SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN=1...

    前言

    TCP协议,相信对于每一个开发工程师都不陌生。由于该协议是一个面向连接可靠的特性,广泛应用于现在互联网的应用中。如常见的web,ssh,ftp等都是基于TCP协议。目前TCP协议占全网的流量达到80%,因此这也成为黑客主要攻击的类别。


    TCP报文结构

    一个TCP报头的标识(code bits)字段包含6个标志位:

    • SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接
    • FIN:表示发送端已经没有数据要求传输了,希望释放连接
    • RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包
    • URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效
    • ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效
    • PSH:如果置位,接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送

    TCP 三次握手与四次挥手

     

    TCP 建立连接:三次握手

    1. client: syn
    2. server: syn+ack
    3. client: ack

    TCP 断开连接:四次挥手

    1. client: fin
    2. server: ack
    3. server: fin
    4. client: ack

    TCP报文的交互过程

    下面是本机浏览器访问www.163.com,使用wireshark抓包的结果:

     

    这里我们忽略中间的数据传输过程,重点先关注一下头尾处的连接建立我断开连接的部分。  

    TCP连接的建立:主要的目的是为了互相通知对方自己的初始化的sequence Number,这个序号用于IP数据包在网络上乱序到达的时,便于TCP对IP数据包的重排序。 

    客户端的第一个报文如下图: 

    TCP中的syn标志位置为1,序号为 612417286(记为i)

    服务端接收到报文后,对该报文进行确认,并发送自己的sequence number给客户端,故为SYN_ACK包,如下图:

    可以看到tcp中syn,ack标志位同时被置为1,服务端确认客户端的报文,Acknowledgement number(确认号)为612417287(i+1),并带上自己的sequence number 为 522111292(记为j)。

    客户端收到后会对发送确认报文,对服务端报文进行确认。如图: 

    TCP的ack标志位被置为1,确认号为522111293(j+1)。 

    TCP连接断开: TCP是一个全双工的数量传输协议,所以TCP连接的断开实际上是2个方向上的传输关闭过程。 

    接下来看看报文的交互过程,本例为服务端发起的关闭: 

    首先服务端发送一个FIN报文。通知客户端,服务端不在有数据发送给客户端:

    这里我们可以忽略ack和Acknowledgement number,这个为对前一次客户端报文的确认。我们可以看到TCP中的FIN标志位置为1,sequence number 为522230043(记为k)。 

    客户端收到fin报文后,回复一个ack包确认。 

    这样从服务端到客户端这个方向上的数据传输通道就被关闭,即服务端应用不可以在通过这条连接发送数据给客户端。 

    接下来就是关闭客户端到服务端的传输通道,客户端首先发送fin包,如下图 :

    服务端收到后发送确认报文给客户端。 

    这样一来从客户端到服务端的传输通道也关闭了,那么此时两个方向上的传输通道都关闭了,TCP的通信双方就都断开了连接。

    简略的交互示意图如下: 

           

     从上述的连接建立和断开方式我们会发现TCP连接的建立和断开涉及多个报文,多个状态之间的转换。那么从攻击者角度看上述过程,我们该怎么利用交互过程进行DDOS攻击呢? 


    TCP攻击分类

    TCP攻击可以简单的分为以下三类:

     1.FLOOD类攻击,例如发送海量的syn,syn_ack,ack,fin等报文,占用服务器资源,使之无法提供服务。

     2.连接耗尽类攻击,如与被攻击方,完成三次握手后不再发送报文一直维持连接,或者立刻发送FIN或RST报文,断开连接后再次快速发起新的连接等,消耗TCP连接资源。  还有一类则比较巧妙,是在我们上述没有做分析的数据传输过程中的利用TCP本身的流控,可靠性保证等机制来达到攻击的目的。

     3. 利用协议特性攻击:例如攻击这建好连接之后,基于TCP的流控特性,立马就把TCP窗口值设为0,然后断开连接,则服务器就要等待Windows开放,造成资源不可用。或者发送异常报文,可能造成被攻击目标奔溃


    End

    展开全文
  • Hyenae TCP 攻击教程

    千次阅读 热门讨论 2020-01-13 15:57:23
    一、Hyenae 安装 一路下一步,即可,如果安装过程中有弹窗提示winpcaq安装不...二、Hyenae TCP攻击教程 双击打开hyenae工具,默认如下界面显示 本次实验:攻击机是本机 IP:192.168.80.1;靶机是虚拟机 IP:192.1...

    一、Hyenae 安装
    一路下一步,即可,如果安装过程中有弹窗提示winpcaq安装不成功,或者电脑中已经安装了winpcaq,就把之前安装的winpcaq卸载即可,一定要把跟winpcaq所有相关的文件都卸载干净,才能安装上。
    在这里插入图片描述

    二、Hyenae TCP攻击教程
    双击打开hyenae工具,默认如下界面显示
    在这里插入图片描述
    本次实验:攻击机是本机 IP:192.168.80.1;靶机是虚拟机 IP:192.168.80.128:81(采用NAT模式,网卡用的虚拟网卡VMware Network Adapter VMnet8)
    第一步:打开目标靶机
    在这里插入图片描述
    第二步:DDOS攻击测试
    此次攻击我们选用TCP的SYN泛洪攻击,SYN泛洪原理可查看:https://blog.csdn.net/chenyulancn/article/details/78832597
    选择IP版本IPV4,选择协议类型TCP,之后在右边就会出现TCP攻击需要配置的模块信息
    在这里插入图片描述
    进行攻击配置
    在这里插入图片描述
    配置完成之后,开始攻击

    在这里插入图片描述
    需要等待一段时间,网站就拒绝服务了
    在这里插入图片描述
    在这里插入图片描述
    *完成:在70.446秒内发送1551040个数据包(83756160字节)

    更多资源:

    1、web安全工具、渗透测试工具
    2、存在漏洞的网站源码与代码审计+漏洞复现教程、
    3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
    4、应急响应真实案例复现靶场与应急响应教程

    收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
    在这里插入图片描述

    展开全文
  • TCP欺骗攻击

    2019-03-06 22:10:04
    TCP欺骗攻击 何为TCP欺骗技术 将非法计算机伪装成合法计算机与其他正常计算机进行信息交互,达到不同种目的的一种技术手段。 何为TCP/IP三次握手 TCP/IP存在三次握手机制,故提供了安全可靠的连接技术。 第一次握手...

    TCP欺骗攻击

    何为TCP欺骗技术

    将非法计算机伪装成合法计算机与其他正常计算机进行信息交互,达到不同种目的的一种技术手段。

    何为TCP/IP三次握手

    TCP/IP存在三次握手机制,故提供了安全可靠的连接技术。

    第一次握手:用户发送SYN请求给服务器,请求建立连接。
    第二次握手:服务器收到SYN请求并回复SYN+ACK确认给客户。
    第三次握手:客户收到服务器的SYN+ACK包,向服务器发送ACK确认。三次握手结束,连接成功。

    TCP/IP三次握手

    欺骗的基本原理

    利用IP地址并不是出厂与MAC地址固定在一起,攻击者通过修改网络节点的IP地址达到欺骗的目的。

    TCP欺骗攻击模拟

    现在有舍友、我、以及舍友女朋友三个目标对象。

    1. 我首先确认舍友的对象不能上网或者处于拒绝服务状态。
    2. 我作为攻击者冒充舍友女朋友向舍友发送TCP第一次握手的SYN请求。
    3. 舍友接到SYN后,回应ACK的目标主机为自己女朋友的IP地址(因为我冒充的是他女朋友),因为舍友对象此时处于拒绝服务状态,故不会应答。
    4. 所以我获取到了舍友的SYN+ACK,进行第三次握手,发送ACK进行最终确认。
    5. 三次握手连接成功,使用舍友对象的IP跟舍友进行信息互换,你们猜我要干什么?
    展开全文
  • TCP攻击监控器 v1.0

    2019-03-15 11:33:03
    一款可监控记录TCP攻击连接的免费软件,该工具界面简洁,使用简单,用户可自由设定需要监控的端口,可自动TCP连接进行统计和排序,不仅可知道哪些IP连接了你的端口,而且还知道每个IP和你的端口建立的连接数量,...
  • 网络游戏-基于软件定义网络的防低速率TCP+DoS攻击方法.zip
  • TCP连接攻击

    千次阅读 2017-02-21 11:56:39
    TCP连接耗尽攻击与防御原理 攻击原理 连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的TCP连接,耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型: 完成三次握手后,不发送任何...

    TCP连接耗尽攻击与防御原理

    攻击原理

    连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的TCP连接,耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型:

    • 完成三次握手后,不发送任何报文,一直维持这些TCP连接。
    • 完成三次握手后,立刻发送FIN或RST报文,释放本端连接,同时快速发起新的连接。
    • 连接过程中呈现给服务器端很小的TCP windows size,导致服务器TCP协议栈资源耗尽。
    • 发送大量TCP重传请求,以很小的流量即可导致被攻击网络上行链路拥塞。

    防御原理

    针对此攻击会耗尽服务器的TCP连接资源的特点,Anti-DDoS设备对目的IP地址的新建连接速率和并发连接数分布进行统计,当新建连接速率或并发连接数大于阈值时,则触发对源IP地址的相应检查,当检查发现异常时,将异常源IP地址加入黑名单,切断其TCP流量。

    • 源IP地址新建连接速率检查:启动源IP地址新建连接速率检查后,如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值,则将该源IP地址判定为攻击源。
    • 源IP地址并发连接数检查:启动源IP地址并发连接数检查后,如果某个源IP地址的TCP并发连接数大于阈值,则将该源IP地址判定为攻击源。
    • 慢速连接速率检查:启动慢速连接速率检查后,统计同一源IP地址对同一目的IP地址的连接次数,在各统计时间间隔内,如果连续多次连接数相同并超过阈值,则判定为TCP慢速连接攻击。
    • 异常会话检查:如果在检查周期内,某个源IP地址发起的TCP异常会话的连接数大于阈值时,则将该源IP地址判定为攻击源。判定TCP异常会话依据如下:

      • 空连接检查:如果在检查周期内,在某条TCP连接上通过的报文数小于阈值,则判定该连接为异常连接。
      • 重传会话检查:当某条TCP连接上重传报文数量大于阈值时,则判定该连接为异常连接。
      • 慢启动连接检查:当某条TCP连接上通过的报文窗口小于阈值时,则判定该连接为异常连接。

      当异常会话数超过一定数量时,将此源加入黑名单。异常会话数量可配置。

                                       记录一下,面试者问我tcp连接一直来,怎么防,我他妈哪里知道啊....
    展开全文
  • TCP劫持攻击

    2020-03-16 18:54:23
    Hacker获取到Client与Server的TCP会话包(ARP毒化、或者MAC洪范攻击等) 观察Server发给Client的最后一个TCP报文 Hacker通过数据包伪造出一个TCP报文,这个报文是Client回给Server的TCP数据包 a.二层的source-mac...
  • TCP SYN洪泛攻击的原理及防御方法

    万次阅读 多人点赞 2017-12-17 23:47:23
    虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。你可以在如今的操作系统和设备中找到保护应用层和网络层的不同解决方案的不同实现。本篇论文详细描述这种攻击并展望和评估现在...
  • TCP SYN攻击防范

    千次阅读 2019-04-02 16:51:56
    是一种利用TCP 协议缺陷,攻击者向被攻击的主机发送大量伪造的TCP连接请求,从而使得被攻击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的攻击方式。SYN攻击的目标不止于服务器,任何网络设备,都可能会受到这种...
  • ( ) 第 3 卷第 4 期 空 军 工 程 大 学 学 报 自然科学版 Vol. 3 No . 4 ( ) 2002 年 8 月 JOURNAL OF AIR FORCE EN ... 2002 典型的 TCP/ IP 协议脆弱性及常见攻击方法分析 王晓薇 , 刘志宏 , 殷肖川 , 吴传芝 (空军工
  • TCP会话劫持攻击

    千次阅读 2019-06-18 20:11:43
    TCP会话劫持攻击 ...基于本书提供的实验环境,为了获得TCP会话序列号并避免ACK风暴,攻击节点Kali通过ARP欺骗成为中间人,从而通过截获TCP数据包,SeedUbuntu和OWASP之间的TCP会话进行劫持。 【原理】...
  • TCP SYN攻击

    千次阅读 2016-03-25 00:00:56
    部分内容转自这里一、三次握手建立连接和四次握手断开连接...TIME_WAIT状态中所需要的时间是依赖于实现方法的。典型的值为30秒、1分钟和2分钟。等待之后连接正式关闭,并且所有的资源(包括端口号)都被释放。【问题1】为
  • 网络攻击与防御-ARP攻击-SYNflood攻击-HTTP劫持-TCP劫持-Sniffer--本软件为中科院网络攻防大作业,具有网络攻击功能。包含使用说明资料和全部代码。 凝结楼主大量心血,希望大家有帮助。
  • TCP(ddos攻击研究

    2008-03-10 09:43:52
    TCP(ddos攻击研究
  • TCP RST攻击实验流程

    千次阅读 2017-04-10 18:57:17
    TCP RST攻击也称伪造TCP重置报文攻击,它通过更改TCP协议头的标志位中的“reset”比特位(0变1),来关闭掉一个TCP会话连接。 首先,A为kali攻击机,B为靶机(win2000),C为服务器(ubuntu)。其中服务器的IP地址...
  • 【视频教程】典型 TCP 攻击实验

    千次阅读 2015-11-01 10:52:42
    记录典型 TCP 攻击实验的原理及操作步骤。在本次实验中,启用了三个虚拟机,处于同一子网中。同时使用了 Wireshark 来进行网络抓包分析,使用 netwox 工具箱来进行攻击实验。1.ARP缓存中毒(ARP cache poisoning)...
  • TCP RST攻击原理,TCP SYN Flood攻击原理,TCP RST攻击TCP SYN Flood攻击TCP会话劫持
  • RST攻击TCP会话劫持攻击实验

    千次阅读 2020-03-18 20:53:49
    一、RST攻击 RST表示复位。用来异常的关闭连接。...此时攻击者伪造了一个TCP包发给客户端,使客户端异常的断开了与服务端之间的TCP连接,这就是RST攻击。 实验: 首先,kali作为攻击机(192.16...
  • TCP半连接攻击可以通过syn cookie机制或者syn中继机制等进行防范,对于tcp服务来讲还有一种可以称为“全连接攻击”的攻击类型,这种攻击是针对用户态运行的tcp服务器的,当然,它可能间接地导致主机瘫痪。...
  • Land 攻击通过发送源地址和目的地址相同,源端口和目的端口相同的ICMP echo 报文或TCP syn 请求报文,可以导致主机不断地向自己发送报文,最终导致系统崩溃。只要检查报文的源地址和目的地址是否相等、源端口和目的端口...
  • TCP零窗口攻击

    千次阅读 2019-03-06 10:29:00
    零窗口(ZeroWindow)和坚持定时器(TCP Persist Timer)初识零窗口TCP滑动窗口零窗口(ZeroWindow)坚持定时器(TCP Persist Timer)是不是DDos攻击问题重现解决办法当时的办法新的问题 初识零窗口   13年时...
  • TCP洪水攻击(SYN Flood)的诊断和处理 ​ 1. SYN Flood介绍 前段时间网站被攻击多次,其中最猛烈的就是TCP洪水攻击,即SYN Flood。 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝...
  • TCP--RST复位攻击

    千次阅读 2015-03-28 18:37:52
    1.RST标识位RST表示复位,用来异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去(FIN包),直接就丢弃缓存区的包发送RST包。而接收端收到RST包后,也不必发送ACK包来...
  • 非法TCP报文攻击

    千次阅读 2011-07-21 09:32:05
    http://www.ruijie.com.cn/htmls/3-23/RG-S3760EP/Cap58.htm 在TCP报文的报头中,有几个标志字段: 1. SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接。2. ACK:回应标志,在一个TCP

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 115,969
精华内容 46,387
关键字:

对tcp攻击的方法