TCP/IP是网络最基本的通讯协议。任何厂商生产的计算机系统,只要遵守该协议,就可以与因特网进行通信。但是,TCP/IP的一些缺陷经常被不法分子利用,成为他们发动攻击的手段。2020年初,黑客对著名代码托管平台GitHub发起攻击。GitHub及其多个子站被提示存在信息安全问题,大量访问用户被网站屏蔽。这样的例子还有很多,比如2014年的微软账户系统黑客事件,2016年的美国网络瘫痪事件等等。今天,我们就来看看TCP/IP的三种常见攻击方式。SYNFlood建立一个TCP连接,需要经过三次握手,过程如下:(1)客户端向服务器发送一个SYN包,并进入SYN_SENT状态,等待服务器确认;(2)服务器收到SYN包并确认,发送客户端发送一个SYN包,即SYN+ACK包。此时服务器进入SYN_RECV状态。(3)客户端收到服务器的SYN+ACK包后,向服务器发送确认包ACK。发送后,TCP连接成功,完成三次握手。为了保证三次握手TCP连接的顺利建立,TCP协议在三次握手过程中设置了一些异常处理机制。第三步,客户端发送确认包ACK后,如果服务器没有收到,会保持第二步的SYN_RECV状态,并将客户端IP加入等待列表,重新发送SYN+ACK消息重试。重传一般会进行3-5次,大约30秒左右轮询waitinglist一次,重试所有client。如果SYN_RECV状态一直存在,超过服务器容量上限后,将不再接收新的SYN报文,新的TCP连接的建立也将被拒绝。SYNFlood使用此设置来攻击目标。攻击者伪装大量IP地址向服务器发送SYN包。由于IP地址不存在,客户端不会向服务端发送最终确认包ACK,使得服务端保持着一个庞大的等待列表不断重试发送SYN+ACK报文。当SYN_RECV队列已满时,服务器将完全崩溃。如何防止SYNFlood?最简单的方法是使用DDoS云清洗。DDoS不仅可以清除SYNFlood攻击,还可以清除其他类型的DDoS攻击,如UDPFlood、CC等,CDN也有缓解此类攻击的作用。前提是攻击量没有达到CDN的最大容量。否则,会直接渗透到本源地,本源地很快就会陨落,彻底陨落。如果网站/APP经常遭受DDoS攻击,最好使用DDoS云清洗。IP欺骗我们知道IP是识别身份的重要信息,自然而然的成为了黑客们试图利用的对象。假设用户已经与服务器建立了正常的TCP连接,攻击者会通过构造TCP数据将自己的IP伪装成与用户相同的IP,向服务器发送一个带有RSI位的TCP数据段。服务器收到这个数据后,会认为用户发送的连接有误,会清除缓冲区中已建立的连接。这样,当用户再次发送数据时,服务器无连接无法响应,用户必须重新建立连接。黑客会伪造大量IP地址,向目标发送RST数据,使服务器无法为正常用户服务。这是一种IP欺骗攻击。TCP重置攻击TCP连接有一个特殊的设置。如果客户端发现到达的报文段对于相关连接不正确,TCP将发送一个重置报文段来断开连接,以防止连接被使用。进一步交换信息。攻击者利用这种机制,通过向通信方或通信双方发送一个伪造的复位报文段,使通信方提前关闭TCP连接。虽然服务器仍然可以创建一个新的TCP连接来恢复通信,但它仍然有可能被攻击者重置。有两种类型的TCP重置攻击。一种是攻击者截获通信双方交换的信息,读取数据包上的序号和确认响应号,得到伪装的TCP复位报文段的序号。另一种是攻击者无法拦截交换的信息,无法确定复位报文段的序号,而是分批发送不同序号的复位报文,盲目猜测序号。一旦猜测正确,攻击目标就达到了。
