使用netwox实现tcp rst 攻击及防御措施
目录
- 相关原理(tcp基础)
- 攻击实例演示
- 关于防御措施
相关原理(tcp基础)
三次握手:TCP是基于IP网络层之上的传输层协议,用于端到端的可靠的字节流传输。
过程:
1.C向S发送连接请求,标记位SYN设为1,且随机设置序列号seq
2.S返回确认消息,ACK设为seq+1,标记位SYN设为1,随机序列号seq
3.C返回确认消息,ACK设为seq+1
四次挥手:四次挥手指正常连接中断的情况。
过程:
1.C向S发送FIN seq=上次发送的seq+1
2.S回复C ACK=seq+1 此时C停止向S发送信息,但仍可以接收S的消息,此时为半双工(即单向中断)
3.当S剩余的数据包发送完毕后,向C发送FIN包
4.C收到消息后返回ACK确认,S收到后中断向C发送消息,此时完全中断连接
滑动窗口:
诞生滑动窗口的目的主要是为了在保证“可靠”的前提提高传输效率,如果我们每个包都等待ack那么效率过低,所以我们可以在发送完数据后不等待ack,在滑动窗口大小内可继续发送其它数据包。上图中的WIN即为滑动窗口大小。
Rst复位:RST表示复位,用来异常的关闭连接。发送RST包关闭连接时,不必等缓冲区的包都发出去(FIN包),直接就丢弃缓存区的包发送RST包。而接收端收到RST包后,也不必发送ACK包来确认。TCP处理程序会在自己认为的异常时刻发送RST包。
攻击实例演示
连接服务器
攻击者打开wireshark进行嗅探,看到三次握手过程
使用netwox 78 -i “172.16.16.42” 发送rst攻击,发现成功断开连接
Wireshark 抓包发现已经被rst
关于防御措施
部署交换式网络,用交换机代替集线器
禁用主机上的源路由
采用静态绑定ip-mac映射表以避免arp欺骗
过滤icmp重定向报文
建议使用防火墙将进来的包带RST位的包丢弃