python tcp通信三次握手_TCP三次握手及四次挥手
相对于SOCKET开发者,TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的.因此开发者并不需要控制这个过程.但是对于理解TCP底层运作机制,相当有帮助.
而且对于有网络协议工程师之类笔试,几乎是必考的内容.企业对这个问题热情之高,出乎我的意料:-)。有时上午面试前强调这个问题,并重复讲一次,下午几乎每一个人都被问到这个问题。
因此在这里详细解释一下这两个过程。
TCP三次握手
所谓三次握手(Three-way Handshake),是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。
三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中,客户端执行connect()时。将触发三次握手。
第一次握手:
客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口,以及初始序号X,保存在包头的序列号(Sequence Number)字段里。
第二次握手:
服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时,将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。
第三次握手.
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1
SYN攻击
在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直 至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等.
但是不能完全防范syn攻击。
TCP 四次挥手
TCP的连接的拆除需要发送四个包,因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作,在socket编程中,任何一方执行close()操作即可产生挥手操作。
参见wireshark抓包,实测的抓包结果并没有严格按挥手时序。我估计是时间间隔太短造成。
针对tcp/ip协议的网络攻击:
Land攻击
通过发送源地址和目的地址相同,源端口和目的端口相同的ICMP echo报文或TCP syn请求报文,可以导致主机不断地向自己发送报文,最终导致系统崩溃。只要检查报文的源地址和目的地址是否相等、源端口和目的端口是否相等,就可以判断出是否为Land攻击。
Syn Flooding
利用TCP协议“三次握手”机制而发动的攻击。当Server(B)收到Client(A)的syn请求报文时,将发送一个(ack,syn)应答报文,同时创建一个控制结构,将其加入到一个队列中,等待对方的ack报文。接收到ack报文后,双方都进入连接状态,就可以发送数据。如果Server在一段时间内没有收到应答信息,则控制块将被释放。在TCP协议软件中,通常对每个端口等待建立连接的数目(即Backlog)有一定限制(Windows NT4.0 : 6 , Solaris : 32) ,当队列长度到达设定的阈值时,将丢弃后面到达的TCP Syn请求报文。如果攻击者不断发送大量的TCP syn报文,其他用户就无法再连接到被攻击主机。增加Backlog数目、减少连接等待时间等措施都无法阻止此种攻击。虽然“连接代理”技术可以保护网络内部主机不受攻击,但连接代理无法阻止本身受到Syn Flooding攻击,而且由于所有的数据都要经过连接代理处理,总的网络延迟将会增加。实时地监测TCP连接请求,过滤TCP Syn Flooding攻击报文,是阻止此攻击的较为有效的方法。本文给出的TCP Syn Flooding检测算法(算法1),运行入侵检测系统上,可以检测多种类型的Syn Flooding攻击,包括固定的源IP地址,随机变化的源地址等。
算法1TCP Syn Flooding检测算法
time window:时间窗口packet set :syn ,syn &ack ,ack报文集合
source ip :报文源IP地址
destination ip :报文目的IP地址
syn flood threshold :判断syn flood攻击的阈值
current time :当前系统时间
sys number = 0 ;
ack number = 0 ;
ack Syn number = 0 ;
for (packetx∈packet set) {
if (packetx. time2current time > = time window) {
Delete packetx from packet set ;
Continue ;
}
if (packetx. syn == 1)AND(packetx. ack == 0)
syn number ++ ;
else if (packetx. syn == 0)AND(packetx. ack == 1)
ack number ++ ;
else
ack syn number ++ ;
}
if ( (syn number >= syn flood threshold) AND( ( syn number > = 3 3
ack number)OR(syn number > = 3 3 syn ack number) ) )
syn flood attack = TURE;
else
syn flood attack = FALSE;
end
TCP会话劫持
利用TCP会话劫持,攻击者可以方便地修改、伪造数据。
它的基本原理如下:
TCP通过三次握手建立连接以后,主要采用滑动窗口机制来验证对方发送的数据。如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文,也可以截获报文,篡改内容后,再修改发送序号,而接收方会认为数据是有效数据。TCP劫持的关键在于使通信双方进入非同步状态。有多种方法可以达到此目的。如图2所示,在主机A发送syn请求后,B发送ack & syn进行应答,则A认为连接已经建立。此时,攻击者伪装成A向B发送一个rst报文,则B释放连接,攻击者继续伪装成A用自己的初始序列号和B建立新的连接,而A和B对此毫不觉察。当攻击者伪装成A和B建立连接后,A和B就已经进入了非同步状态。利用Telnet协议的NOP命令也可以使通信双方进入非同步状态。主机B接收到NOP命令后,并不进行任何操作,但确认序列号将会加1。如果攻击者伪装成A向B发送大量的NOP命令,则会造成A和B的非同步状态。
检测TCP劫持的关键在于检测非同步状态。如果不断收到在接收窗口之外的数据或确认报文,则可以确定遭到TCP劫持攻击。
TCP伪装
利用TCP劫持进行攻击时,攻击者必须能监测到双方的通信报文,才能得到双方的发送序号,但进行TCP伪装攻击时,攻击者不需要监测到双方的通信报文,就可以发动攻击,攻击者首先用真实的地址访问V提供的服务如WWW等,获得V的当前TCP初始序列号,然后伪装成C尝试建立到主机V的Telent端口的连接(攻击者要确保C关机或被攻击,无法响应外部报文)。连接建立以后,攻击者就可以向V发送一系列命令。此种攻击可以绕过防火墙或主机对IP地址的检查。
由于攻击者收不到来自V的任何信息,要成功进行攻击,必须满足两个条件:
1)建立连接时,攻击者需要知道V的当前初始序列号;
2)发送命令时,攻击者需要知道V的响应报文的数据长度。
条件2)可轻易满足。攻击者只要在能合法访问的主机上进行测试,就可以知道响应信息的内容和长度。TCP协议规定所有TCP连接使用同一个初始序列号计数器,每4us加1。当发送一个TCP连接请求时,使用计数器的当前值。由于初始序列号计数器随时间线性增加,因此,可以按照下式计算序列号的值:Seq(t) = Seq(t0) + (t - t0) 3 r其中,t为当前时间,t0为过去某一时间,r为序列号按时间增加的速率。由于很容易能得到t0 ,Seq(t0) ,攻击者只需要测量攻击主机和V之间的网络传输时延就可以成功地进行攻击。虽然网络的延迟总是在随机变化,但在短时间内,仍然是相对稳定的。攻击者经过测量延迟的平均值,就可以估计出V使用的初始序列号。减小计数器的时间间隔,可以增加攻击的难度,但无法从根本上阻止此类攻击。如果初始序列号使用随机值,或在初始序列号中加入秘密信息,比如IP地址的HASH值等,就可以防止此种攻击。文献[8讨论了预防TCP序列号猜测的方法。在应用层使用认证的办法,也可以防止TCP伪装攻击。检测TCP伪装只能在进行连接时进行,当连接成功后,就无法再进行检测。当攻击者进行TCP伪装攻击时,首先需要探测TCP初始序列号的生成机制、测试网络延迟,然后再尝试建立连接。如果收到多个含有错误的确认序列号的ack报文,则可以断定受到了TCP伪装攻击。