作者 |吳延占 上?？匕部尚跑浖?chuàng)新研究院研發(fā)工程師

來(lái)源 |鑒源實(shí)驗(yàn)室

引言：隨著計(jì)算機(jī)、控制與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化時(shí)代已經(jīng)到來(lái)。TCP協(xié)議作為可靠性傳輸協(xié)議，在工業(yè)自動(dòng)化、軌道交通、新能源等領(lǐng)域的數(shù)據(jù)傳輸方面得到了廣泛使用。在使用TCP協(xié)議做數(shù)據(jù)傳輸?shù)牡耐瑫r(shí)，TCP協(xié)議網(wǎng)絡(luò)安全問(wèn)題也不容忽視。在介紹TCP協(xié)議網(wǎng)絡(luò)安全攻擊之前，首先要了解TCP協(xié)議的概念、主要功能、主要特點(diǎn)、報(bào)文格式以及相應(yīng)的工作方式，才能進(jìn)一步了解到TCP協(xié)議網(wǎng)絡(luò)安全攻擊，更好地防范TCP攻擊。

01TCP協(xié)議

傳輸控制協(xié)議（TCP，Transmission Control Protocol）是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議，由IETF的RFC 793 [1] 定義。

TCP位于OSI（Open System Interconnection）七層模型中的傳輸層。不同于傳輸層其它協(xié)議，TCP具有獨(dú)立的、可對(duì)數(shù)據(jù)流進(jìn)行分片成適當(dāng)長(zhǎng)度的報(bào)文字段、傳輸可靠的優(yōu)點(diǎn)。當(dāng)收到上層應(yīng)用層數(shù)據(jù)流后，根據(jù)數(shù)據(jù)鏈路層的最大傳輸單元（MTU）對(duì)數(shù)據(jù)流進(jìn)行分割處理，然后依次進(jìn)入網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層對(duì)數(shù)據(jù)封裝處理，進(jìn)而發(fā)送到相應(yīng)的接收端。

TCP協(xié)議工作流程如下圖如下：

圖 1 TCP協(xié)議工作流程圖

由上圖可以看出，TCP協(xié)議需要三次握手建立連接并且包含相應(yīng)的序列號(hào)、確認(rèn)號(hào)，當(dāng)斷開(kāi)連接時(shí)需要四次揮手才能正常斷開(kāi)，屬于安全、可靠性連接。

02TCP攻擊與防御

TCP攻擊是指利用TCP協(xié)議的設(shè)計(jì)缺陷或漏洞，對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)進(jìn)行攻擊的行為。TCP攻擊包括TCP SYN泛洪攻擊[2]、TCP SYN掃描攻擊、TCP FIN掃描、TCP LAND攻擊[3]、TCP中間人攻擊[4]和TCP連接重置攻擊等。本文主要針對(duì)以上幾種攻擊做詳細(xì)介紹。

另外，TCP防御策略[5]也是多種多樣，本文也是在每種攻擊介紹完畢之后，簡(jiǎn)單介紹相應(yīng)的防御策略。

2.1 TCP SYN泛洪攻擊

（1）攻擊實(shí)現(xiàn)

TCP SYN泛洪攻擊，英文為“TCP SYN Flood Attack”。此攻擊是利用TCP三次握手過(guò)程存在的漏洞，達(dá)到一種DOS（Denial of Service）攻擊目的。

當(dāng)攻擊者發(fā)送此攻擊時(shí)，被攻擊主機(jī)會(huì)在短時(shí)間內(nèi)接收到大量的TCP SYN請(qǐng)求連接，如果被攻擊對(duì)象沒(méi)有相應(yīng)防御策略，短時(shí)間內(nèi)可能會(huì)占用大量的主機(jī)資源，或者進(jìn)一步將主機(jī)資源耗盡，從而拒絕其它應(yīng)該正常連接的設(shè)備進(jìn)行正常連接，最終達(dá)到了使被攻擊主機(jī)拒絕服務(wù)的目的。

具體實(shí)現(xiàn)如下圖所示：

圖2 TCP SYN泛洪攻擊

由上圖可知，攻擊者利用TCP協(xié)議中的三次握手過(guò)程中存在的漏洞，向目標(biāo)主機(jī)發(fā)送大量偽造的TCP SYN連接請(qǐng)求，目標(biāo)主機(jī)在接收到這些請(qǐng)求后會(huì)向攻擊者回復(fù)TCP SYN-ACK包，然后等待攻擊者響應(yīng)TCP ACK包，完成TCP連接的建立。但攻擊者并不會(huì)回復(fù)TCP ACK包，而是會(huì)忽略目標(biāo)主機(jī)發(fā)來(lái)的TCP SYN-ACK包并持續(xù)發(fā)送TCP SYN連接請(qǐng)求，從而導(dǎo)致目標(biāo)主機(jī)長(zhǎng)時(shí)間等待TCP連接的建立，占用大量資源，最終導(dǎo)致目標(biāo)主機(jī)無(wú)法正常工作。

（2）防御策略

TCP SYN泛洪攻擊是一種常見(jiàn)的DoS攻擊手段，可以通過(guò)以下幾種方式進(jìn)行防范：

安裝防火墻：可以利用防火墻的過(guò)濾功能，從而間接地過(guò)濾掉一部分可能存在的惡意的TCP數(shù)據(jù)包，從而保護(hù)目標(biāo)主機(jī)。

用TCP SYN Cookie機(jī)制：TCP SYN Cookie是一種防止TCP SYN泛洪攻擊的機(jī)制，它可以在不存儲(chǔ)連接信息的情況下，使被攻擊主機(jī)正確處理TCP連接請(qǐng)求。

限制TCP連接數(shù)：通過(guò)限制TCP連接數(shù)，可以減少TCP SYN泛洪攻擊的危害。

更新系統(tǒng)和應(yīng)用程序：根據(jù)已經(jīng)檢測(cè)到的或者公眾已經(jīng)熟知的漏洞，及時(shí)更新系統(tǒng)和應(yīng)用程序，從而提高系統(tǒng)的安全性（此防御策略對(duì)后面其他攻擊也同樣適用）。

2.2 TCP SYN掃描攻擊

TCP SYN掃描攻擊，英文“TCP SYN Scan Attack”。此攻擊可以?huà)呙璧奖还糁鳈C(jī)所支持的TCP開(kāi)放端口，從而可以進(jìn)一步發(fā)現(xiàn)被攻擊主機(jī)的一些其他信息。

（1）攻擊實(shí)現(xiàn)

具體實(shí)現(xiàn)如下圖所示：

圖3 TCP SYN掃描攻擊

由上圖可以看出，TCP SYN掃描攻擊是利用TCP協(xié)議的三次握手過(guò)程中實(shí)現(xiàn)的，這個(gè)也是TCP三次握手存在的漏洞。實(shí)現(xiàn)可以分為三步，當(dāng)攻擊者向被攻擊主機(jī)某個(gè)端口發(fā)送第一次握手連接（即TCP SYN連接請(qǐng)求），如果被攻擊主機(jī)此端口在TCP監(jiān)聽(tīng)狀態(tài)，則會(huì)向攻擊者發(fā)送第二次握手包（即TCP SYN-ACK包，作為第一次握手的響應(yīng)包）。

根據(jù)TCP協(xié)議連接時(shí)三次握手規(guī)范，此時(shí)被攻擊主機(jī)在等待攻擊者發(fā)送第三次握手包（即TCP ACK包，作為第二次握手的響應(yīng)包）。但此時(shí)攻擊者并不會(huì)響應(yīng)第三次握手，而是會(huì)迅速發(fā)送TCP RST包，也會(huì)避免被及對(duì)方記錄連接信息。以一種無(wú)痕跡的方式獲取到了目標(biāo)主機(jī)的開(kāi)放端口。

當(dāng)攻擊者獲取到某一個(gè)端口狀態(tài)時(shí)，繼續(xù)切換到下一端口，按照以上步驟再次發(fā)送TCP SYN掃描攻擊，直到所有端口掃描完畢。

（2）防御策略

針對(duì)TCP SYN掃描攻擊，也可以制定一些相應(yīng)的方法進(jìn)行防御，主要實(shí)現(xiàn)手段有以下幾種：

安裝防火墻：可以利用防火墻的過(guò)濾功能，從而間接地過(guò)濾掉一部分可能存在的惡意的TCP數(shù)據(jù)包，從而保護(hù)目標(biāo)主機(jī)。

關(guān)閉不經(jīng)常使用服務(wù)：關(guān)閉不經(jīng)常使用的一些服務(wù)，不允許隨意安裝APP，也可以減少系統(tǒng)的漏洞，使系統(tǒng)的安全性進(jìn)一步提高。

使用IDS/IDS（入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)）防御設(shè)備：入侵檢測(cè)、防御系統(tǒng)也可以有針對(duì)性地、及時(shí)地發(fā)現(xiàn)攻擊者是否在進(jìn)行TCP SYN掃描，使得目標(biāo)機(jī)系統(tǒng)安全得到提升。

2.3 TCP FIN掃描攻擊

TCP FIN掃描攻擊，英文“TCP FIN Scan Attack”。TCP FIN掃描攻擊屬于TCP協(xié)議存在的一種漏洞，TCP FIN 掃描攻擊與TCP SYN掃描攻擊實(shí)現(xiàn)的目的一致，都是為了獲得目標(biāo)主機(jī)開(kāi)放的端口，從而獲取目標(biāo)主機(jī)的一些其他信息。

（1）攻擊實(shí)現(xiàn)

TCP FIN掃描攻擊與TCP SYN掃描攻擊不同的地方，是TCP FIN掃描攻擊是利用TCP協(xié)議斷開(kāi)連接時(shí)的四次握手機(jī)制，即攻擊者向被攻擊對(duì)象發(fā)送TCP FIN包，如果被攻擊對(duì)象此時(shí)對(duì)應(yīng)的端口是開(kāi)放的，被攻擊主機(jī)會(huì)及時(shí)相應(yīng)TCP SRT的數(shù)據(jù)包。相反，如果被攻擊主機(jī)此端口沒(méi)有開(kāi)放，則攻擊主機(jī)不會(huì)收到TCP RST數(shù)據(jù)包。

具體實(shí)現(xiàn)如下圖所示：

圖4 TCP FIN掃描攻擊

由上圖可以看出，TCP FIN掃描攻擊是一種無(wú)痕跡掃描，攻擊掃描期間并不會(huì)與對(duì)方建立連接。因此也不會(huì)被對(duì)方記錄連接信息。

當(dāng)攻擊者獲取到某一個(gè)端口狀態(tài)時(shí)，可以繼續(xù)切換到下一端口，按照以上步驟再次發(fā)送TCP FIN掃描攻擊，直到所有端口掃描完畢。

（2）防御策略

針對(duì)TCP FIN掃描攻擊，也可以制定一些相應(yīng)的方法進(jìn)行防御。通用的防御方法如2.2章節(jié)的防御策略，針對(duì)TCP FIN掃描也是適用的。

另外實(shí)現(xiàn)TCP FIN掃描攻擊的防御，也可以通過(guò)以下方式:

安裝TCP Wrapper：TCP Wrapper也是網(wǎng)絡(luò)安全中常用的一種安全工具，其實(shí)現(xiàn)方式與iptables相似，可以根據(jù)IP地址、主機(jī)名、服務(wù)名等來(lái)控制網(wǎng)絡(luò)連接，從而提高系統(tǒng)的安全性。

2.4 TCP LAND攻擊

TCP Land攻擊，英文為“TCP local area network denial attack”，TCP Land攻擊是一種利用TCP協(xié)議中的漏洞進(jìn)行的攻擊。

它的主要原理是偽造一個(gè)TCP數(shù)據(jù)包，并在該數(shù)據(jù)包的源IP地址和目標(biāo)IP地址中都填寫(xiě)相同的IP地址，從而使目標(biāo)主機(jī)陷入死循環(huán)，無(wú)法與其他主機(jī)通信。

（1）攻擊實(shí)現(xiàn)

具體實(shí)現(xiàn)如下圖所示：

圖5 TCP LAND攻擊

由上圖可以看出，TCP LAND攻擊利用了TCP協(xié)議中的SYN標(biāo)志位。攻擊者發(fā)送一個(gè)偽造的TCP SYN數(shù)據(jù)包（SYN標(biāo)志位被設(shè)置為1）給目標(biāo)主機(jī)，并且源IP地址和目標(biāo)IP地址都被設(shè)置為目標(biāo)主機(jī)的IP地址。當(dāng)目標(biāo)主機(jī)接收到這個(gè)數(shù)據(jù)包時(shí)，它會(huì)認(rèn)為這是一個(gè)新的TCP連接請(qǐng)求，并嘗試發(fā)送一個(gè)SYN ACK數(shù)據(jù)包作為響應(yīng)。但是，由于源IP地址和目標(biāo)IP地址都為目標(biāo)主機(jī)本身，目標(biāo)主機(jī)會(huì)一直向自己發(fā)送數(shù)據(jù)，最終導(dǎo)致系統(tǒng)崩潰或網(wǎng)絡(luò)擁堵。

（2）防御策略

TCP LAND攻擊是一種常見(jiàn)的DoS攻擊手段，在以上其他章節(jié)介紹的入侵檢測(cè)防御系統(tǒng)、對(duì)操作系統(tǒng)升級(jí)等通用防御策略基礎(chǔ)上，還可以通過(guò)以下幾種方式進(jìn)行防御：

配置防火墻：防火墻可以進(jìn)行配置，限制TCP的源地址是本地地址的情況下，存在TCP SYN的數(shù)據(jù)流，從而避免惡意的TCP LAND攻擊。

配置網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)：實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中的流量信息，當(dāng)發(fā)現(xiàn)異常流量時(shí)及時(shí)上報(bào)提醒，防止TCP LAND攻擊等類(lèi)型的拒絕服務(wù)攻擊。

2.5 TCP 中間人攻擊

TCP中間人攻擊，包括TCP會(huì)話(huà)劫持和TCP連接重置兩種實(shí)現(xiàn)方式，本文以TCP會(huì)話(huà)劫持為例進(jìn)行講解。

TCP會(huì)話(huà)劫持(TCP session hijacking)，是指攻擊者通過(guò)監(jiān)聽(tīng)或者篡改網(wǎng)絡(luò)流量，獲取到合法用戶(hù)的TCP會(huì)話(huà)信息，然后利用這些信息來(lái)冒充合法用戶(hù)與服務(wù)器或其他合法用戶(hù)進(jìn)行通信的一種攻擊行為。攻擊者利用TCP會(huì)話(huà)劫持可以實(shí)施多種攻擊，如竊取用戶(hù)信息、篡改用戶(hù)數(shù)據(jù)、劫持會(huì)話(huà)等。

（1）攻擊實(shí)現(xiàn)

以攻擊者冒充客戶(hù)端為例，其實(shí)現(xiàn)如下圖所示：

圖6 中間人攻擊

由上圖可以看出，TCP中間人攻擊是攻擊者在網(wǎng)絡(luò)中對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)聽(tīng)和分析，當(dāng)攻擊者獲取到客戶(hù)端的TCP會(huì)話(huà)序列號(hào)及確認(rèn)號(hào)后，就可以偽造TCP數(shù)據(jù)包來(lái)冒充客戶(hù)端與服務(wù)器進(jìn)行通信。攻擊者通過(guò)這種方式可以繞過(guò)服務(wù)器的認(rèn)證和授權(quán)機(jī)制，進(jìn)而實(shí)現(xiàn)各種攻擊目的。

（2）防御策略

通過(guò)以上關(guān)于TCP 中間人攻擊實(shí)現(xiàn)原理，可以通過(guò)以下幾種方式進(jìn)行防范：

使用加密協(xié)議：可以使用TLS、SSH等，對(duì)數(shù)據(jù)傳輸過(guò)程中加密、對(duì)原始數(shù)據(jù)進(jìn)行加密，從而避免數(shù)據(jù)被攻擊者竊取。

對(duì)服務(wù)器和應(yīng)用程序進(jìn)行安全加固，如關(guān)閉不必要的服務(wù)和端口、限制訪(fǎng)問(wèn)權(quán)限、采用安全認(rèn)證機(jī)制等，提高系統(tǒng)的安全性。

03小 結(jié)

TCP攻擊不同的方式各具有不同的特點(diǎn)，但都會(huì)導(dǎo)致目標(biāo)主機(jī)或網(wǎng)絡(luò)的服務(wù)中斷或降級(jí)。為了防范TCP攻擊，主機(jī)必須有相應(yīng)的安全防御策略。尤其是在網(wǎng)絡(luò)信息化的今天，一些對(duì)數(shù)據(jù)保密性要求較高、又需要網(wǎng)絡(luò)傳輸?shù)牡臄?shù)據(jù)，數(shù)據(jù)安全可以說(shuō)是重于泰山，安全防御策略必不可少，更是需要防范TCP攻擊。