0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

TCP协议网络安全攻击

上海控安 来源:上海控安 作者:上海控安 2023-04-07 11:40 次阅读

作者 |吴延占 上海控安可信软件创新研究院研发工程师

来源 |鉴源实验室

引言:随着计算机、控制与网络技术的飞速发展,信息化时代已经到来。TCP协议作为可靠性传输协议,在工业自动化、轨道交通、新能源等领域的数据传输方面得到了广泛使用。在使用TCP协议做数据传输的的同时,TCP协议网络安全问题也不容忽视。在介绍TCP协议网络安全攻击之前,首先要了解TCP协议的概念、主要功能、主要特点、报文格式以及相应的工作方式,才能进一步了解到TCP协议网络安全攻击,更好地防范TCP攻击。

01TCP协议

传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793 [1] 定义。

TCP位于OSI(Open System Interconnection)七层模型中的传输层。不同于传输层其它协议,TCP具有独立的、可对数据流进行分片成适当长度的报文字段、传输可靠的优点。当收到上层应用层数据流后,根据数据链路层的最大传输单元(MTU)对数据流进行分割处理,然后依次进入网络层、数据链路层对数据封装处理,进而发送到相应的接收端。

TCP协议工作流程如下图如下:

pYYBAGQvkMGAVCTQAABnltFtwTc28.webp

图 1 TCP协议工作流程图

由上图可以看出,TCP协议需要三次握手建立连接并且包含相应的序列号、确认号,当断开连接时需要四次挥手才能正常断开,属于安全、可靠性连接。

02TCP攻击与防御

TCP攻击是指利用TCP协议的设计缺陷或漏洞,对目标主机或网络进行攻击的行为。TCP攻击包括TCP SYN泛洪攻击[2]、TCP SYN扫描攻击、TCP FIN扫描、TCP LAND攻击[3]、TCP中间人攻击[4]和TCP连接重置攻击等。本文主要针对以上几种攻击做详细介绍。

另外,TCP防御策略[5]也是多种多样,本文也是在每种攻击介绍完毕之后,简单介绍相应的防御策略。

2.1 TCP SYN泛洪攻击

(1)攻击实现

TCP SYN泛洪攻击,英文为“TCP SYN Flood Attack”。此攻击是利用TCP三次握手过程存在的漏洞,达到一种DOS(Denial of Service)攻击目的。

当攻击者发送此攻击时,被攻击主机会在短时间内接收到大量的TCP SYN请求连接,如果被攻击对象没有相应防御策略,短时间内可能会占用大量的主机资源,或者进一步将主机资源耗尽,从而拒绝其它应该正常连接的设备进行正常连接,最终达到了使被攻击主机拒绝服务的目的。

具体实现如下图所示:

pYYBAGQvkMKAZS2_AAAp-nHnEiY86.webp

图2 TCP SYN泛洪攻击

由上图可知,攻击者利用TCP协议中的三次握手过程中存在的漏洞,向目标主机发送大量伪造的TCP SYN连接请求,目标主机在接收到这些请求后会向攻击者回复TCP SYN-ACK包,然后等待攻击者响应TCP ACK包,完成TCP连接的建立。但攻击者并不会回复TCP ACK包,而是会忽略目标主机发来的TCP SYN-ACK包并持续发送TCP SYN连接请求,从而导致目标主机长时间等待TCP连接的建立,占用大量资源,最终导致目标主机无法正常工作。

(2)防御策略

TCP SYN泛洪攻击是一种常见的DoS攻击手段,可以通过以下几种方式进行防范:

安装防火墙:可以利用防火墙的过滤功能,从而间接地过滤掉一部分可能存在的恶意的TCP数据包,从而保护目标主机。

用TCP SYN Cookie机制:TCP SYN Cookie是一种防止TCP SYN泛洪攻击的机制,它可以在不存储连接信息的情况下,使被攻击主机正确处理TCP连接请求。

限制TCP连接数:通过限制TCP连接数,可以减少TCP SYN泛洪攻击的危害。

更新系统和应用程序:根据已经检测到的或者公众已经熟知的漏洞,及时更新系统和应用程序,从而提高系统的安全性(此防御策略对后面其他攻击也同样适用)。

2.2 TCP SYN扫描攻击

TCP SYN扫描攻击,英文“TCP SYN Scan Attack”。此攻击可以扫描到被攻击主机所支持的TCP开放端口,从而可以进一步发现被攻击主机的一些其他信息。

(1)攻击实现

具体实现如下图所示:

poYBAGQvkMKAGy0oAAAzOuCw80w80.webp

图3 TCP SYN扫描攻击

由上图可以看出,TCP SYN扫描攻击是利用TCP协议的三次握手过程中实现的,这个也是TCP三次握手存在的漏洞。实现可以分为三步,当攻击者向被攻击主机某个端口发送第一次握手连接(即TCP SYN连接请求),如果被攻击主机此端口在TCP监听状态,则会向攻击者发送第二次握手包(即TCP SYN-ACK包,作为第一次握手的响应包)。

根据TCP协议连接时三次握手规范,此时被攻击主机在等待攻击者发送第三次握手包(即TCP ACK包,作为第二次握手的响应包)。但此时攻击者并不会响应第三次握手,而是会迅速发送TCP RST包,也会避免被及对方记录连接信息。以一种无痕迹的方式获取到了目标主机的开放端口。

当攻击者获取到某一个端口状态时,继续切换到下一端口,按照以上步骤再次发送TCP SYN扫描攻击,直到所有端口扫描完毕。

(2)防御策略

针对TCP SYN扫描攻击,也可以制定一些相应的方法进行防御,主要实现手段有以下几种:

安装防火墙:可以利用防火墙的过滤功能,从而间接地过滤掉一部分可能存在的恶意的TCP数据包,从而保护目标主机。

关闭不经常使用服务:关闭不经常使用的一些服务,不允许随意安装APP,也可以减少系统的漏洞,使系统的安全性进一步提高。

使用IDS/IDS(入侵检测系统、入侵防御系统)防御设备:入侵检测、防御系统也可以有针对性地、及时地发现攻击者是否在进行TCP SYN扫描,使得目标机系统安全得到提升。

2.3 TCP FIN扫描攻击

TCP FIN扫描攻击,英文“TCP FIN Scan Attack”。TCP FIN扫描攻击属于TCP协议存在的一种漏洞,TCP FIN 扫描攻击与TCP SYN扫描攻击实现的目的一致,都是为了获得目标主机开放的端口,从而获取目标主机的一些其他信息。

(1)攻击实现

TCP FIN扫描攻击与TCP SYN扫描攻击不同的地方,是TCP FIN扫描攻击是利用TCP协议断开连接时的四次握手机制,即攻击者向被攻击对象发送TCP FIN包,如果被攻击对象此时对应的端口是开放的,被攻击主机会及时相应TCP SRT的数据包。相反,如果被攻击主机此端口没有开放,则攻击主机不会收到TCP RST数据包。

具体实现如下图所示:

pYYBAGQvkMOAclp8AAAnpCJ7lek97.webp

图4 TCP FIN扫描攻击

由上图可以看出,TCP FIN扫描攻击是一种无痕迹扫描,攻击扫描期间并不会与对方建立连接。因此也不会被对方记录连接信息。

当攻击者获取到某一个端口状态时,可以继续切换到下一端口,按照以上步骤再次发送TCP FIN扫描攻击,直到所有端口扫描完毕。

(2)防御策略

针对TCP FIN扫描攻击,也可以制定一些相应的方法进行防御。通用的防御方法如2.2章节的防御策略,针对TCP FIN扫描也是适用的。

另外实现TCP FIN扫描攻击的防御,也可以通过以下方式:

安装TCP Wrapper:TCP Wrapper也是网络安全中常用的一种安全工具,其实现方式与iptables相似,可以根据IP地址、主机名、服务名等来控制网络连接,从而提高系统的安全性。

2.4 TCP LAND攻击

TCP Land攻击,英文为“TCP local area network denial attack”,TCP Land攻击是一种利用TCP协议中的漏洞进行的攻击。

它的主要原理是伪造一个TCP数据包,并在该数据包的源IP地址和目标IP地址中都填写相同的IP地址,从而使目标主机陷入死循环,无法与其他主机通信。

(1)攻击实现

具体实现如下图所示:

poYBAGQvkMOAHZm8AAAlRIKPr4I42.webp

图5 TCP LAND攻击

由上图可以看出,TCP LAND攻击利用了TCP协议中的SYN标志位。攻击者发送一个伪造的TCP SYN数据包(SYN标志位被设置为1)给目标主机,并且源IP地址和目标IP地址都被设置为目标主机的IP地址。当目标主机接收到这个数据包时,它会认为这是一个新的TCP连接请求,并尝试发送一个SYN ACK数据包作为响应。但是,由于源IP地址和目标IP地址都为目标主机本身,目标主机会一直向自己发送数据,最终导致系统崩溃或网络拥堵。

(2)防御策略

TCP LAND攻击是一种常见的DoS攻击手段,在以上其他章节介绍的入侵检测防御系统、对操作系统升级等通用防御策略基础上,还可以通过以下几种方式进行防御:

配置防火墙:防火墙可以进行配置,限制TCP的源地址是本地地址的情况下,存在TCP SYN的数据流,从而避免恶意的TCP LAND攻击。

配置网络流量监控系统:实时检测网络中的流量信息,当发现异常流量时及时上报提醒,防止TCP LAND攻击等类型的拒绝服务攻击。

2.5 TCP 中间人攻击

TCP中间人攻击,包括TCP会话劫持和TCP连接重置两种实现方式,本文以TCP会话劫持为例进行讲解。

TCP会话劫持(TCP session hijacking),是指攻击者通过监听或者篡改网络流量,获取到合法用户的TCP会话信息,然后利用这些信息来冒充合法用户与服务器或其他合法用户进行通信的一种攻击行为。攻击者利用TCP会话劫持可以实施多种攻击,如窃取用户信息、篡改用户数据、劫持会话等。

(1)攻击实现

以攻击者冒充客户端为例,其实现如下图所示:

pYYBAGQvkMSAM_0TAAA0VHfLLag02.webp

图6 中间人攻击

由上图可以看出,TCP中间人攻击是攻击者在网络中对传输的数据进行监听和分析,当攻击者获取到客户端的TCP会话序列号及确认号后,就可以伪造TCP数据包来冒充客户端与服务器进行通信。攻击者通过这种方式可以绕过服务器的认证和授权机制,进而实现各种攻击目的。

(2)防御策略

通过以上关于TCP 中间人攻击实现原理,可以通过以下几种方式进行防范:

使用加密协议:可以使用TLS、SSH等,对数据传输过程中加密、对原始数据进行加密,从而避免数据被攻击者窃取。

对服务器和应用程序进行安全加固,如关闭不必要的服务和端口、限制访问权限、采用安全认证机制等,提高系统的安全性。

03小 结

TCP攻击不同的方式各具有不同的特点,但都会导致目标主机或网络的服务中断或降级。为了防范TCP攻击,主机必须有相应的安全防御策略。尤其是在网络信息化的今天,一些对数据保密性要求较高、又需要网络传输的的数据,数据安全可以说是重于泰山,安全防御策略必不可少,更是需要防范TCP攻击。

审核编辑:汤梓红
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 通信协议
    +关注

    关注

    28

    文章

    882

    浏览量

    40307
  • 计算机
    +关注

    关注

    19

    文章

    7494

    浏览量

    87949
  • 网络安全
    +关注

    关注

    10

    文章

    3159

    浏览量

    59752
  • TCP
    TCP
    +关注

    关注

    8

    文章

    1353

    浏览量

    79071
收藏 人收藏

    评论

    相关推荐

    汽车网络安全攻击实例解析(二)

    本文则选取典型的智能网联汽车网络安全攻击实例展开详细介绍。
    的头像 发表于 08-08 15:17 1610次阅读
    汽车<b class='flag-5'>网络安全攻击</b>实例解析(二)

    [4.4.2]--3.4.2网络安全攻击技术分类(下)_clip002

    网络安全
    jf_75936199
    发布于 :2023年04月05日 21:29:26

    专家呼吁:网络安全建设亟需开放与合作

    副部长杨学山在2010中国计算机网络安全年会上指出,网络安全形势严峻,域名劫持、网页篡改、网络黑客等事件时有发生,造成了严重影响和重大损失,仅中国网民每年需要为网络
    发表于 09-29 00:04

    网络安全隐患的分析

    的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。  企业网络安全可以从以下几个方面来分析:物理
    发表于 10-25 10:21

    【§网络安全技巧§】利用路由器的安全特性控制DDoS攻击

    ,以便更好地维护网络安全。当前路由器提供了丰富的安全特征,通过这些安全特征,可以很大程度上控制DDoS攻击的泛滥。  1、源IP地址过滤  在ISP所有
    发表于 07-17 11:02

    新唐对应四大物联网安全攻击的保护措施

    ,智能家居及娱乐等则会发生个人信息被窃取的风险。因此如何从装置本身就做好安全防护是联网产品在设计规划初期就必须审慎思考的项目。 物联网设备安全必须保护系统、网络和数据免受广泛的物联网安全攻击
    发表于 08-21 08:14

    网络安全协议

    网络安全协议.ppt 网络安全协议TCP/IP协议栈中的
    发表于 06-16 23:46 16次下载

    基于攻击模式识别的网络安全评估

    通过对已有网络安全态势评估方法的分析与比较,发现其无法准确反映网络攻击行为逐渐呈现出的大规模、协同、多阶段等特点,因此提出了一种基于攻击模式识别的
    发表于 12-26 18:45 0次下载
    基于<b class='flag-5'>攻击</b>模式识别的<b class='flag-5'>网络安全</b>评估

    网络安全在视频监控中的影响浅析

    视频系统缺乏网络安全在2016年曾经成为当时头条新闻。当年Mirai网络攻击影响了美国东海岸的互联网服务,并使一些知名网站宕机。 当天晚些时候的网络安全攻击更具全球性。
    发表于 05-10 08:54 1373次阅读

    美国最大的实体书店Barnes & Noble遭到网络安全攻击

    10月15日,据外媒报道,美国最大的实体书店、全球第二大网上书店——Barnes & Noble遭到网络安全攻击,黑客极有可能已经获得了Barnes & Noble客户的重要信息,包括消费者邮箱
    的头像 发表于 10-16 14:17 1747次阅读

    网络安全基础之网络协议安全威胁的关系

    网络安全基础之网络协议安全威胁的关系
    发表于 10-20 10:26 1次下载

    汽车网络安全:进步但仍有改进空间

    影响我们日常生活的网络安全攻击是提高关键基础设施物联网安全性的巨大警钟。虽然最近对殖民地管道的网络攻击造成了重大破坏,但我们道路上的数百万辆汽车也代表了关键基础设施,如果受到
    的头像 发表于 10-21 14:23 725次阅读

    汽车网络安全攻击实例解析

    近年来,汽车网络安全攻击事件频发,而汽车智能化和网联化所带来的安全隐患也与日俱增,研究人员除了考虑如何加入防御措施之外,还应该站在攻击者的角度来分析历史的攻击事件以及
    的头像 发表于 03-24 11:36 2269次阅读
    汽车<b class='flag-5'>网络安全攻击</b>实例解析

    lansweeper创建网络安全资产管理基线

    获取适用于网络安全的资产清单     全可见性 发现您甚至不知道的资产并消除盲点。   风险缓解 通过审计预防措施预测潜在的网络安全攻击。   威胁检测 通过有价值的报告对整个网络进行即时网络
    的头像 发表于 06-29 09:29 1084次阅读
    lansweeper创建<b class='flag-5'>网络安全</b>资产管理基线

    鉴源实验室·HTTP协议网络安全攻击

    作者 | 李芷若 上海控安可信软件创新研究院工控网络安全组 来源 |  鉴源实验室 社群 |  添加微信号“ TICPShanghai ”加入“上海控安51fusa安全社区” 01 背 景 随着
    的头像 发表于 07-30 13:48 322次阅读
    鉴源实验室·HTTP<b class='flag-5'>协议</b><b class='flag-5'>网络安全攻击</b>