TCP挑战ACK报文限速

最新推荐文章于 2022-11-27 13:42:24 发布
最新推荐文章于 2022-11-27 13:42:24 发布
阅读量3.5k 收藏 4
点赞数 1
分类专栏: 网络安全 TCPIP协议 文章标签: TCP ACK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/89502183
版权

 

PROC文件tcp_challenge_ack_limit控制每秒钟发送挑战ACK报文的数量。避免遭受Blind In-Window Attacks,包括reset,sync或者数据注入攻击等,详解RFC5961。

初始化

在TCP协议初始化函数tcp_sk_init中赋值为1000。通过PROC文件tcp_challenge_ack_limit可查看此值,并可进行修改。

static int __net_init tcp_sk_init(struct net *net)
{
    /* rfc5961 challenge ack rate limiting */
    net->ipv4.sysctl_tcp_challenge_ack_limit = 1000;
}
$ cat /proc/sys/net/ipv4/tcp_challenge_ack_limit
1000

挑战ACK发送控制
 

核心函数tcp_send_challenge_ack如下。如果挑战ACK报文要能够发送,必须首先满足tcp_invalid_ratelimit变量定义的时间间隔,默认为HZ的一半即500毫秒。详情参见:https://blog.csdn.net/sinat_20184565/article/details/89481607。

算法如下:在首次进入此函数时,挑战时间戳和挑战次数都为空,获取到当前的时间(now的单位秒),此时now必定不等于挑战时间戳,将挑战次数初始化为tcp_challenge_ack_limit设定值的一半,与零至tcp_challenge_ack_limit值之间的随机值的和,并且初始化挑战时间戳。之后,如果再次进入函数时,当前时间还在同一秒内,判断挑战次数是否为零,不成立递减挑战次数,发送挑战ACK报文。

如果再次进入函数时,当前时间已经进入下一秒,重新初始化挑战次数challenge_count和挑战时间戳challenge_timestamp。在同一秒钟内,已经发送了超过挑战次数的ACK报文后,不在发送挑战ACK报文。

/* RFC 5961 7 [ACK Throttling] */
static void tcp_send_challenge_ack(struct sock *sk, const struct sk_buff *skb)
{
    static u32 challenge_timestamp;
    static unsigned int challenge_count;

    /* First check our per-socket dupack rate limit. */
    if (__tcp_oow_rate_limited(net, LINUX_MIB_TCPACKSKIPPEDCHALLENGE, &tp->last_oow_ack_time))
        return;

    /* Then check host-wide RFC 5961 rate limit. */
    now = jiffies / HZ;
    if (now != challenge_timestamp) {
        u32 ack_limit = net->ipv4.sysctl_tcp_challenge_ack_limit;
        u32 half = (ack_limit + 1) >> 1;

        challenge_timestamp = now;
        WRITE_ONCE(challenge_count, half + prandom_u32_max(ack_limit));
    }
    count = READ_ONCE(challenge_count);
    if (count > 0) {
        WRITE_ONCE(challenge_count, count - 1);
        NET_INC_STATS(net, LINUX_MIB_TCPCHALLENGEACK);
        tcp_send_ack(sk);
    }
}

 

数据注入攻击


如果接收报文的确认序号小于本地套接口待确认序号,表明为一个已经确认过的序号,并且其确认序号在套接口当前待确认序号减去本地发送窗口之前,内核认为此报文很可能并非对端发送,即其为攻击者构造出来的报文,合法的报文确认序号ACK的范围:((SND.UNA - MAX.SND.WND) <= SEG.ACK <= SND.NXT)。否则,不在此范围内认为是盲数据注入攻击Blind Data Injection Attack。但是,有可能并非攻击者发送,而是来自对端的报文,此时回复挑战ACK报文,使对端有机会修正其确认序号ACK。

按照RFC5961的描述,为应对数据注入攻击,进一步缩小合法确认序号ACK的范围,要求报文中的确认序号大于套接口第一个待确认序号。合法的报文确认序号范围:(SND.UNA <= SEG.ACK <= SND.NXT)。内核不处理无效确认序号的报文,避免注入非法数据。

static int tcp_ack(struct sock *sk, const struct sk_buff *skb, int flag)
{
    u32 prior_snd_una = tp->snd_una;

    /* If the ack is older than previous acks then we can probably ignore it. */
    if (before(ack, prior_snd_una)) {
        /* RFC 5961 5.2 [Blind Data Injection Attack].[Mitigation] */
        if (before(ack, prior_snd_una - tp->max_window)) {
            if (!(flag & FLAG_NO_CHALLENGE_ACK))
                tcp_send_challenge_ack(sk, skb);
            return -1;
        }
        goto old_ack;
    }
    if (after(ack, tp->snd_nxt))
        goto invalid_ack;
	
old_ack:

    SOCK_DEBUG(sk, "Ack %u before %u:%u\n", ack, tp->snd_una, tp->snd_nxt);
    return 0;
}

 

复位RST攻击

如下的TCP报文检查函数tcp_validate_incoming。
为应对攻击者伪造的RST报文,对于TCP头部标志设置了reset位的报文,仅当其序号等于本端套接口待接收的序号时(增加攻击者猜测的序号的难度),或者tcp_reset_check函数结果为真时(其判读RST是否紧随之前的一个FIN报文),本端才可复位此连接。另外一种情况是,当启用SACK时,仅当报文序号等于所有SACK块中最大的数据序号时,本端可复位此连接。

以上条件都不成立,内核认为不合法的RST报文或者为恶意的RST攻击,回应挑战ACK报文,以使得发送不合法报文的对端得以恢复。

static bool tcp_validate_incoming(struct sock *sk, struct sk_buff *skb, const struct tcphdr *th, int syn_inerr)
{
    /* Step 2: check RST bit */
    if (th->rst) {
        if (TCP_SKB_CB(skb)->seq == tp->rcv_nxt || tcp_reset_check(sk, skb)) {
            rst_seq_match = true;
        } else if (tcp_is_sack(tp) && tp->rx_opt.num_sacks > 0) {
            struct tcp_sack_block *sp = &tp->selective_acks[0];
            int max_sack = sp[0].end_seq;

            for (this_sack = 1; this_sack < tp->rx_opt.num_sacks; ++this_sack) {
                max_sack = after(sp[this_sack].end_seq, max_sack) ? sp[this_sack].end_seq : max_sack;
            }
            if (TCP_SKB_CB(skb)->seq == max_sack)
                rst_seq_match = true;
        }

        if (rst_seq_match)
            tcp_reset(sk);
        else {
            /* Disable TFO if RST is out-of-order and no data has been received for current active TFO socket */
            if (tp->syn_fastopen && !tp->data_segs_in && sk->sk_state == TCP_ESTABLISHED)
                tcp_fastopen_active_disable(sk);
            tcp_send_challenge_ack(sk, skb);
        }
        goto discard;
    }
}

如果RST报文的序号不等于套接口的待接收序号,当时等于待接收序号减一,并且套接口之前接收到了FIN报文,对于主动关闭端,接收到FIN报文之后将进入TCPF_CLOSING状态。对于被动关闭端,接收到FIN报文之后,进入TCPF_CLOSE_WAIT状态,在套接口close之后,转换到TCPF_LAST_ACK状态。

根据内核的注释,对于Mac OSX系统中意外结束的TCP连接(Ctrl+C),OSX将接连发送FIN和RST报文,并且RST报文的序号等于之前的FIN报文序号。

static bool tcp_reset_check(const struct sock *sk, const struct sk_buff *skb)
{
    struct tcp_sock *tp = tcp_sk(sk);
    return unlikely(TCP_SKB_CB(skb)->seq == (tp->rcv_nxt - 1) &&
            (1 << sk->sk_state) & (TCPF_CLOSE_WAIT | TCPF_LAST_ACK | TCPF_CLOSING));
}

 

SYN攻击

对于处在连接阶段的TCP连接,未避免攻击者伪造SYN报文导致接收端误以为对端连接已关闭,需要重新建立而导致的RST报文发送问题,内核改为对接收到的SYN报文不管其序号是否合法,仅回复挑战ACK报文,内容如下:<SEQ=SND.NXT><ACK=RCV.NXT><CTL=ACK>。如果对端确实要重新开始新的连接,在接收到挑战ACK报文之后,可根据其中的确认序号构造一个合法的RST报文先关闭之前的连接。如此处理,攻击者伪造的SYN报文将不能够复位存在的链接了。

static bool tcp_validate_incoming(struct sock *sk, struct sk_buff *skb, const struct tcphdr *th, int syn_inerr)
{
    /* Step 1: check sequence number */
    if (!tcp_sequence(tp, TCP_SKB_CB(skb)->seq, TCP_SKB_CB(skb)->end_seq)) {
        if (!th->rst) {
            if (th->syn)
                goto syn_challenge;
        goto discard;
    }

    /* step 4: Check for a SYN。 RFC 5961 4.2 : Send a challenge ack */
    if (th->syn) {
syn_challenge:
        tcp_send_challenge_ack(sk, skb);
        goto discard;
    }
}

 

以上处理,有一个小的弊端,当对端意外重启之后,如果使用相同的TCP的IP地址和端口号重新发起连接,发送SYN报文,并且,其初始序号选择了RCV.NXT-1的值,加入本端的连接还在,等接收到此SYN报文时,将回复挑战ACK报文,其确认序号为RCV.NXT,但是当对端接收到此挑战ACK报文,因为其正好确认了之前发送的SYN报文,对端并不会发送RST报文结束重启之前的连接。导致新连接一直建立不起来,要等到SYN报文超时。不过这属于非常极端情况。

 

内核版本 4.15

 

redwingz
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP SYN ACK FIN RST PSH URG.doc
05-24
TCP SYN ACK FIN RST PSH URG.doc
传输协议 TCP UDP ACK SEQ
11-07
对网络传输的PPT 对与网络的理解 英文版
TCP协议——问题汇总2.0
weixin_44479862的博客
10-22 875
TCP协议——问题汇总
已经建立的TCP,收到SYN会发生什么?
small_engineer的博客
04-21 2656
已经建立的TCP,收到SYN会发生什么? 该场景可以描述为:客户端与服务端建立连接后,突然客户端死机了,而服务器还处于establelisten状态,这时客户端开机后再次发送syn报文请求建立连接,那么服务端收到这个syn报文会做出什么反应呢?? 一个TCP连接是由一个四元组唯一确认的,此时源ip,目标ip,目标端口是确定的,只有源端口是不确定的。 客户端SYN报文的源端口与历史端口是不一样的 这样的话,相当于客户端重新建立起了一次新的连接 那么服务端处于establelisten状态的连接,如果服务端
tcp假连接_ESTABLISHED状态的连接收到 SYN 会回复什么?
weixin_39715997的博客
11-28 531
通过阅读这篇文章,你会了解到这些知识ESTABLISHED 状态的连接收到乱序包会回复什么Challenge ACK 的概念ACK 报文限速是什么鬼SystemTap 工具在 linux 内核追踪中的使用包注入神器 scapy 的使用RST 攻击的原理killcx 等工具利用 RST 攻击的方式来杀掉连接的原理接下来开始文章的内容。scapy 实验复现现象实验步骤如下:在机器 A(10.211.5...
TCP旁路劫持,糟糕的RFC5961
Netfilter
07-09 4252
RFC5961 & CVE-2016-5696,哈哈,典型的拆了东墙补西墙,瘸子治成哑巴。 我一直坚信,信息安全的最高机密就是三缄其口,沉默是金。通俗点说就是不和陌生人说话,不和逼逼的人交谈。 但是TCP偏不,所以TCP不安全。 TCP是一个30多年前的古老的协议,如果不是为了兼容,早就该歇了,但是它却一直活着,使我不得开心颜。 30多年前的网络环境,那是伊始,默认就是一个可信的环境!现在...
动图图解!收到RST,就一定会断开TCP连接吗?
IT技术精选文摘
11-06 898
若有收获,请记得分享和转发哦想必大家已经知道小白的惯性,搞个标题,就是不喜欢立马回答。就是要搞一大堆原理性的东西,再回答标题的问题。说这个是因为小白这次会把问题的答案就放到开头吗?不!就不...
TCP Out-Of-Window报文限速
redwingz的博客
04-23 2229
TCP接收到数据报文的序列号不在窗口之内,或者确认序列号不在窗口内,又或者PAWS(Protection Against Wrapped Sequence numbers)检查未通过,TCP将会使用正确的序列号和确认序号回复一个ACK报文,以纠正对端的序列号错误问题。如果对端一直发送以上三种类型的数据包(无论是由于错误或者恶意),将造成本端一直回复ACK报文,类似一种ACK的DoS攻击。 P...
内核TCP优化的相关参数
pingyan158的专栏
05-14 807
内核TCP相关的参数均在/proc/sys/net/ipv4下,有以下选项: tcp_abort_on_overflow tcp_adv_win_scale tcp_allowed_congestion_control tcp_app_win tcp_autocorking tcp_available_congestion_control tcp_base_mss tcp_challenge_ack_limit tcp_congestion_control tcp_dsack tcp_early_.
TCP常见问题
peng_shakalaka的博客
11-27 2096
所以如果客户端已使用端口 64992 与服务端 A 建立了连接,那么客户端要与服务端 B 建立连接,还是可以使用端口 64992 的,因为内核是通过四元祖信息来定位一个 TCP 连接的,并不会因为客户端的端口号相同,而导致连接冲突的问题。的工具,就是基于上面这样的方式实现的,它会主动发送 SYN 包获取 SEQ/ACK 号,然后利用 SEQ/ACK 号伪造两个 RST 报文分别发给客户端和服务端,这样双方的 TCP 连接都会被释放,这种方式活跃和非活跃的 TCP 连接都可以杀掉。
tcp_ack_check.rar_opnet tcp_tcp协议ack机制在opnet中实现
09-24
tcp协议ACK机制在opnet中实现代码
详解tcp三次握手过程syn,ack
11-11
图解tcp三次握手过程udp没有三次握手,所以不可靠
ack.rar_ACK
09-23
用c++语言编写 用堆栈的方法实现ack
IPSec手动创建隧道
redwingz的博客
05-21 3304
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | ...
IPSec NAT穿越静态配置和问题
redwingz的博客
05-22 2752
网络拓扑 |-------------------| |-------------------| | | | | | 192.168.1.115 | <---------> | 192.168.1.142 | | ...
snort3安装测试
redwingz的博客
08-19 2603
环境为Ubuntu: $ cat /etc/issue Ubuntu 20.04 LTS \n \l 首先由github下载源码,这里使用3.0.2版本。 ~/ips$ wget https://github.com/snort3/snort3/archive/3.0.2-5.tar.gz ~/ips$ ~/ips$ tar -xf 3.0.2-5.tar.gz ~/ips$ ~/ips$ cd snort3-3.0.2-5/ ~/ips/snort3-3.0.2-5$ 其次,安装所需的依赖包: ~/i
LDAP配置与测试
redwingz的博客
04-01 2266
安装环境: $ cat /etc/issue Ubuntu 20.10 \n \l 安装ldap,当前版本为2.4.53: apt-get update apt-get install slapd ldap-utils -y $ slapd -VV @(#) $OpenLDAP: slapd 2.4.53+dfsg-1ubuntu1.4 (Feb 18 2021 14:19:03) $ Ubuntu Developers <[email protected]
CLAMAV流检查接口
redwingz的博客
03-03 1744
可使用clamdscan工具进行文件流的检查,核心处理函数为send_stream。如下分为四个步骤: 首先,发送流检查命令字:"zINSTREAM"到clamd守护进程; 发送文件内容,注意存放文件数据的缓存,其头部4个字节存放的是缓存中数据长度,网络字节序; 发送4个字节的空数据到clamd,表示文件流发送完成; 读取clamd的检测结果。 static int send_stream(int sockd, const char *filename) { uint32_t buf[BUFSI
tcp dup ack报文
最新发布
07-10
TCP的"dup ack"报文指的是重复确认(acknowledgment)报文。当TCP接收到一个失序的数据段时,它会发送一个带有确认号的重复确认报文,以告知发送方数据段已接收。这个重复确认报文的确认号通常是已经接收到的最后一个有序数据段的序列号。 TCP使用重复确认报文来实现快速重传(Fast Retransmit)和快速恢复(Fast Recovery)机制。当发送方收到3个连续的重复确认报文时,它会认为某个数据段丢失,并立即重传该数据段,而不必等待超时重传的触发。 重复确认报文的接收通常表明网络中存在丢包或乱序的情况。发送方根据这些重复确认报文来判断是否需要进行快速重传和快速恢复。通过这个机制,TCP可以更快地恢复丢失的数据段,提高传输效率和可靠性。 希望以上回答能解决你的问题。如果你还有其他问题,欢迎继续提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值