与欺骗IP的握手

时间:2010-09-17 17:03:14

标签: c tcp

我注意到一些合法的联系是这样的:

6221 29.880628 5.4.3.2   1.2.3.4 TCP 61235 > cbt [SYN] Seq=0 Win=8192 Len=0 MSS=1452 SACK_PERM=1
6222 29.880646 1.2.3.4  5.4.3.2 TCP cbt > 61235 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460 SACK_PERM=1
6240 29.984383 5.4.3.2  1.2.3.4 TCP 61235 > cbt [ACK] Seq=1 Ack=1 Win=65340 Len=0
6241 29.989707 5.4.3.2  1.2.3.4 TCP 61235 > cbt [PSH, ACK] Seq=1 Ack=1 Win=65340 Len=267

所以,至少在我的情况下,如果合法总是这样:

Client (Syn,Seq=0)
Server (Syn/Ack, Seq=0, Ack1)
Client (Ack, Seq=1, Ack1)
对于可以欺骗并且能够将套接字提升到应用程序而言,似乎对我不利。 (当然,为了避免使用RST,欺骗性IP必须关闭)

所以我测试了发送带有欺骗IP的SYN然后发送ACK。

SYN到了,但是某个时候ack会被忽略。

在欺骗SYN之后,服务器发送3个SYN / ACK(当然没有回复)。几秒后,如果我重新发送确认,它会收到但有一些错误。

在这种情况下,是否可以与欺骗性IP进行握手?似乎是,但我做错了..

1 个答案:

答案 0 :(得分:2)

不,这是不可能的。

问题是当服务器发回SYN-ACK时 - 因为它将发送回欺骗的IP ,这与消息的实际发起者不匹配。

具体来说,你所描述的(伪造ACK)是一个TCP sequence prediction attack,它是众所周知的,现在几乎在每个操作系统都被反击。