完了!TCP出了大事!
- 2020 年 7 月 30 日
- 筆記
前情回顧:《非中間人就不能劫持TCP了嗎?》
不速之客
夜黑風高,烏雲蔽月。
兩位不速之客,身著黑衣,一高一矮,潛入Linux帝國。
這一潛就是一個多月,直到他們收到了一條消息······
高個:「上峰終於給我們派任務了」
矮個:「什麼任務?我都閑的發慌了」
高個:「上峰讓我們配合他們完成TCP連接的劫持」
矮個:「TCP劫持?我們就是個普通程式,並沒有內核許可權,怎麼去修改網路連接啊,這不是強人所難嘛」
高個:「是啊,我也很奇怪。信上只約定了讓我們到時候告訴他們一個計數器的值就行,其他我們不用管」
矮個:「計數器,什麼計數器?」
高個:「DelayedACKLost,信上說執行cat /proc/net/netstat就能看到」
矮個:「不需要特殊許可權嗎?」
高個:「我也不知道,要不咱先試一下?」
兩人收起信件,環顧一圈,見四下無人,便偷偷執行了這一條命令:
「這都是些什麼啊?怎麼這麼多?」,矮個子問到。
「看樣子,像是記錄了Linux帝國網路協議棧的很多統計資訊」,高個子一邊說一邊仔細的查看著。
「這些資訊居然是公開的,誰都可以看?」
「也只能看,又改不了。怕啥?快找吧,找到DelayedACKLost再說」
兩人瞪大了眼睛,總算在一片密密麻麻的輸出中,找到了他們要的計數器。
可這一個小小的計數器怎麼就能助上峰完成TCP的劫持,二人卻是百思不得其解。
秘密任務
第二天晚上。
「快醒醒,上峰又來消息了」,在高個子的一陣搖晃中,矮個睜開了困頓的雙眼。
「又是什麼消息啊?」
「讓我們立即彙報DelayedACKLost的值」
兩人趕緊起身,再次執行了那條命令,拿到了計數器的值,報了上去。
剛發完消息還沒緩過神,上峰的指示又來了:DelayedACKLost有無增加?
兩人互相看了一眼,不解其意,不過還是再次查看了計數器,確認沒有增加,再次把結果報了上去。
就這樣,來來回回幾十次,上峰一直詢問這個計數器有無增加,可把哥倆忙壞了。
終於,上峰不再來消息,兩人有了喘息的時間。
古怪的TCP連接
而此刻,Linux帝國網路部協議棧大廈還是燈火通明。
「今晚是怎麼回事,網路怎麼這麼差,我都收到了好多錯誤包了」,新來的Robert嘆了口氣。
「不至於吧,是不是因為剛來還不太熟練?」,一旁的Cerf隨口問到。
「不是啊,有一條連接,我收到的包序列號不是太小,就是太大,搞了好多次才正確的,我還沒見過這種情況呢!」,Robert繼續說到。
一聽這話,Cerf趕緊放下了手裡的工作,來到Robert工位旁邊,「這麼邪乎?你說這情況我來這裡這麼久也沒見過,讓我看看」
Cerf仔細查看了過去一段時間的通訊,這條連接上,不斷有數據包發送過來,但因為TCP序列號一直不對,所以一直給丟掉了。
「有點奇怪,這傢伙怎麼感覺像是在猜序列號啊?而且奇怪的是最終居然讓他給猜出來了!這條連接一定有古怪,多半是被人劫持了。劫持方因為不知道序列號,所以一直在嘗試猜測序列號」,Cerf說到。
Robert也看了一看,「你這麼一說,確實是,而且你看,他不是瞎猜,好像是用二分法在猜!序列號是個32位的整數,二分法猜測,只需要32次就能猜出來」
「二分法?要用二分法的前提他得知道他是猜大了還是猜小了,得不到這個回饋,他就只能瞎猜了。他是如何得知猜大還是猜小的呢?」
兩人思來想去,也想不通對方是如何用二分法猜出了最終的序列號,隨後將此事報給了網路部傳輸層主管,主管又將這事報給了帝國安全部長。
揪出潛伏者
部長得知這個消息後,高度重視,要求全面排查網路部TCP小組相關的程式碼。
大家尋著TCP數據包處理的流程,在序列號檢查處的位置發現了問題。
如果序列號檢查不通過,就會進入tcp_send_dupack,大家都把注意力放到了這裡:
「這裡這個before判斷是什麼意思?」,主管問到。
Cerf上前回答說:「這是在判斷收到的數據包的序列號是不是比期望的序列號小,如果小的話,說明網路有重傳,就要關閉延遲回復ACK的機制,需要立即回復ACK」
「延遲回復ACK?」
「哦,主管,這是我們TCP小組的一個優化,TCP傳輸需要確認,但是如果每一次交互數據都發送ACK就太浪費了,所以我們做了一個優化,等到多次或者有數據發送的時候,一併把回復的ACK帶上,就不用了每次發送ACK報文,我們把這個叫Delayed ACK,也就是延遲確認。」,Cerf繼續解釋到。
「那下面這個tcp_enter_quickack_mode是不是就是關閉這個機制,進入快速ACK回復模式?」,主管問到。
「沒錯沒錯!」
這時,安全部長指著一行問到,「這裡看著有些古怪,是在幹嘛?」
「這個我知道,Cerf昨天教過我,這個是在進行統計。把這一次延遲ACK的丟失計入對應的全局計數器中」,Robert說到。
經驗老道的安全部長此刻意識到了問題,「如此看來,收到的序列號比期望小的時候,這個計數器才會增加,如果大了就不會增加。各位試想一下,如果那個猜測的傢伙能看到這個計數器有無增長,不就能知道是猜大了還是猜小了?」
Robert搖了搖頭說到:「不會吧,這計數器在我們這裡,網路上其他人怎麼可能知道。再說了,這個計數器大家都在用,用這個判斷,誤差太大啦!」
主管也搖了搖頭,「不對,雖說是大家都在用,不過這裡這個計數器很特別,發生的概率很小,一般不會走到這裡來,網路哪那麼容易出問題嘛」
安全部長說到:「根據目前掌握的資訊,之前就有其他部門反映帝國有姦細混了進來,不過他們一直藏在暗處,至今還沒有揪出來。如若他們和外界勾結,作為眼線,觀察這個計數器的變化,外面就能知道他的猜測是大是小。對,一定是這樣!」
隨後,安全部長來到了文件系統部門,調用了/proc/net/netstat的訪問記錄,根據記錄很快定位到了隱藏在Linux帝國的兩個細作,下令將他們逮捕。
高矮兩位姦細如實交代了一切······
未完待續······
彩蛋
「老大,我們派出的潛伏者失去聯繫了」
「無妨,沒有那兩個笨蛋,我也能劫持TCP」
預知後事如何,請關注後續精彩······
本文的攻擊手法改編自看雪2018峰會,網路安全大牛錢志雲分享的主題《TCP的厄運,網路協議側信道分析及利用》
看雪論壇原文鏈接://bbs.pediy.com/thread-245982.htm
往期TOP5文章
