[ 首页 ] [ 渗透测试 ] [ 黑客接单 ] [ 黑客技术 ] [ 黑客论坛 ] [ 黑客松 ]



标题 : 传输控制协议(TCP)
作者: VeNoMouS, 网络安全, 黑客服务Admin
日期 : 2023-07-30

什么是传输控制协议(TCP)

传输控制协议 (TCP) 是确保网络设备之间成功交换数据包的互联网标准。TCP 是多种应用程序的底层通信协议,包括 Web 服务器和网站、电子邮件应用程序、FTP 和点对点应用程序。

TCP 与互联网协议 (IP) 一起运行,指定如何在线交换数据。IP 负责将每个数据包发送到其目的地,而 TCP 则保证字节按照发送顺序传输,没有错误或遗漏。这两个协议统称为 TCP/IP。

建立TCP连接:三次握手

建立 TCP 连接需要客户端和服务器都参与所谓的 三向握手。该过程可以分解如下:

  1. 客户端向服务器发送 SYN 数据包,即从其源端口到服务器目标端口的连接请求。
  2. 服务器使用 SYN/ACK 数据包进行响应,确认收到连接请求。
  3. 客户端收到 SYN/ACK 数据包并用自己的 ACK 数据包进行响应。

连接建立后,TCP 的工作方式是将传输的数据分解为多个段,每个段被打包成一个数据报并发送到目的地。

TCP头结构

TCP 使用包含 10 个强制字段、总计 20 个字节(或八位字节)的标头来包装每个数据包。每个标头都包含有关连接和当前发送的数据的信息。

10个TCP头字段如下:

  1. 源端口 – 发送设备的端口。
  2. 目标端口 – 接收设备的端口。
  3. 序列号 – 发起 TCP 连接的设备必须选择一个随机的初始序列号,然后根据传输的字节数递增。
  4. 确认号 – 接收设备维护一个从零开始的确认号。它根据接收到的字节数递增该数字。
  5. TCP 数据偏移 – 这指定了 TCP 标头的大小,以 32 位字表示。一个字代表四个字节。
  6. 保留数据 ——保留字段始终设置为零。
  7. 控制标志 – TCP 使用九个控制标志来管理特定情况下的数据流,例如启动重置。
  8. 窗口大小 TCP 校验和 – 发送方生成校验和并在每个数据包标头中传输它。接收设备可以使用校验和来检查接收到的标头和有效负载中的错误。
  9. 紧急指针 – 如果设置了 URG 控制标志,则该值指示相对于序列号的偏移量,指示最后一个紧急数据字节。
  10. mTCP 可选数据 – 这些是可选字段,用于设置最大段大小、选择性确认和启用窗口缩放以更有效地使用高带宽网络。

TCP DDoS 漏洞及缓解方法

TCP 容易受到多种类型的 DDoS攻击,包括:

SYN泛洪

SYN 泛 洪发生在三向握手的初始阶段,向目标计算机上的每个端口发送 TCP 连接请求(SYN 数据包)的速度快于目标计算机处理请求的速度。服务器尝试处理攻击者的虚假 SYN 请求,并对合法 TCP 请求无响应,从而阻止握手完成。

展。

这会导致目标计算机耗尽其所有可用端口。在许多情况下,SYN 数据包是首选有效负载,仅用于使目标的网络管道饱和。

有多种方法可以缓解 SYN 洪水,包括:

  1. 微块 ——服务器在内存中为每个 SYN 请求分配一个微记录,而不是一个完整的连接对象,从而减少过多请求带来的潜在资源压力。
  2. SYN cookie  – 服务器在分配内存之前使用加密哈希来验证 TCP 请求。
  3. RST cookie  – 服务器在初始 SYN 请求后故意发送错误的响应。如果客户端合法,服务器会收到 RST 数据包,告诉服务器出现问题。
  4. TCP 堆栈调整 – 您可以减少释放分配给连接的内存的超时,或有选择地删除传入连接。

请注意,除了“经典”SYN洪水攻击方法外,许多 DDoS 攻击者还使用虚假 SYN 有效负载来发起通用网络层攻击,这种攻击的目的只是通过虚假数据包过载造成网络拥塞。缓解这些攻击需要能够按需扩展网络资源,例如使用云缓解解决方案。

STOMP DDoS 攻击

STOMP 是一种基于文本的协议,允许应用程序使用 TCP 与消息代理进行通信。在 STOMP DDoS 攻击中,犯罪者使用僵尸网络与应用程序打开大量 TCP 握手。然后,攻击者发送伪装成 STOMP TCP 请求的垃圾数据,使网络饱和。如果服务器准备解析 STOMP 请求,则攻击还会耗尽服务器资源。

TCP 碎片(泪滴)

泪滴攻击是一种 针对 TCP/IP 重组机制的IP 碎片 攻击,发生在三向握手完成并正在传输数据之后。它涉及攻击者故意发送带有缺陷段偏移字段的数据包,从而阻止接收者正确地将碎片数据组合在一起。数据包重叠并很快淹没受害者的服务器。

防止 TCP 碎片攻击需要使用路由器、安全代理或基于云的 DDoS 防护服务检查传入数据包 。然后,碎片不正确的数据包会在到达您的服务器之前被检测到并丢弃。

TCP DDoS 缓解

LvBug 允许您扩展网络资源,从而能够吸收各种规模的 TCP 攻击。我们专用的多太比特清理解决方案使用深度数据包检测 (DPI) 在恶意流量有机会到达您的服务器之前识别并阻止它。

该服务可以通过基于 BGP 或基于 DNS 的重新路由进行部署,作为始终在线或按需解决方案。


Copyright ©2024
Designed by : Wild Click Creative Agency
Email Administrator [ Telegram ] [ 联系我们 ] [ Email:Hackerbugforum@gmail.com ] [ 黑客论坛 ]