在談RST***前,必須先了解TCP:如何通過三次握手建立TCP連接、四次握手怎樣把全雙工的連接關閉掉、滑動窗口是怎麼傳輸數據的、TCP的flag標誌位裏RST在哪些情況下出現。下面我會畫一些儘量簡化的圖來表達清楚上述幾點,之後再瞭解下RST***是怎麼回事。
1、TCP是什麼?
TCP是在IP網絡層之上的傳輸層協議,用於提供port到port面向連接的可靠的字節流傳輸。我來用土語解釋下上面的幾個關鍵字:
port到port:IP層只管數據包從一個IP到另一個IP的傳輸,IP層之上的TCP層加上端口後,就是面向進程了,每個port都可以對應到用戶進程。
可靠:TCP會負責維護實際上子虛烏有的連接概念,包括收包後的確認包、丟包後的重發等來保證可靠性。由於帶寬和不同機器處理能力的不同,TCP要能控制流量。
字節流:TCP會把應用進程傳來的字節流數據切割成許多個數據包,在網絡上發送。IP包是會失去順序或者產生重複的,TCP協議要能還原到字節流本來面目。
從上面我用PowerPoint畫的TCP協議圖可以看到,標誌位共有六個,其中RST位就在TCP異常時出現,也是我這篇文章重點關注的地方。
2、通過三次握手建立連接
下面我通過A向B建立TCP連接來說明三次握手怎麼完成的。
爲了能夠說清楚下面的RST***,需要結合上圖說說:SYN標誌位、序號、滑動窗口大小。
建立連接的請求中,標誌位SYN都要置爲1,在這種請求中會告知MSS段大小,就是本機希望接收TCP包的最大大小。
發送的數據TCP包都有一個序號。它是這麼得來的:最初發送SYN時,有一個初始序號,根據RFC的定義,各個操作系統的實現都是與系統時間相關的。之後,序號的值會不斷的增加,比如原來的序號是100,如果這個TCP包的數據有10個字節,那麼下次的TCP包序號會變成110。
滑動窗口用於加速傳輸,比如發了一個seq=100的包,理應收到這個包的確認ack=101後再繼續發下一個包,但有了滑動窗口,只要新包的seq與沒有得到確認的最小seq之差小於滑動窗口大小,就可以繼續發。
3、滑動窗口
滑動窗口毫無疑問是用來加速數據傳輸的。TCP要保證“可靠”,就需要對一個數據包進行ack確認表示接收端收到。有了滑動窗口,接收端就可以等收到許多包後只發一個ack包,確認之前已經收到過的多個數據包。有了滑動窗口,發送端在發送完一個數據包後不用等待它的ack,在滑動窗口大小內可以繼續發送其他數據包。舉個例子來看吧。
大家看上圖,標誌位爲.表示所有的flag都爲0。標誌位P表示flag爲PSH的TCP包,用於快速傳輸數據。
前三個包是三次握手,客戶端表示自己的滑動窗口大小是65535(我的XP機器),服務器端表示滑動窗口是5840(屏幕寬了,沒截出來)。從第四個包開始,客戶端向服務器發送PSH包,數據長度是520字節,服務器發了ack確認包。注意此時win窗口大小發生了改變哈。以此類推。
倒數第二、三包,服務器在滑動窗口內連續向客戶端發包,客戶端發送的ack 124同時確認了之前的兩個包。這就是滑動窗口的功能了。
如果談到TCP***就需要注意,TCP的各種實現中,在滑動窗口之外的seq會被扔掉!下面會講這個問題。
4、四次握手的正常TCP連接關閉
先畫張簡單的正常關閉連接狀態變遷圖。
FIN標誌位也看到了,它用來表示正常關閉連接。圖的左邊是主動關閉連接方,右邊是被動關閉連接方,用netstat命令可以看到標出的連接狀態。
FIN是正常關閉,它會根據緩衝區的順序來發的,就是說緩衝區FIN之前的包都發出去後再發FIN包,這與RST不同。
5、RST標誌位
RST表示復位,用來異常的關閉連接,在TCP的設計中它是不可或缺的。就像上面說的一樣,發送RST包關閉連接時,不必等緩衝區的包都發出去(不像上面的FIN包),直接就丟棄緩存區的包發送RST包。而接收端收到RST包後,也不必發送ACK包來確認。
TCP處理程序會在自己認爲的異常時刻發送RST包。例如,A向B發起連接,但B之上並未監聽相應的端口,這時B操作系統上的TCP處理程序會發RST包。
又比如,AB正常建立連接了,正在通訊時,A向B發送了FIN包要求關連接,B發送ACK後,網斷了,A通過若干原因放棄了這個連接(例如進程重啓)。網通了後,B又開始發數據包,A收到後表示壓力很大,不知道這野連接哪來的,就發了個RST包強制把連接關了,B收到後會出現connect reset by peer錯誤。
6、RST***
A和服務器B之間建立了TCP連接,此時C僞造了一個TCP包發給B,使B異常的斷開了與A之間的TCP連接,就是RST***了。實際上從上面RST標誌位的功能已經可以看出這種***如何達到效果了。
那麼僞造什麼樣的TCP包可以達成目的呢?我們至頂向下的看。
假定C僞裝成A發過去的包,這個包如果是RST包的話,毫無疑問,B將會丟棄與A的緩衝區上所有數據,強制關掉連接。
如果發過去的包是SYN包,那麼,B會表示A已經發瘋了(與OS的實現有關),正常連接時又來建新連接,B主動向A發個RST包,並在自己這端強制關掉連接。
這兩種方式都能夠達到復位***的效果。似乎挺恐怖,然而關鍵是,如何能僞造成A發給B的包呢?這裏有兩個關鍵因素,源端口和序列號。
一個TCP連接都是四元組,由源IP、源端口、目標IP、目標端口唯一確定一個連接。所以,如果C要僞造A發給B的包,要在上面提到的IP頭和TCP頭,把源IP、源端口、目標IP、目標端口都填對。這裏B作爲服務器,IP和端口是公開的,A是我們要下手的目標,IP當然知道,但A的源端口就不清楚了,因爲這可能是A隨機生成的。當然,如果能夠對常見的OS如windows和linux找出生成source port規律的話,還是可以搞定的。
序列號問題是與滑動窗口對應的,僞造的TCP包裏需要填序列號,如果序列號的值不在A之前向B發送時B的滑動窗口內,B是會主動丟棄的。所以我們要找到能落到當時的AB間滑動窗口的序列號。這個可以暴力解決,因爲一個sequence長度是32位,取值範圍0-4294967296,如果窗口大小像上圖中我抓到的windows下的65535的話,只需要相除,就知道最多只需要發65537(4294967296/65535=65537)個包就能有一個序列號落到滑動窗口內。RST包是很小的,IP頭+TCP頭也才40字節,算算我們的帶寬就知道這實在只需要幾秒鐘就能搞定。
那麼,序列號不是問題,源端口會麻煩點,如果各個操作系統不能完全隨機的生成源端口,或者***們能通過其他方式獲取到source port,RST***易如反掌,後果很嚴重。
摘自 russell_tao的專欄