TCP/IP协议-概念、应用、开发、Hack

TCP/IP协议

一 协议概述

<一> 概念

1 基本概念
    Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。
    TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。
    
    数据帧：帧头+IP数据包+帧尾 （帧头包括源和目标主机MAC地址及类型，帧尾是校验字）
    IP数据包：IP头部+TCP数据信息（IP头包括源和目标主机IP地址、类型、生存期等）
    TCP数据信息：TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校验字等）


2 IP地址
    在Internet上连接的所有计算机，从大型机到微型计算机都是以独立的身份出现，我们称它为主机。为了实现各主机间的通信，每台主机都必须有一个唯一的网络地址。就好像每一个住宅都有唯一的门牌一样，才不至于在传输资料时出现混乱。
    Internet的网络地址是指连入Internet网络的计算机的地址编号。所以，在Internet网络中，网络地址唯一地标识一台计算机。
    我们都已经知道，Internet是由几千万台计算机互相连接而成的。而我们要确认网络上的每一台计算机，靠的就是能唯一标识该计算机的网络地址，这个地址就叫做IP（Internet Protocol的简写）地址，即用Internet协议语言表示的地址。
    在Internet里，IP地址是一个32位的二进制地址，为了便于记忆，将它们分为4组，每组8位，由小数点分开，用四个字节来表示，而且，用点分开的每个字节的数值范围是0~255，如202.116.0.1，这种书写方法叫做点数表示法。


3 OSI参考模型
    OSI参考模型是ISO的建议，它是为了使各层上的协议国际标准化而发展起来的。OSI参考模型全称是开放系统互连参考模型(Open System Interconnection Reference Model)。这一参考模型共分为七层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层；


    物理层(Physical Layer)主要是处理机械的、电气的和过程的接口，以及物理层下的物理传输介质等。
    数据链路层(Data Link Layer)的任务是加强物理层的功能，使其对网络层显示为一条无错的线路。
    网络层(Network Layer)确定分组从源端到目的端的路由选择。路由可以选用网络中固定的静态路由表，也可以在每一次会话时决定，还可以根据当前的网络负载状况，灵活地为每一个分组分别决定。
    传输层(Transport Layer)从会话层接收数据，并传输给网络层，同时确保到达目的端的各段信息正确无误，而且使会话层不受硬件变化的影响。通常，会话层每请求建立一个传输连接，传输层就会为其创建一个独立的网络连接。但如果传输连接需要一个较高的吞吐量，传输层也可以为其创建多个网络连接，让数据在这些网络连接上分流，以提高吞吐量。而另一方面，如果创建或维持一个独立的网络连接不合算，传输层也可将几个传输连接复用到同一个网络连接上，以降低费用。除了多路复用，传输层还需要解决跨网络连接的建立和拆除，并具有流量控制机制。
    会话层(Session Layer)允许不同机器上的用户之间建立会话关系，既可以进行类似传输层的普通数据传输，也可以被用于远程登录到分时系统或在两台机器间传递文件。
    表示层(Presentation Layer)用于完成一些特定的功能，这些功能由于经常被请求，因此人们希望有通用的解决办法，而不是由每个用户各自实现。
    应用层(Application Layer)中包含了大量人们普遍需要的协议。不同的文件系统有不同的文件命名原则和不同的文本行表示方法等，不同的系统之间传输文件还有各种不兼容问题，这些都将由应用层来处理。此外，应用层还有虚拟终端、电子邮件和新闻组等各种通用和专用的功能。

二 应用

1 协议测试
全面的测试应包括局域网和互联网两个方面，因此应从局域网和互联网两个方面测试，以下是在实际工作中利用命令行测试TCP/IP配置步骤：
1)． 单击“开始”/“运行”，输入CMD按回车，打开命令提示符窗口。
2)．首先检查IP地址、子网掩码、默认网关、DNS服务器地址是否正确，输入命令ipconfig /all，按回车。此时显示了你的网络配置，观查是否正确。
3)．输入ping 127.0.0.1，观查网卡是否能转发数据，如果出现“Request timed out”（请求超时），表明配置出错或网络有问题。
4)．Ping一个互联网地址，看是否有数据包传回，以验证与互联网的连接性。
5)． Ping 一个局域网地址，观查与它的连通性。
6)．用nslookup测试DNS解析是否正确，输入如nslookup ，查看是否能解析。
如果你的计算机通过了全部测试，则说明网络正常，否则网络可能有不同程度的问题。在此不展开详述。不过，要注意，在使用 ping命令时，有些公司会在其主机设置丢弃ICMP数据包，造成你的ping命令无法正常返回数据包，不防换个网站试试。


2 协议重置
如果需要重新安装 TCP/IP 以使TCP/IP 堆栈恢复为原始状态。可以使用NetShell 实用程序重置TCP/IP 堆栈，使其恢复到初次安装操作系统时的状态。具体操作如下：
1)．单击 开始--> 运行，输入"CMD" 后单击"确定";
2)．在命令行模式输入命令
netsh int ip reset C:\resetlog.txt
（其中，Resetlog.txt记录命令结果的日志文件，一定要指定，这里指定了Resetlog.txt 日志文件及完整路径。）
运行结果可以查看C:\resetlog.txt
运行此命令的结果与删除并重新安装TCP/IP 协议的效果相同。


注意
本操作具有一定的风险性，请在操作前备份重要数据，并根据操作熟练度酌情使用。

三 单个的名词含义

1 SYN
    SYN（synchronous）是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。
    TCP连接的第一个包，非常小的一种数据包。


2 ACK
    Acknowledgement，即确认字符，在数据通信中，接收站发给发送站的一种传输类控制字符。表示发来的数据已确认接收无误。
    在TCP/IP协议中，如果接收方成功的接收到数据，那么会回复一个ACK数据。通常ACK信号有自己固定的格式,长度大小,由接收方回复给发送方。其格式取决于采取的网络协议。当发送方接收到ACK信号时，就可以发送下一个数据。如果发送方没有收到信号，那么发送方可能会重发当前的数据包，也可能停止传送数据。具体情况取决于所采用的网络协议。
    TCP报文格式中的控制位由6个标志比特构成，其中一个就是ACK，ACK为1表示确认号有效，为0表示报文中不包含确认信息，忽略确认号字段。
    ACK也可用于AT24cxx这一系列的EEPROM中。
    在USB传输中，ACK事务包用来向主机/设备报告包正确的传输。


3 FIN
    FIN(ISH)为TCP报头的码位字段，该位置为1的含义为发送方字节流结束，用于关闭连接。
    当两端交换带有FIN标志的TCP报文段并且每一端都确认另一端发送的FIN包时，TCP连接将会关闭。FIN位字面上的意思是连接一方再也没有更多新的数据发送。然而，那些重传的数据会被传送，直到接收端确认所有的信息。

四 编程

五 黑客攻击与防御

1 SYN攻击
    SYN 攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。
攻击性质
    SYN攻击属于DDoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。服务器接收到连接请求（syn= j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。


攻击原理
    归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范。
    SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。


攻击器
    SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。


    windows系统下的SYN工具
    以synkill.exe为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和TCP端囗，激活运行，很快就会发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的TCP端囗，通常，windows系统开放tcp139端囗，UNIX系统开放tcp7、21、23等端囗。


检测攻击
    检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击：


# netstat -n -p TCP
tcp　0　 0 10.11.11.11:23　124.173.152.8:25882　 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　236.15.133.204:2577　 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　127.160.6.129:51748　 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　222.220.13.25:47393　 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　212.200.204.182:60427 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　232.115.18.38:278　 SYN_RECV　-
tcp　0　 0 10.11.11.11:23　239.116.95.96:5122　SYN_RECV　-
tcp　0　 0 10.11.11.11:23　236.219.139.207:49162 SYN_RECV　-
...
上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。


我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：
#netstat -n -p TCP | grep SYN_RECV | grep :22 | wc -l
324
显示TCP端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。


防范技术
    一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范


注册表设置
    在“开始->运行->键入regedit”
    启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters之下。值名称：SynAttackProtect。推荐值：2。
    以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters 之下。
    指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。
    启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。
    启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400


丰富带宽资源
    不难看出syn攻击消耗带宽资源所以要想防御synflood一个丰富的带宽资源是必要的，通常的流量攻击，攻击者也是利用肉鸡的带宽资源来达到攻击堵死网络的，所以这个是一个前提


防火墙
    利用防火墙来进行防护攻击是目前最有效的方法，当然前提是攻击在防护带宽范围之内，也就是为什么第二条推荐带宽资源，这是保证在防火墙前面不会造成堵塞，来达到防火墙的防护目的。