[讨论]修改第三次ACK,实现源IP欺骗.

agaonet

【目的】实现应用层源IP欺骗。欺骗服务器上HTTP对源IP的判断，实现“疯狂投票”！

【原理】

靠验证源IP限制恶意投票的投票程序，在大家投票的时候记录你的IP地址，当你再次投票的时候他对照他记录的IP信息库，禁止你再次投票。

我想了一种没有经过验证的方法，不知道是否可行。希望大家都来讨论，并验证。

一般的投票方式，都是访问一个固定的URL连接。只要访问这个连接，就能够投票成功。但是由于IP的限制，导致不能重复投票。
为了破解其限制，我们编程，利用原始的Socket方式。

1。 提交正常的第一次握手信号：SYN。
2。 接收服务器返回的握手和确认信号：SYN+ACK。
3。 生成经过伪装了源IP的：ACK。（回送给服务器，并请求投票页面。）

关键地方在于：获得步骤 2 中，服务器发过来的 SYN 序号，并根据这个序号生成步骤 3 中修改了源IP，并附加了数据“GET / HTTP/1.1”的ACK。（TCP有个特性是，可以在回应ACK中捎带数据）。

通过上诉步骤应该可以实现IP欺骗，并能实现高层的欺骗，而且防火墙也不会挡的。一般的DOS程序经过修改就可以实现。
该想法主要是在确立第三次连接的时候才进行欺骗。

也许不用在第三次连接的时候进行欺骗。可以在3次以后，进行欺骗。但是必须得到服务器SYN的序号。

不知道我这个想法是否行的通，各位大大帮忙论证一下啊。

platinum

第三步会通过 TCP 协议栈吗？
建议好好看一下《TCP/IP 详解》卷一的第十八章

agaonet

就是认真研究过TCP/IP的第18章才有这样的疑问。

只要序号相同，应该能够提交过去。
在第三步，伪装S_ip送给服务器。3层管不着，第四层应该只检测序号吧？

铂老师，给个详细点的解释吧。谢谢！

[ 本帖最后由 agaonet 于 2006-12-1 01:35 编辑 ]

colddawn

你的思路是对的，然而不可行。关键就在于你基本不可能得到服务器发回的seq，因为在普遍的网络环境下服务器发回的包都会送到真正的客户端机器，除非你在中间路由设备上做嗅探，或者恰好你与你要伪装的IP处于同一个Hub广播型的局域网内。
其实对于TCP连接来说，在任何一个包截获到seq都可以进行进一步的会话劫持，关键在于你截获seq后保证你构造的伪装包能先于正常的包送达你要劫持的对端。

platinum

看来之前我理解错了：）

ipaddr

我想不太可能。

cz_huangji

原帖由 colddawn 于 2006-12-2 21:43 发表
你的思路是对的，然而不可行。关键就在于你基本不可能得到服务器发回的seq，因为在普遍的网络环境下服务器发回的包都会送到真正的客户端机器，除非你在中间路由设备上做嗅探，或者恰好你与你要伪装的IP处于同一个 ...

楼主的意思是，第一个和第二个包不伪装源IP地址，所以是可以正确的收到服务器的。再通过读取服务器发送回来的数据包得到Seq。仅在发送第三个ACK的时候伪装源IP，并且捎带HTTP请求过去（这时已不再需要服务正确的回送数据包），想要的效果只是欺骗TCP协议栈。整个过程的疑惑就是当服务器发送了ACK+SYN后会不会就记住了客户端IP并且一直为上层提供该IP地址而使得客户端在发送第三个数据包时所伪装的IP无效，请老师指教？

ttvast

IPA->IPB SYN,  IPB建立SOCKET结构.
IPB->IPA SYN_ACK
IPC->IPB ACK+DATA IPB无法查到曾经建立过IPC->IPB的数据结构,而本数据包又不是SYN,IPB认为该数据包不合法,发送TCP RST->IPC

liuzhuan23

net/3或net/4的栈里，在L4协议的实现机制中，需要使用路由的高速缓存，所以，这种IP欺骗的做法是不可能实现的

独孤九贱

TCP协议需要改写了……嘻嘻