【发布时间】:2014-12-01 05:25:46
【问题描述】:
我正在尝试进行 TCP ACK 欺骗。我从 pcap 文件中嗅探一个 ACK 数据包,并在循环中发送它,增加它的 ACK 编号以及另一个选项字段。
嗅探部分:(伪装)
from scapy.all import *
from struct import unpack, pack
pkt = sniff(offline="mptcpdemo.pcap", filter="tcp", count=15)
i=6
while True:
ack_pkt = pkt[i]
if ack_pkt.sprintf('%TCP.flags%') == 'A':
break
i+=1
del ack_pkt.chksum
del ack_pkt[TCP].chksum
print ack_pkt.chksum, ack_pkt[TCP].chksum
hex2pkt = ack_pkt.__class__
欺骗部分:(未优化)
count=1
while count<5:
ack_pkt[TCP].ack += 1
pkt_hex = str(ack_pkt)
rest = pkt_hex[:-4]
last_4_bit = unpack('!I',pkt_hex[-4:])[0]
new_hex_pkt = rest + pack('>I',(last_4_bit+1))
new_pkt=hex2pkt(new_hex_pkt)
#sendp(new_pkt, verbose=0)
print new_pkt.chksum, new_pkt[TCP].chksum
count+=1
输出是这样的:(正在改变)
None None
27441 60323
27441 58895
27441 57467
27441 56039
发送后,两个数据包之间的平均时间间隔约为 15 ms。 (对于 1000 个数据包)
当我用Wireshark 检查它时,它显示第一个数据包的“校验和正确”,而其他数据包显示“不正确”。
欺骗部分:(略有优化)
pkt_hex=str(ack_pkt)
rest1=pkt_hex[:42]
tcp_ack=unpack('!I',pkt_hex[42:46])[0]
rest2=pkt_hex[46:-4]
last_4_bit = unpack('!I',pkt_hex[-4:])[0]
count=1
while count<5:
new_hex_pkt = rest1 + pack('>I',(tcp_ack+1)) + rest2 + pack('>I',(last_4_bit+1))
new_pkt = hex2pkt(new_hex_pkt)
#sendp(new_pkt, verbose=0)
print new_pkt.chksum, new_pkt[TCP].chksum
count+=1
输出如下:(不变)
None None
27441 61751
27441 61751
27441 61751
27441 61751
发送后,两个数据包之间的平均时间间隔在 10 毫秒左右。 (对于 1000 个数据包)
第二种情况的校验和没有改变。这个过程是完全一样的。那么第二个优化案例的问题是什么?为什么循环计算的TCP校验和对于后续的数据包是错误的?
注意:
- last_4_bit 不是校验和字段。
- 我可以看到在 tcpdump 中递增的数据包的
ack number。
【问题讨论】:
-
两种方法生成的数据包是否相同,除了校验和字段?
-
@Yoel 是的。除了 TCP Checksum 之外,所有字段都相同。
-
关于第一种方法,将
del语句插入count循环是否会触发非TCP 校验和字段的正确重新计算? -
@Yoel 不。我刚刚检查了实时流量。我正在嗅探每个 TCP ACK 数据包。删除其 tcp 校验和。重新计算其 TCP 校验和并重新发送。整个事情都是用 tcpdump 捕获的。经过分析,令我惊讶的是,虽然系统生成的 ACK 和 scapy 生成的 ACK 数据包是相同的,但它们都有不同的 Checksum。 scapy 会生成错误的校验和吗?