基于TCP协议的网络数据实时篡改

基于 TCP 协议的网络数据实时篡改

金 瓯，施 勇，薛 质(上海交通大学信息安全工程学院，上海 200240)【摘 要】首先对网络数据实时篡改作了定义，指出攻击者介入通信双方是实行实时篡改的前提，并提出了数种攻击者介入通信的方式。随后从基于“替换 - 转发”现有数据包的机制到赋予攻击者主动发包能力的模拟 TCP 协议栈方 式，层层递进，不断提出各种方法，同时指出其局限性，并针对性地修正和完善了实时数据篡改的实现手段。该部分 的末尾对先前提出的方法作出了总结。最后从不同的方面提出了对于数据实时篡改的防御措施。【关键词】实时；篡改；T C P/ I P 协议；T C P 序列号 / 确认号；替换 - 转发【中图分类号】T P 3 9 3【文献标识码】A【文章编号】1 0 0 9 - 8 0 5 4 ( 2 0 1 0 ) 0 4 - 0 0 7 4 - 0 4Real-time Replacement of Network Data Packets Based on TCP and Its Defense Measures

J IN Ou, SHI Yong, XUE Zhi

( Sc hool of I nf orma t ion Se c ur i ty Sha ngha i J i aot ong Uni ver s it y, Shanghai 200240, Chi na )【Abs trac t】The ar ticl e fi rst def ines the me aning of rea l-t ime repl acement of network data pa cket s, a nd t hen des cribes t he

me t hods o f a t t a c ke r i nvol ve me n t . I t ma i nl y di s c us s e s s t e p by s t e p t h e me t hods o f c or r e c t l y a c hi e vi ng t he r e a l - t i mere plac ement, f rom the mechanis m of "r epla ce-f orwa rd" to t he simulati on of TCP/IP sta ck. Finally some de fens e me asur esa ga inst t he r ea l- ti me r e pl ac ement ar e pr ovided.【Key wo r ds 】r ea l -t i me ; r epl ac e me nt; TCP/I P; TCP SEQ/ ACK; r e pa l c e- f or war d控和影响双方的通信；② 替换：攻击方在整个过程中参与数据流的篡改替换。 文中仅讨论基于 TCP 协议之上的实时篡改。 从上述定义中可以看出，攻击者要达到数据篡改的目的，首先必须要能够介入到通信双方之间，故攻击者需要 分两步来完成目标：作为中间人介入、实施全程数据替换。 文中在定义了实时替换之后，先提出若干种攻击者作为中 间人介入正常通信双方的方法，之后再重点研究实时替换的相关实现，最后针对实时替换的特点提出防御方法。引言0如今网络发达，网络数据篡改成了常见的攻击手段之一，而现有的网络数据篡改手段却较少涉及数据流的实时 篡改。以网页数据篡改为例，攻击者通过利用网站服务器 的操作系统和服务程序的漏洞提升自身权限，继而上传木马 来达到目的，并不涉及网络数据流的实时替换；又如攻击 者采取 DNS 欺骗，篡改 DNS 的应答数据包，将被攻击者 的访问重新定位到攻击者指定的位置[1]，但是攻击者不参与 之后的通信过程，故也不会参与到实时替换中。我们对网络数据实时篡改进行如下定义：攻击者通过 某种方式介入到通信双方之间，同步于双方的通信实行监 控篡改，并且直至篡改结束自身始终介于被攻击双方之间 的篡改替换方式，其中有以下两个重点：① 实时：攻击者必须介入到通信双方之间，参与并监1 攻击者作为中间人介入的方法

为了做到攻击者介入到通信双方之间，攻击者可以采 用如下方法：① 透明桥接：通过桥接方式直接使自身处于通信双 方之间，由于使用了桥接方式，通信双方无需修改网络配 置，难以意识到攻击者的存在，但是这种方式采用起来限 制较多，普通情况下较难以实行；② A RP 欺骗：通过修改 A RP 应答数据包中的 MA C 地址和IP地址的对应关系，来使得通信双方的数据包全部 发送到攻击者处，再由攻击者中转。然而这种方