伪造TCP/IP数据包, 刷票?!!
2012-07-16 20:40
141 查看
http://www.cnblogs.com/yanjielong/archive/2011/10/29/2209525.html
我立马投了票, 再投第二下那时
限制了IP了~
我却突然萌生一个想法, 如果我伪造TCP数据包, 伪造TCP头上的IP地址,不是可以想多少票,就多少票了~
PS:因为之前看过有关SYN攻击的描述,知道可以发出大量伪造的SYN数据包,使到服务器建立大量半连接,占用服务器的资源
先从简单的udp 数据包开始. 立马找了一段以前udp监听的代码,用它来负责测试.
首先,发送数据包的话, 我首先想到的是raw socket.
马上从网上拷了一段代码, 对我的测试代码发, 失败. 又调了老半天,还是失败.
网上的原因说到: 操作系统对raw socket的限制 - -!
至于能不能使用raw socket 发送数据包, 我就没有细细研究了.
我发现sendto一个数据包还要填地址和端口... 既然是建立在IP那一层, 为什么还要填个端口.
//===========================================================================//
接着, 我想到以前用过一下的库 --- Winpcap.
Winpcap能发数据链路层的数据!
使用Winpcap发送数据
?
接着就组装数据包了.
先看一下他们的校验和(来自网上的):
◆当发送IP包时,需要计算IP报头的校验和:
1、把校验和字段置为0;
2、对IP头部中的每16bit进行二进制求和;
3、如果和的高16bit不为0,则将和的高16bit和低16bit反复相加,直到和的高16bit为0,从而获得一个16bit的值;
4、将该16bit的值取反,存入校验和字段。
◆当接收IP包时,需要对报头进行确认,检查IP头是否有误,算法同上2、3步,然后判断取反的结果是否为0,是则正确,否则有错。
实现代码如下:
?
下面看一下IPv4数据包头(简要说明而已, 如果想相信了解每一个项是怎么用, 建议查一下书吧!!)
版本:4
报头长度: 首部长/4(没选项就是5了)
服务类型:没用,置0
总长度:首部长度+数据长度
标识,标志,片偏移: IP数据包分片相关,将标志赋0x2就是不分片了
生存时间:0xff(255)
协议:看运输层,TCP:6, UDP:17
头校验和: 就是使用上面的算法计算头部的校验和, 不包括数据部分
源地址,目的地址: ..
选项就忽略吧~
真正的UDP包就只有4个字段而已
源端口,目的端口: ..
长度: UDP头+数据的长度
校验和:这个校验和的算法,要加上伪头部和数据来算,如上图.其中伪头部中的长度=UDP总长度
数据部分: 不一定是16位的倍数, 上图只是计算检验和那时的情况
这里, 我成功把数据包发给了测试程序 :-) (代码等一下再贴)
下面是TCP的头.
源端口,目的端口: ..
序号: 你现在发的包的开始序号
确认号: 你收到对方发的包的序号个数
头部: 就是头部的长度, 要除以4了
保留: 置0
URG:使用紧急指针,不用,置0
ACK:使用确认号
PSH:尽快提交上层
RST:拒绝连接,重置连接
SYN:用于建立连接
FIN:用于建立连接
窗口大小:表示自己还能接收多少数据
检验和:如UDP的检验和的算法, 但是要把伪头部中协议置为6
紧急指针:不用,置为0
选项:不用, 它主要有MSS, SACK的功能
下面贴代码
?
//===========================================================================//
因为当我发送一个数据包给服务器,服务器也给我发回来一个数据包.这时候系统收到数据包,发现这个端口占用..然后就发一个RST的TCP给服务器, 让服务器关闭这个连接 > <!!
Winpcap是没办法阻止系统收到/发送数据包的. 因而不能阻止RST.
下面是网上截下来TCP的说明(http://www.hackbase.com/tech/2011-04-26/63452.html):
大部分TCP/IP实现遵循以下原则:
1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。
2:当一个RST数据包到达一个监听端口,RST被丢弃。
3:当一个RST数据包到达一个关闭的端口,RST被丢弃。
4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。
5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。
6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN|ACK数据包。
7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。
如那篇文章所说,利用上述规则我们可以进行端口扫描(这方法总比遍历connect高效吧!),
但是伪造数据来刷票是不行了,除非自己能改操作系统...
前言
最近,有一同学给我发来一投票的链接,当然希望我帮他投某某的票了o(︶︿︶)o我立马投了票, 再投第二下那时
限制了IP了~
我却突然萌生一个想法, 如果我伪造TCP数据包, 伪造TCP头上的IP地址,不是可以想多少票,就多少票了~
PS:因为之前看过有关SYN攻击的描述,知道可以发出大量伪造的SYN数据包,使到服务器建立大量半连接,占用服务器的资源
先从简单的udp 数据包开始. 立马找了一段以前udp监听的代码,用它来负责测试.
首先,发送数据包的话, 我首先想到的是raw socket.
马上从网上拷了一段代码, 对我的测试代码发, 失败. 又调了老半天,还是失败.
网上的原因说到: 操作系统对raw socket的限制 - -!
至于能不能使用raw socket 发送数据包, 我就没有细细研究了.
我发现sendto一个数据包还要填地址和端口... 既然是建立在IP那一层, 为什么还要填个端口.
//===========================================================================//
接着, 我想到以前用过一下的库 --- Winpcap.
Winpcap能发数据链路层的数据!
使用Winpcap发送数据
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | //获取发送的句柄了 pcap_t* adhandle = NULL; char errbuf[PCAP_ERRBUF_SIZE] = {0 }; pcap_if_t *alldevs = NULL; if (pcap_findalldevs(&alldevs, errbuf) == -1) return ; if ((adhandle = pcap_open(alldevs->name, 0x10000, PCAP_OPENFLAG_PROMISCUOUS, 1000, NULL, errbuf)) == NULL) return ; pcap_freealldevs(alldevs); //发送数据包 if (pcap_sendpacket(adhandle, ( const u_char*)buf, totalLen) == -1) { } |
先看一下他们的校验和(来自网上的):
◆当发送IP包时,需要计算IP报头的校验和:
1、把校验和字段置为0;
2、对IP头部中的每16bit进行二进制求和;
3、如果和的高16bit不为0,则将和的高16bit和低16bit反复相加,直到和的高16bit为0,从而获得一个16bit的值;
4、将该16bit的值取反,存入校验和字段。
◆当接收IP包时,需要对报头进行确认,检查IP头是否有误,算法同上2、3步,然后判断取反的结果是否为0,是则正确,否则有错。
实现代码如下:
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | u_int16_t in_cksum (u_int16_t * p, int psize) { u_int32_t ret = 0; while (psize > 1) { ret += *p++; psize -= 2; } if (psize == 1) ret += *(u_int8_t*)p; ret = (ret >> 16) + (ret & 0xffff); ret += (ret >> 16); return ~ret; } |
版本:4
报头长度: 首部长/4(没选项就是5了)
服务类型:没用,置0
总长度:首部长度+数据长度
标识,标志,片偏移: IP数据包分片相关,将标志赋0x2就是不分片了
生存时间:0xff(255)
协议:看运输层,TCP:6, UDP:17
头校验和: 就是使用上面的算法计算头部的校验和, 不包括数据部分
源地址,目的地址: ..
选项就忽略吧~
真正的UDP包就只有4个字段而已
源端口,目的端口: ..
长度: UDP头+数据的长度
校验和:这个校验和的算法,要加上伪头部和数据来算,如上图.其中伪头部中的长度=UDP总长度
数据部分: 不一定是16位的倍数, 上图只是计算检验和那时的情况
这里, 我成功把数据包发给了测试程序 :-) (代码等一下再贴)
下面是TCP的头.
源端口,目的端口: ..
序号: 你现在发的包的开始序号
确认号: 你收到对方发的包的序号个数
头部: 就是头部的长度, 要除以4了
保留: 置0
URG:使用紧急指针,不用,置0
ACK:使用确认号
PSH:尽快提交上层
RST:拒绝连接,重置连接
SYN:用于建立连接
FIN:用于建立连接
窗口大小:表示自己还能接收多少数据
检验和:如UDP的检验和的算法, 但是要把伪头部中协议置为6
紧急指针:不用,置为0
选项:不用, 它主要有MSS, SACK的功能
下面贴代码
?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 | #define HAVE_REMOTE #include <pcap.h> #pragma comment(lib, "wpcap.lib") #pragma comment(lib, "ws2_32.lib") u_int16_t crc_checksum(u_int16_t* p, int psize) { u_int32_t ret = 0; while (psize > 1) { ret += *p++; psize -= 2; } if (psize == 1) ret += *(u_int8_t*)p; ret = (ret >> 16) + (ret & 0xffff); ret += (ret >> 16); return ~ret; } struct ether_header{ u_int8_t ether_dhost[6]; u_int8_t ether_shost[6]; u_int16_t ether_type; //IP协议,为0x0800 }; struct ip_header { u_int8_t version_headerLen; u_int8_t servicetype; u_int16_t totalLen; u_int16_t identification; u_int16_t flags_fragOffset; u_int8_t ttl; u_int8_t protocol; u_int16_t checksum; u_int32_t saddr; u_int32_t daddr; }; struct udp_header { u_int16_t sport; u_int16_t dport; u_int16_t totalLen; u_int16_t checksum; }; struct tcp_header { u_int16_t sport; u_int16_t dport; u_int32_t seq; u_int32_t ack_seq; u_int16_t dataOffset_reserve_flags; u_int16_t window; u_int16_t checksum; u_int16_t urg_ptr; }; struct psd_header { u_int32_t saddr; u_int32_t daddr; u_int8_t zero; u_int8_t protocol; u_int16_t len; }; void * add_bytes_addr( void * st, int bytes) { return ( void *)((( char *)st) + bytes); } pcap_t* adhandle = NULL; void send_ether_data_from_ip( const char * d, const int dlen) { int totalLen = sizeof (ether_header) + dlen; char * buf = new char [totalLen]; ether_header* etherhdr = (ether_header*)add_bytes_addr(buf, 0); char * data = ( char *)add_bytes_addr(etherhdr, sizeof (ether_header)); memcpy(data, d, dlen); etherhdr->ether_shost[0] = 0x00; etherhdr->ether_shost[1] = 0xE0; etherhdr->ether_shost[2] = 0xB0; etherhdr->ether_shost[3] = 0xE7; etherhdr->ether_shost[4] = 0xA6; etherhdr->ether_shost[5] = 0xDD; etherhdr->ether_dhost[0] = 0xc8; etherhdr->ether_dhost[1] = 0x3a; etherhdr->ether_dhost[2] = 0x35; etherhdr->ether_dhost[3] = 0x2c; etherhdr->ether_dhost[4] = 0x07; etherhdr->ether_dhost[5] = 0x00; etherhdr->ether_type = htons(0x0800); if (pcap_sendpacket(adhandle, ( const u_char*)buf, totalLen) == -1) { } delete[] buf; } void send_ip_data(u_int saddr, u_int daddr, u_char protocol, const char * d, int dlen) { int totalLen = sizeof (ip_header) + dlen; char * buf = new char [totalLen]; ip_header* iphdr = (ip_header*)add_bytes_addr(buf, 0); char * data = ( char *)add_bytes_addr(iphdr, sizeof (ip_header)); memcpy(data, d, dlen); iphdr->version_headerLen = (4<<4) | 5; iphdr->servicetype = 0; iphdr->totalLen =htons(totalLen); iphdr->identification = htons(0); iphdr->flags_fragOffset = htons((2<<13) | 0); iphdr->ttl = 0xff; iphdr->protocol = protocol; iphdr->checksum = 0; iphdr->saddr = saddr; iphdr->daddr = daddr; iphdr->checksum = crc_checksum((u_int16_t*)iphdr, sizeof (ip_header)); send_ether_data_from_ip(buf, totalLen); delete[] buf; } u_int16_t calc_psd_checksum(u_int32_t saddr, u_int32_t daddr, u_int8_t protocol, const char * d, int dlen) { int totalLen = sizeof (psd_header) + dlen; char * buf = new char [totalLen]; psd_header* psdhdr = (psd_header*)add_bytes_addr(buf, 0); char * data = ( char *)add_bytes_addr(psdhdr, sizeof (psd_header)); memcpy(data, d, dlen); psdhdr->saddr = saddr; psdhdr->daddr = daddr; psdhdr->zero = 0; psdhdr->protocol = protocol; psdhdr->len = htons(dlen); u_int16_t ret = crc_checksum((u_int16_t*)buf, totalLen); delete[] buf; return ret; } void send_udp_data(u_int32_t saddr, u_int16_t sport, u_int32_t daddr, u_int16_t dport, const char * d, int dlen) { int totalLen = sizeof (udp_header) + dlen; char * buf = new char [totalLen]; udp_header* udphdr = (udp_header*)add_bytes_addr(buf, 0); char * data = ( char *)add_bytes_addr(udphdr, sizeof (udp_header)); memcpy(data, d, dlen); udphdr->sport = htons(sport); udphdr->dport = htons(dport); udphdr->totalLen =htons(totalLen); udphdr->checksum = 0; udphdr->checksum = calc_psd_checksum(saddr, daddr, IPPROTO_UDP, buf, totalLen); send_ip_data(saddr, daddr, IPPROTO_UDP, ( const char *)udphdr, totalLen); delete[] buf; } inline u_int8_t tcp_flags(u_int8_t urg, u_int8_t ack, u_int8_t psh, u_int8_t rst, u_int8_t syn, u_int8_t fin) { return (urg << 5) | (ack << 4) | (psh << 3) | (rst << 2) | (syn << 1) | fin; } void send_tcp_data(u_int32_t saddr, u_int16_t sport, u_int32_t daddr, u_int16_t dport, u_int32_t seq, u_int32_t ack_seq, u_int8_t flags, const char * d, int dlen) { int totalLen = sizeof (tcp_header) + dlen; char * buf = new char [totalLen]; tcp_header* tcphdr = (tcp_header*)add_bytes_addr(buf, 0); char * data = ( char *)add_bytes_addr(tcphdr, sizeof (tcp_header)); memcpy(data, d, dlen); tcphdr->sport = htons(sport); tcphdr->dport = htons(dport); tcphdr->seq = htonl(seq); tcphdr->ack_seq = htonl(ack_seq); tcphdr->dataOffset_reserve_flags = htons((u_short)(( ( sizeof (tcp_header)/4) << 12) | (0<<6) | flags)); tcphdr->window = htons(8196); tcphdr->checksum = 0; tcphdr->urg_ptr = 0; tcphdr->checksum = calc_psd_checksum(saddr, daddr, IPPROTO_TCP, buf, totalLen); send_ip_data(saddr, daddr, IPPROTO_TCP, ( const char *)tcphdr, totalLen); delete[] buf; } void main() { char errbuf[PCAP_ERRBUF_SIZE] = {0 }; pcap_if_t *alldevs = NULL; if (pcap_findalldevs(&alldevs, errbuf) == -1) return ; if ((adhandle = pcap_open(alldevs->name, 0x10000, PCAP_OPENFLAG_PROMISCUOUS, 1000, NULL, errbuf)) == NULL) return ; pcap_freealldevs(alldevs); //udp //send_udp_data(inet_addr("192.168.0.100"), 45630, inet_addr("192.168.0.100"), 6000, "hello", 6); //tcp int saddr = inet_addr( "192.168.0.100" ); int sport = 52803; send_tcp_data(saddr, sport, inet_addr( "202.104.205.75" ), 80, 0, 0, tcp_flags(0, 0, 0, 0, 1, 0), "" , 0 ); Sleep(20); send_tcp_data(saddr, sport, inet_addr( "202.104.205.75" ), 80, 1, 1, tcp_flags(0, 1, 0, 0, 0, 0), "" , 0 ); return ; } |
后记
虽然数据包组装了,也发送了, 还是出问题了.因为当我发送一个数据包给服务器,服务器也给我发回来一个数据包.这时候系统收到数据包,发现这个端口占用..然后就发一个RST的TCP给服务器, 让服务器关闭这个连接 > <!!
Winpcap是没办法阻止系统收到/发送数据包的. 因而不能阻止RST.
下面是网上截下来TCP的说明(http://www.hackbase.com/tech/2011-04-26/63452.html):
大部分TCP/IP实现遵循以下原则:
1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。
2:当一个RST数据包到达一个监听端口,RST被丢弃。
3:当一个RST数据包到达一个关闭的端口,RST被丢弃。
4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。
5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。
6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN|ACK数据包。
7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。
如那篇文章所说,利用上述规则我们可以进行端口扫描(这方法总比遍历connect高效吧!),
但是伪造数据来刷票是不行了,除非自己能改操作系统...
相关文章推荐
- 伪造TCP/IP数据包, 刷票?!!
- 伪造TCP/IP数据包, 刷票?!!
- TCP/IP数据包格式详解-包括数据链路层的头部
- VC++实现ip数据包解包TCP解包HTTP
- IP数据包头部,TCP头部,伪TCP头部结构定义
- IP数据包和TCP数据包是什么关系?当发送数据时,是发送的IP包吗?那TCP包什么时候形成?
- 以太网数据包、IP包、TCP/UDP 包的结构(转)
- TCP/IP数据包结构分解
- TCP/IP数据包结构/协议格式及编程指导
- [网络基础知识]TCP/IP数据包的封装与解封
- 以太网数据包TCP、IP、ICMP、UDP、…
- 以太网,IP,TCP,UDP数据包分析(此文言简意赅,一遍看不懂的话,耐心的看个10遍就懂了,感谢作者无私奉献)
- TCP IP数据包结构详解
- linux下原始ip数据包包头(tcp头、udp头)的获取和分析
- 以太网数据包、IP包、TCP/UDP 包结构
- 以太网,IP,TCP,UDP数据包分析 参考
- VC++实现ip数据包解包TCP解包HTTP
- IP、TCP、UDP数据包长度问题
- TCP/IP学习(31)——TCP接收数据包如何选择socket
- 解读TCP/UDP数据包(一):IP数据包结构