深入剖析pcap中的网络异常:TTL过期攻击、ARP中毒、TCP重传与重叠碎片等

本文主要是介绍深入剖析pcap中的网络异常:TTL过期攻击、ARP中毒、TCP重传与重叠碎片等,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

网络流量数据包捕获是网络安全领域的重要部分,而pcap文件则是这一过程的常见载体。为了深入解析pcap文件中潜在的可疑网络流量,我们需要运用强大的网络安全威胁评估与审计工具。这些工具能够帮助我们捕捉、记录、检测和诊断网络中的数据传输问题,及时发现异常活动,保护我们的网络安全。

在处理pcap文件时,我们主要关注的是那些可能表明潜在威胁的特征。例如,TTL(Time To Live)过期攻击是一种常见的网络攻击方式,除此之外,ARP(Address Resolution Protocol)中毒也是一种常见的网络威胁,TCP重传是一种利用TCP协议缺陷进行的攻击,重叠碎片攻击是一种利用IP分片漏洞进行的攻击,除了以上提到的几种攻击方式外,我们还需要关注多个TTL值的问题等等。

TTL过期攻击

  • TTL(Time to Live)是IP包中的一个字段,它表示数据包在网络中能够存活的最长时间,一般以秒为单位。当一个数据包经过一个路由器时,该路由器会将数据包的TTL字段减1,当TTL减为0时,路由器会丢弃该数据包。
  • TTL过期攻击是指攻击者发送大量的IP数据包,并设置TTL为较小的值,以达到消耗目标主机资源的目的。这类攻击主要是利用目标主机处理TTL减少的数据包需要耗费更多的处理资源,从而导致目标主机的性能下降甚至崩溃。
  • 应对策略:网络管理员可以通过设置防火墙等安全设备,限制传入的TTL值,并进行流量监控和流量分析,及时发现异常流量并采取相应的措施。

ARP中毒

  • ARP协议(Address Resolution Protocol)是将IP地址解析成MAC地址的一种协议。ARP中毒攻击是指攻击者伪造ARP响应包,欺骗目标主机与攻击者主机之间的通信流量。攻击者通常会向目标主机发送虚假的ARP响应包,将目标主机的IP地址与攻击者的MAC地址绑定,从而导致目标主机的通信流量被重定向到攻击者主机。
  • 应对策略:网络管理员可以使用安全工具对局域网中的ARP响应进行检测和监控,定期清除异常的ARP缓存,限制ARP协议的使用,以及使用静态ARP表进行MAC地址与IP地址的绑定。

TCP重传与重叠碎片

  • TCP重传是指在数据包传输过程中,某个数据包丢失或未及时到达目标主机,发送方会重新发送该数据包。TCP重叠碎片是指MTU(Maximum Transmission Unit)大小限制导致的数据包分片,在发送方和接收方之间重新组装的过程中,发生了重叠。
  • TCP重传和重叠碎片可能会导致网络延迟增加、传输速率降低,甚至数据丢失。
  • 应对策略:网络管理员可以通过调整TCP的超时重传时间、优化网络拓扑结构和路径,或通过升级硬件设备来减少重传和重叠碎片的发生。

多个TTL值的识别与应对

  • 在进行数据包分析时,可能会遇到多个不同的TTL值,这可能是由于同一个数据包经过了不同的网络节点。识别多个TTL值可以帮助定位网络中的故障点或恶意行为。
  • 应对策略:网络管理员可以使用网络监控工具进行数据包的抓取和分析,识别不同TTL值的源头和节点,进而定位异常的网络流量和行为,采取相应的防御措施。

深入剖析pcap中的网络异常:TTL过期攻击、ARP中毒、TCP重传与重叠碎片等(C/C++代码实现)

void my_packet_handler(u_char *args,const struct pcap_pkthdr *header,const u_char *packet);
int help();
void activate_verbose();
void activate_debug();
void activate_linux_cooked();
void analysis(char* file_in, char* file_out);
void print_flag(int flag);
void print_flag_json(FILE *fp, int flag);
void exclude(char* excl);
void save_json(char* filename);/* Ethernet header */
struct sniff_ethernet {u_char  ether_dhost[D_HOST_MAC_ADDR];    /* destination host address */u_char  ether_shost;    /* source host address */u_short ether_type;                     /* IP? ARP? RARP? etc */
};/* IP header */
const struct sniff_ip *ip_layer;
struct sniff_ip {u_char  ip_vhl;                 /* version << 4 | header length >> 2 */u_char  ip_tos;                 /* type of service */u_short ip_len;                 /* total length */u_short ip_id;                  /* identification */u_short ip_off;                 /* fragment offset field */u_char  ip_ttl;                 /* time to live */u_char  ip_p;                   /* protocol */u_short ip_sum;                 /* checksum */struct  in_addr ip_src,ip_dst;  /* source and dest address */
};typedef uint32_t tcp_seq;struct sniff_tcp {u_short th_sport;	/* source port */u_short th_dport;	/* destination port */tcp_seq th_seq;   /* sequence number */tcp_seq th_ack;		/* acknowledgement number */u_char th_offx2;	/* data offset, rsvd */u_char th_flags;  /* flags */u_short th_win;		/* window */u_short th_sum;		/* checksum */u_short th_urp;		/* urgent pointer */
};struct Session {struct MAC_address *last_mac_src, *last_mac_dst;char ip_src[20], ip_dst[20];int port_src, port_dst;long int seq_keepalive;char hash_src[SHA_DIGEST_LENGTH*2+1];char hash_dst[SHA_DIGEST_LENGTH*2+1];struct TCP_Packet *last_p;struct TCP_Packet *first_p;struct Session *previous_s;struct TTL *last_ttl;
};struct TCP_Packet {char hash_src[SHA_DIGEST_LENGTH*2+1];char hash_dst[SHA_DIGEST_LENGTH*2+1];long int ack, seq;int number, flags, len, ttl;bool keepalive, retransmitted;struct TCP_Packet *next_p;
};struct MAC_address {char address[20];struct MAC_address *previous_mac;
};struct TTL {int val;struct TTL *previous_ttl;
};...int nbr_digits(int a) {/** 返回一个相对较小的正整数中的位数*/if (a<0) return -1;if (a<10) return 1;if (a<100) return 2;if (a<1000) return 3;if (a<10000) return 4;if (a<100000) return 5;if (a<1000000) return 6;if (a<10000000) return 7;if (a<100000000) return 8;if (a<1000000000) return 9;if (a<10000000000) return 10;return -1;
}void sha(char ip[20], int port, char* hash_string) {/** Returns sha1(<ip>, <port>) in <hash_string>*/unsigned char hash[SHA_DIGEST_LENGTH];char port_str[nbr_digits(port)];sprintf(port_str, "%d", port);SHA_CTX ctx;SHA1_Init(&ctx);SHA1_Update(&ctx, ip, strlen(ip));SHA1_Update(&ctx, port_str, strlen(port_str));SHA1_Final(hash, &ctx);for (int i = 0; i < SHA_DIGEST_LENGTH; i++) {sprintf(&hash_string[i*2], "%02x", (unsigned int)hash[i]);}
}void add_packet_to_session(struct Session *s, struct TCP_Packet *new_packet, char mac_src[20], char mac_dst[20]) {
...if (s->seq_keepalive==0) {struct TCP_Packet* previous = s->last_p;while (previous != NULL && strcmp(new_packet->hash_src, previous->hash_src) != 0) {previous = previous->next_p;}if (previous != NULL) {if (previous->seq-1 == new_packet->seq && new_packet->len==0 && new_packet->flags == TH_ACK) {new_packet->keepalive = true;s->seq_keepalive = new_packet->seq;}}} else {if (new_packet->seq == s->seq_keepalive && new_packet->flags == TH_ACK && new_packet->len == 0) {new_packet->keepalive = true; // KeepAlive} else if (new_packet->ack == s->seq_keepalive+1 && new_packet->flags == TH_ACK) {new_packet->keepalive = true; // KeepAlive ACK}}
...while (m_dst!=NULL) {if (strcmp(m_dst->address, mac_dst)==0) {found_mac_dst=true;break;}m_dst=m_dst->previous_mac;}while (m_src!=NULL) {if (strcmp(m_src->address, mac_src)==0) {found_mac_src=true;break;}m_src=m_src->previous_mac;}// 检查不同的TTL值
...// 如果数据包的MAC地址不在会话的MAC地址中,请将其添加到MAC地址列表中
...// 如果找不到TTL,请将if添加到TTL列表中if (!found_ttl) {new_ttl = (struct TTL*)malloc(sizeof(struct TTL)); // allocate TTL struct in heapnew_ttl->previous_ttl = s->last_ttl;new_ttl->val = new_packet->ttl;s->last_ttl = new_ttl;}
}
void exclude(char* excl) 
{
...while (pt != NULL) {if (strcmp(pt, "ret")==0) {EXCLUDE_RET=true;printf(GRN "[INFO]" RESET " Excluding RET ambiguities\n");} else if (strcmp(pt, "ttl")==0) {EXCLUDE_TTL=true;printf(GRN "[INFO]" RESET " Excluding TTL ambiguities\n");} else if (strcmp(pt, "mac")==0) {EXCLUDE_MAC=true;printf(GRN "[INFO]" RESET " Excluding MAC ambiguities\n");} else {printf(RED "[ERROR]" RESET " Unexpected 'exclude' value: %s\n", pt);help();exit(1);}pt = strtok (NULL, ",");}
}int main(int argc, char **argv) 
{
...int long_index = 0;while ((opt = getopt_long(argc, argv,"hvdlxs", long_options, &long_index)) != -1) {switch (opt) {case 'h': help();break;case 'v': activate_verbose();break;case 'd': activate_debug();break;case 'l': activate_linux_cooked();break;case 'x':if (optarg==NULL) {exclude(argv[optind++]);} else {exclude(optarg);}break;case 's':if (optarg==NULL) {printf("OPT: %d %s\n", optind, argv[optind]);if (strlen(argv[optind])>45) {printf(YLW "[ERROR]" RESET "Please choose a shorter filename where to save the results..\n");exit(1);}strncpy(file_out, argv[optind], strlen(argv[optind]));optind++;} else {printf("OPT: %d %s %ld\n", optind, optarg, strlen(optarg));if (strlen(optarg)>45) {printf(YLW "[ERROR]" RESET "Please choose a shorter filename where to save the results..\n");exit(1);}strncpy(file_out, optarg, strlen(optarg));}save_json(file_out);break;default: return help();}}
...// 检查参数中的pcap文件if (arg_nbr==-1) {printf(RED "[Error]" RESET " Missing capture file\n!");return help();}printf(GRN "[INFO]" RESET " Parsing pcap file...\n");pcap_t *handle = pcap_open_offline(argv[arg_nbr], errbuf); if(handle == NULL){printf(RED "[ERROR]" RESET " %s\n", errbuf);help();exit(1);}pcap_loop(handle, 0, my_packet_handler, NULL); analysis(argv[arg_nbr], file_out);return 0;
}

If you need the complete source code, please add the WeChat number (c17865354792)

编译运行:

ARP中毒在于欺骗主机,让其相信我们是默认网关。受害者定期向默认网关询问其MAC地址(ARP协议)。但攻击者可以向受害者发送数据包,说明默认网关位于另一个MAC地址(例如,攻击的MAC地址)。攻击者只需要“定期”发送这些数据包,这样受害者就可以“丢弃”来自默认网关的真实消息。
g-blog.csdnimg.cn/direct/0161d8935b824e379fdeb5233b87f53b.png)

TCP重传,在TCP连接中发送的每个数据字节都有一个相关的序列号。这在TCP标头的序列号字段中指示。

当接收套接字检测到传入的数据段时,它会使用TCP标头中的确认号来指示接收。发送数据包后,发送方将启动可变长度的重传定时器。如果在定时器到期之前没有收到确认,则发送方将认为该段已丢失,并将重新发送。

当另一个数据包拥有与当前数据包相同的确认和序列号时,我们可以看到TCP重传。

TTL过期攻击: IP数据包的生存时间(TTL)字段对应于该数据包在被路由器丢弃之前“允许”在网络中传播的时间。它是一个8位值,通常在每跳一次时减少一个。

JSON format:

总结

网络异常是指网络通信过程中出现的不正常的情况,其中包括TTL过期攻击、ARP中毒、TCP重传与重叠碎片、多个TTL值的识别与应对等问题。

综上所述,深入剖析pcap中的网络异常需要结合网络原理、协议知识和数据包解析技术,以及对常见的网络故障排除方法的理解。这样才能有效地分析并解决网络异常问题。

Welcome to follow WeChat official account【程序猿编码

这篇关于深入剖析pcap中的网络异常:TTL过期攻击、ARP中毒、TCP重传与重叠碎片等的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/579412

相关文章

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

poj 3181 网络流,建图。

题意: 农夫约翰为他的牛准备了F种食物和D种饮料。 每头牛都有各自喜欢的食物和饮料,而每种食物和饮料都只能分配给一头牛。 问最多能有多少头牛可以同时得到喜欢的食物和饮料。 解析: 由于要同时得到喜欢的食物和饮料,所以网络流建图的时候要把牛拆点了。 如下建图: s -> 食物 -> 牛1 -> 牛2 -> 饮料 -> t 所以分配一下点: s  =  0, 牛1= 1~

【C++高阶】C++类型转换全攻略:深入理解并高效应用

📝个人主页🌹:Eternity._ ⏩收录专栏⏪:C++ “ 登神长阶 ” 🤡往期回顾🤡:C++ 智能指针 🌹🌹期待您的关注 🌹🌹 ❀C++的类型转换 📒1. C语言中的类型转换📚2. C++强制类型转换⛰️static_cast🌞reinterpret_cast⭐const_cast🍁dynamic_cast 📜3. C++强制类型转换的原因📝

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了

poj 2112 网络流+二分

题意: k台挤奶机,c头牛,每台挤奶机可以挤m头牛。 现在给出每只牛到挤奶机的距离矩阵,求最小化牛的最大路程。 解析: 最大值最小化,最小值最大化,用二分来做。 先求出两点之间的最短距离。 然后二分匹配牛到挤奶机的最大路程,匹配中的判断是在这个最大路程下,是否牛的数量达到c只。 如何求牛的数量呢,用网络流来做。 从源点到牛引一条容量为1的边,然后挤奶机到汇点引一条容量为m的边

深入手撕链表

链表 分类概念单链表增尾插头插插入 删尾删头删删除 查完整实现带头不带头 双向链表初始化增尾插头插插入 删查完整代码 数组 分类 #mermaid-svg-qKD178fTiiaYeKjl {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-