如何阻止電信的TCP Reset Attack

kael · 发表于 2008-4-28 01:24:50

這大半年?恚琫Mule老是隔幾分鐘和服務器失去連接，重裝eMule，系統，更換路由，網卡均不見效，通過初步學習網絡常識，抓包發現，ISP每隔幾分鐘就給我發送一次RST包裹，我想請教這里的高手，?奈易ト〉臄祿锓治觯懿荒苡梅阑饓ψ柚诡?似的攻擊？具體又該如何？

謝謝！！

icexplorer · 发表于 2008-4-28 07:22:23

我们这里的电信也有几种流氓行为但是太菜不知道怎样取证，关注中

oldjiang · 发表于 2008-4-28 08:35:08

数据包85、93，TCP标志为AR，TTL为114，正常的TTL是45，据此估计有劫持。参考ROBUR兄弟的帖子http://www.csna.cn/forum.php?mod=viewthread&tid=6728

kael · 发表于 2008-4-28 18:58:44

oldjiang,
謝謝回?停。r
那么如果使用支持TCP標識和Raw Rule的防火墻（比如Look'n'Stop),能否阻擋此�?攻擊？ROBUR兄弟的驅動和我防火墻，HIPS沖突，無法使用（一加載eMule就系統就藍屏或自動重啟）能不能詳細說說Hijack的TCP Reset包裹和正常的RST包裹的差別？

謝謝！！！

[ 本帖最后由 kael 于 2008-4-28 20:01 编辑 ]

robur · 发表于 2008-4-28 21:49:03

你好，具体的没有什么区别……
主要是从历史经验数据来判断，显然我们的程序都没有分析这个的能力……

不过你把RST包都丢弃也未尝不可，就那么回事吧。如果规则允许，你可以尝试以端口作为第二个条件，比面不必要的麻烦。
我的程序只丢所有D-IP：本机，S-Port：80，TCP，RST：1的数据报，所以对于EMule也无效~

kael · 发表于 2008-4-30 06:11:33

謝謝Robur!!
我會試著用Raw Plugin編輯加Flag和偏移量的規則,不過如果RST包裹是雙向的話,ISP Man-in-the-middle攻擊豈不是沒法阻止?因為我們無法控制往服務器方面的包裹,而RST又是TCP協議必不可少的---這幾乎成為TCP本身的漏洞了.....因為我們無論如何都要經過ISP的設備.

謝謝!!

robur · 发表于 2008-4-30 09:29:57

原帖由 kael 于 30/4/2008 06:11 发表
謝謝Robur!!
我會試著用Raw Plugin編輯加Flag和偏移量的規則,不過如果RST包裹是雙向的話,ISP Man-in-the-middle攻擊豈不是沒法阻止?因為我們無法控制往服務器方面的包裹,而RST又是TCP協議必不可少的---這幾乎成為TC ...

双向的就没救啦，中国互联网是那些XX的，不是我们的。

kael · 发表于 2008-4-30 22:38:28

Robur,
謝謝回?停∪绻覀僣lient端無法阻止的話，我想投訴信產部，有沒有辦法取證？比如說?腞ST包中知道是誰（IP）發出的，或者之�?的，能不能告訴我那些會是有效證據？

謝謝！！

robur · 发表于 2008-4-30 23:42:54

原帖由 kael 于 30/4/2008 22:38 发表
Robur,
謝謝回?停∪绻覀僣lient端無法阻止的話，我想投訴信產部，有沒有辦法取證？比如說?腞ST包中知道是誰（IP）發出的，或者之�?的，能不能告訴我那些會是有效證據？

謝謝！！

死心吧，他们不会管的，我向你保证。电信属于大半个政府机构。
取证在客户端是难度非常大的，你根本无从追溯到上一个路由。

kael · 发表于 2008-5-3 11:08:01

謝謝Robur,不過我還是要試試投訴,要不這不是得忍受電信的蹂躪?!交了錢買氣受.....

lvfengg · 发表于 2008-5-4 10:57:33

能不能尝试一下，阻止特定ttl的报文，因为这种返回rst的欺骗报文，肯定是在离你特别近的位置，报文返回到你的路径一般不会有什么变化，直接拦截这个特定ttl的报文，可行否？

hudeg632 · 发表于 2008-5-4 17:55:11

原帖由 lvfengg 于 2008-5-4 10:57 发表
能不能尝试一下，阻止特定ttl的报文，因为这种返回rst的欺骗报文，肯定是在离你特别近的位置，报文返回到你的路径一般不会有什么变化，直接拦截这个特定ttl的报文，可行否？

这是能够行得通的，用LNS的防火墙能够过滤数据包中的任何位。