最近剛好看到一段視頻,講述關(guān)于 IP 偽造的內(nèi)容����。視頻中并沒(méi)有具體描述如何進(jìn)行的 IP 偽造��。借此機(jī)會(huì)�����,小黑屋來(lái)嘮嘮偽造 IP 的幾種常見(jiàn)方式�。
方式1: X-Forwarded-For
這個(gè)是最為認(rèn)知的 IP 偽造方法��,早年的 CTF 題目也經(jīng)常涉及�,然而現(xiàn)在知道的人太多����, CTF 都不屑于出這類(lèi)題目。 X-Forwarded-For 誕生的原因比較簡(jiǎn)單粗暴��。 對(duì)于一個(gè)非常簡(jiǎn)單的網(wǎng)絡(luò)模型�����, 一個(gè)網(wǎng)絡(luò)請(qǐng)求通常只有兩方��,即請(qǐng)求方與被請(qǐng)求方,如下所示����。這樣的網(wǎng)絡(luò)模型下, Web Server 是可以拿到 User 的真實(shí) IP 地址的���,即使拿到的可能是路由器的地址。
但是上了規(guī)模的網(wǎng)站����,其網(wǎng)絡(luò)模型不會(huì)這么簡(jiǎn)單����,它可能長(zhǎng)這樣:
User --> CDN --> Web Server
在這種場(chǎng)景下��, CDN 依舊可以拿到 User 的真實(shí) IP 地址���,然而 Web Server 卻無(wú)法直接拿到。 為了解決這個(gè)問(wèn)題�, 有人提出了 X-Forwarded-For, 它作為 HTTP Header 傳遞給后端的 Web Server����,其格式如下:
X-Forwarded-For: <client>, <proxy1>, <proxy2>
假設(shè) User 的真實(shí) IP 地址是 1.0.0.1�����, CDN 節(jié)點(diǎn)的 IP 地址是 2.0.0.2,那么 CDN 會(huì)在 HTTP 請(qǐng)求頭里附加下面的 Header�����,通知 Web Server 用戶(hù)的真實(shí) IP 地址�。 Web Server 根據(jù)這個(gè) Header 解析出 User 的 IP�。
X-Forwarded-For: 1.0.0.1, 2.0.0.2
細(xì)心的朋友可能會(huì)發(fā)現(xiàn)���, 我是不是可以直接將 1.0.0.1 改成任意 IP 地址,然后直接將請(qǐng)求發(fā)送給 Web Server����?沒(méi)錯(cuò),這就是非常簡(jiǎn)單的 X-Forwarded-For IP 偽造攻擊�。一般這類(lèi)問(wèn)題的解決思路是��,校驗(yàn) 4 層協(xié)議的來(lái)源 IP���,判斷是否為可信 IP,比如是否為 CDN 的 IP�。如果可信���,才會(huì)嘗試解析 X-Fowarded-For Header�。
方式2: Proxy Protocol
眼尖的朋友可能已經(jīng)注意到了���,X-Forwarded-For 只支持 HTTP 協(xié)議�,那么 TCP 或者其它 4 層協(xié)議怎么辦�����?這時(shí)候 Proxy Protocol 應(yīng)運(yùn)而生了���。它最早于 2010 年被提出,并首先運(yùn)用于 HAProxy �����。 由于 Proxy Protocol 解決了實(shí)際應(yīng)用中的痛點(diǎn)��,越來(lái)越多的開(kāi)源軟件(如 NGINX), CDN 廠商(如 Cloudflare 和 Cloudfront 等)已經(jīng)支持 Proxy Protocol 了��。
目前 Proxy Protocol 共有兩個(gè)版本����,分別為 v1 和 v2����。
Proxy Protocol v1 協(xié)議非常簡(jiǎn)單易懂��。由于本文只是介紹��,不會(huì)寫(xiě)過(guò)多的技術(shù)細(xì)節(jié)�����,力求用最簡(jiǎn)單的言語(yǔ)讓讀者知道它是怎么工作的��。我們假定網(wǎng)絡(luò)模型如下所示:
User --> Load Balancer --> TCP Server
V1 的原理說(shuō)起來(lái)也非常簡(jiǎn)單, 當(dāng)用戶(hù)與 Load Balancer 的 4 層鏈接建立后(可能是 TCP �,也可能是 UDP)�����, Load Balancer 是知道用戶(hù)的真實(shí) IP 的��。 Load Balancer 在和 TCP Server 建立 4 層鏈接后�����,不會(huì)直接透?jìng)饔脩?hù)的請(qǐng)求���,而是提前發(fā)一個(gè) Proxy Protocol V1 的 header。 這個(gè) Header 具體長(zhǎng)這樣
PROXY TCP4 1.0.0.1 2.0.0.2 1001 2002\r\n
其中:
PROXY 表示當(dāng)前是一個(gè)4層代理請(qǐng)求
TCP4 表示 User 使用 TCP v4 與 Load Balancer 建立的 4 層鏈路
1.0.0.1 為 User 的 IP��, 2.0.0.2 為目標(biāo) IP
1001 為 User 的端口, 2002 為目標(biāo)端口
當(dāng) V1 header 發(fā)送到 TCP Server 后����, Load Balancer 才會(huì)開(kāi)始透?jìng)?TCP 請(qǐng)求�����。而 TCP Server 需要做一些調(diào)整����,解析完 Header 后,才開(kāi)始進(jìn)行業(yè)務(wù)邏輯���。 幸運(yùn)的是,目前許多 Server���,包含 NGINX�,已經(jīng)支持了 V1 header 的解析�,改改配置即可�����。
類(lèi)似的��, Proxy Protocol 也有 IP 偽造問(wèn)題��。攻擊者是可以直接構(gòu)造一個(gè) V1 header, 直接發(fā)送給 TCP Server 的���,造成 TCP 來(lái)源 IP 地址偽造問(wèn)題���。
Proxy Protocl V2 版本實(shí)際上是針對(duì) V1 版本的升級(jí)優(yōu)化����。 V1 版本是一個(gè)純文本協(xié)議,其最大的缺點(diǎn)是 Header 占用的字節(jié)太多了��,比如上面的例子中就占用了 38 個(gè)字節(jié)����。然而 Header 是給機(jī)器看的,又不是給人看的�,可讀性這么高有卵用���? 因此����,V2 實(shí)際上是將 V1 升級(jí)成了一個(gè)二進(jìn)制版本�����。它的構(gòu)造相對(duì)來(lái)說(shuō)沒(méi)那么直觀�����。以 IPv4 版本為例��,其格式如下:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| |+ +| Proxy Protocol v2 Signature |+ +| |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Version|Command| AF | Proto.| Address Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| IPv4 Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| IPv4 Destination Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Port | Destination Port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
V2 Header 在 IPv4 版本中����, 只固定占用了 28 字節(jié)�����, 比 V1 版本少了約 10 字節(jié)(此處注意是“約”���, v1 版本是變長(zhǎng)的)。
Proxy Protocol V2 本質(zhì)上只是變更了 Header 的編碼方式��,還是存在 IP 地址偽造問(wèn)題�����。
方式3: TOA (TCP Option Address)
相比前兩種協(xié)議,TOA 的知名度并沒(méi)有那么高����。 TOA 的原理是利用 TCP 協(xié)議中的一個(gè)未使用字段。 講述原理之前�,先回顧一下 TCP Header 的格式:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |U|A|P|R|S|F| | | Offset| Reserved |R|C|S|S|Y|I| Window | | | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
可以看到�, TCP Header 中是有一個(gè)叫 Options 的 Segment 的。 TOA 正是利用這個(gè) Options ��。Load Balancer 在接收到用戶(hù)的請(qǐng)求后�,會(huì)將用戶(hù)的 IP 信息塞到 Options 里����,其格式如下:
struct toa_data { __u8 opcode; __u8 opsize; __u16 port; __u32 ip;};
TOA 最大的優(yōu)勢(shì)在于���,其并沒(méi)有變更協(xié)議����,不會(huì)有兼容性問(wèn)題�����。比如 TCP Server 如果不支持 TOA 協(xié)議�����,它依舊可以正常工作����,只是獲取不到真實(shí)的用戶(hù) IP 信息。
TOA 也好�����, Proxy Protocol 也罷�,他們的本質(zhì)都是 Load Balancer 主動(dòng)將用戶(hù) IP 信息傳遞給 TCP Server。因此���, TOA 協(xié)議也是有 IP 偽造問(wèn)題的。在和 TCP Server 建立連接的階段��,我們可以將偽造的 IP 地址塞到 Options 里����。
寫(xiě)在最后
以上就是小黑屋總結(jié)的 IP 偽造技術(shù)�。真實(shí)世界上��,偽造來(lái)源 IP 的技術(shù)肯定不止這些��, 小黑屋只是拋磚引玉。
另外這類(lèi) IP 偽造問(wèn)題的根因都是相似的��,即后端服務(wù)無(wú)條件地信任了別人傳遞過(guò)來(lái)的 IP 信息����。 解決方式說(shuō)起來(lái)也簡(jiǎn)單��,即判斷上一條 IP 是否是可信的����,如果不在可信名單里,則停止解析這些 IP 信息�����。具體做法可閱讀 Gin 框架的代碼����。
該文章在 2024/5/17 15:56:49 編輯過(guò)
400 186 1886
