最近剛好看到一段視頻,講述關(guān)于 IP 偽造的內(nèi)容����。視頻中并沒有具體描述如何進(jìn)行的 IP 偽造����。借此機(jī)會��,小黑屋來嘮嘮偽造 IP 的幾種常見方式���。
方式1: X-Forwarded-For
這個是最為認(rèn)知的 IP 偽造方法�,早年的 CTF 題目也經(jīng)常涉及����,然而現(xiàn)在知道的人太多�, CTF 都不屑于出這類題目。 X-Forwarded-For 誕生的原因比較簡單粗暴。 對于一個非常簡單的網(wǎng)絡(luò)模型, 一個網(wǎng)絡(luò)請求通常只有兩方�����,即請求方與被請求方����,如下所示。這樣的網(wǎng)絡(luò)模型下��, Web Server 是可以拿到 User 的真實 IP 地址的��,即使拿到的可能是路由器的地址���。
但是上了規(guī)模的網(wǎng)站�,其網(wǎng)絡(luò)模型不會這么簡單�,它可能長這樣:
User --> CDN --> Web Server
在這種場景下, CDN 依舊可以拿到 User 的真實 IP 地址��,然而 Web Server 卻無法直接拿到���。 為了解決這個問題�����, 有人提出了 X-Forwarded-For���, 它作為 HTTP Header 傳遞給后端的 Web Server�,其格式如下:
X-Forwarded-For: <client>, <proxy1>, <proxy2>
假設(shè) User 的真實 IP 地址是 1.0.0.1����, CDN 節(jié)點的 IP 地址是 2.0.0.2,那么 CDN 會在 HTTP 請求頭里附加下面的 Header���,通知 Web Server 用戶的真實 IP 地址��。 Web Server 根據(jù)這個 Header 解析出 User 的 IP����。
X-Forwarded-For: 1.0.0.1, 2.0.0.2
細(xì)心的朋友可能會發(fā)現(xiàn)���, 我是不是可以直接將 1.0.0.1 改成任意 IP 地址��,然后直接將請求發(fā)送給 Web Server����?沒錯�����,這就是非常簡單的 X-Forwarded-For IP 偽造攻擊��。一般這類問題的解決思路是,校驗 4 層協(xié)議的來源 IP����,判斷是否為可信 IP��,比如是否為 CDN 的 IP��。如果可信,才會嘗試解析 X-Fowarded-For Header���。
方式2: Proxy Protocol
眼尖的朋友可能已經(jīng)注意到了,X-Forwarded-For 只支持 HTTP 協(xié)議���,那么 TCP 或者其它 4 層協(xié)議怎么辦?這時候 Proxy Protocol 應(yīng)運而生了�。它最早于 2010 年被提出,并首先運用于 HAProxy �����。 由于 Proxy Protocol 解決了實際應(yīng)用中的痛點���,越來越多的開源軟件(如 NGINX)�����, CDN 廠商(如 Cloudflare 和 Cloudfront 等)已經(jīng)支持 Proxy Protocol 了�。
目前 Proxy Protocol 共有兩個版本����,分別為 v1 和 v2。
Proxy Protocol v1 協(xié)議非常簡單易懂�。由于本文只是介紹��,不會寫過多的技術(shù)細(xì)節(jié),力求用最簡單的言語讓讀者知道它是怎么工作的��。我們假定網(wǎng)絡(luò)模型如下所示:
User --> Load Balancer --> TCP Server
V1 的原理說起來也非常簡單��, 當(dāng)用戶與 Load Balancer 的 4 層鏈接建立后(可能是 TCP ��,也可能是 UDP), Load Balancer 是知道用戶的真實 IP 的�����。 Load Balancer 在和 TCP Server 建立 4 層鏈接后���,不會直接透傳用戶的請求���,而是提前發(fā)一個 Proxy Protocol V1 的 header�。 這個 Header 具體長這樣
PROXY TCP4 1.0.0.1 2.0.0.2 1001 2002\r\n
其中:
PROXY 表示當(dāng)前是一個4層代理請求
TCP4 表示 User 使用 TCP v4 與 Load Balancer 建立的 4 層鏈路
1.0.0.1 為 User 的 IP�, 2.0.0.2 為目標(biāo) IP
1001 為 User 的端口, 2002 為目標(biāo)端口
當(dāng) V1 header 發(fā)送到 TCP Server 后, Load Balancer 才會開始透傳 TCP 請求�。而 TCP Server 需要做一些調(diào)整��,解析完 Header 后,才開始進(jìn)行業(yè)務(wù)邏輯���。 幸運的是,目前許多 Server�,包含 NGINX��,已經(jīng)支持了 V1 header 的解析,改改配置即可�����。
類似的�, Proxy Protocol 也有 IP 偽造問題。攻擊者是可以直接構(gòu)造一個 V1 header, 直接發(fā)送給 TCP Server 的����,造成 TCP 來源 IP 地址偽造問題����。
Proxy Protocl V2 版本實際上是針對 V1 版本的升級優(yōu)化����。 V1 版本是一個純文本協(xié)議,其最大的缺點是 Header 占用的字節(jié)太多了,比如上面的例子中就占用了 38 個字節(jié)�����。然而 Header 是給機(jī)器看的����,又不是給人看的�,可讀性這么高有卵用�? 因此���,V2 實際上是將 V1 升級成了一個二進(jìn)制版本�。它的構(gòu)造相對來說沒那么直觀。以 IPv4 版本為例���,其格式如下:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| |+ +| Proxy Protocol v2 Signature |+ +| |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Version|Command| AF | Proto.| Address Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| IPv4 Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| IPv4 Destination Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Port | Destination Port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
V2 Header 在 IPv4 版本中, 只固定占用了 28 字節(jié)�, 比 V1 版本少了約 10 字節(jié)(此處注意是“約”�, v1 版本是變長的)�����。
Proxy Protocol V2 本質(zhì)上只是變更了 Header 的編碼方式��,還是存在 IP 地址偽造問題。
方式3: TOA (TCP Option Address)
相比前兩種協(xié)議,TOA 的知名度并沒有那么高��。 TOA 的原理是利用 TCP 協(xié)議中的一個未使用字段���。 講述原理之前�����,先回顧一下 TCP Header 的格式:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |U|A|P|R|S|F| | | Offset| Reserved |R|C|S|S|Y|I| Window | | | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
可以看到���, TCP Header 中是有一個叫 Options 的 Segment 的����。 TOA 正是利用這個 Options ����。Load Balancer 在接收到用戶的請求后,會將用戶的 IP 信息塞到 Options 里����,其格式如下:
struct toa_data { __u8 opcode; __u8 opsize; __u16 port; __u32 ip;};
TOA 最大的優(yōu)勢在于,其并沒有變更協(xié)議�,不會有兼容性問題���。比如 TCP Server 如果不支持 TOA 協(xié)議�����,它依舊可以正常工作,只是獲取不到真實的用戶 IP 信息����。
TOA 也好��, Proxy Protocol 也罷,他們的本質(zhì)都是 Load Balancer 主動將用戶 IP 信息傳遞給 TCP Server�����。因此����, TOA 協(xié)議也是有 IP 偽造問題的。在和 TCP Server 建立連接的階段�����,我們可以將偽造的 IP 地址塞到 Options 里��。
寫在最后
以上就是小黑屋總結(jié)的 IP 偽造技術(shù)�����。真實世界上,偽造來源 IP 的技術(shù)肯定不止這些, 小黑屋只是拋磚引玉�����。
另外這類 IP 偽造問題的根因都是相似的��,即后端服務(wù)無條件地信任了別人傳遞過來的 IP 信息�����。 解決方式說起來也簡單,即判斷上一條 IP 是否是可信的�����,如果不在可信名單里���,則停止解析這些 IP 信息��。具體做法可閱讀 Gin 框架的代碼����。
該文章在 2024/5/17 15:56:49 編輯過
400 186 1886
