主流防火墙策略绕过漏洞的修复方案与加固实践

主流防火墙策略绕过漏洞的修复方案与加固实践

流量关键点分析(攻击手法)

攻击者通过精心构造的TCP序列号攻击恶意标志组合绕过防火墙DPI检测,核心手法如下:

  1. TCP连接建立(正常握手)

    • 1049 :客户端 SYN(seq=x)

      复制代码
      45 00 00 34 d5 f8 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
    • 1053 :服务端 SYN-ACK(seq=y, ack=x+1)

      复制代码
      45 00 00 34 a0 8a 00 00 32 06 08 22 ac fd 72 5a c0 a8 00 18
    • 1054 :客户端 ACK(seq=x+1, ack=y+1)

      复制代码
      45 00 00 28 d5 fa 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
  2. TLS握手拆分攻击

    • 1055 :发送 TLS ClientHello头部(4字节)

      • 标志:PUSH+ACK

      • 数据:16 03 01 02(TLS握手头,版本TLS1.0,长度512字节)

        45 00 00 2c d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a

    • 1056 :插入 恶意MD5-SIG报文

      • 大包(557字节)含TCP MD5选项

      • 标志:PUSH+ACK → 强制DPI流控重置状态

        45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a

    • 1057 :发送 ClientHello主体(130字节)

      • 标志:ACK(无PUSH)→ 伪装控制包

      • 包含SNI字段起始部分 77 77 77 2e 67 6f 6f("www.goo")

        45 00 00 aa d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
        00 01 00 01 fc 03 03 fc 9e d4 bd e7 e3 e2 90 12 79 b7 4b 68...

    • 1058 :重传 1056恶意包

      • 触发防火墙"连续大包阻断"规则

        45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a

    • 1059 :发送 ClientHello剩余部分(383字节)

      • 完成SNI字段 67 6c 65 2e 63 6f 6d("gle.com" → "www.google.com")

        45 00 01 a7 d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
        67 6c 65 2e 63 6f 6d 00 17 00 00 ff 01 00 01 00...

  3. 攻击原理

    1055: 合法TLS头部 1056: 恶意MD5-SIG 1057: 伪装ACK包 1058: 重传恶意包 1059: 剩余TLS数据 防火墙状态混乱 SNI提取失败/连接阻断

  • DPI绕过:利用ACK without PUSH(1057)伪装控制包
  • 流控触发:恶意包(1056/1058)触发防火墙阻断规则
  • SNI隐藏:拆分SNI字段(1057+1059)使DPI无法提取域名

防火墙漏洞根源

  1. TCP流控缺陷

    • 依赖PUSH标志判断数据边界 → 被 ACK without PUSH(1057)绕过
    • 未验证序列号连续性 → 允许恶意包(1056)插入合法流
  2. 重组机制缺失

    • 未缓冲分片TLS消息 → 无法重组ClientHello(1055+1057+1059)
    • 未使用TLS长度字段(02 00=512字节)验证完整性
  3. 协议处理漏洞

    • 未过滤异常TCP选项(MD5-SIG)→ 被用作攻击载体
    • 未实现应用层超时机制 → 恶意包阻塞重组缓冲区
  4. IF (TCP.FLAGS & TCP_PUSH) do...; PSH-only 漏洞

错误处理PSH-only包 协议栈丢弃 未记录 攻击者 发送PSH-only恶意包 有漏洞的防火墙 内部网络 无响应 审计遗漏

防火墙修复方案

1. TCP层强化
模块 修复措施 防御目标
流重组引擎 实现状态化TCP重组 防止序列号跳跃攻击(1056插入)
- 缓冲数据直到应用层消息完整 重组被拆分的ClientHello
- 严格验证SEQ/ACK连续性
标志处理 取消对PUSH标志的依赖 防御1057帧伪装控制包
- 基于应用层长度判断消息边界
- 验证标志组合合理性
选项过滤 默认丢弃MD5-SIG选项包 阻止1056/1058攻击载体
if (tcp.option == MD5-SIG) DROP
2. TCP标志位处理优化
关于TCP PUSH标志的澄清

在TCP协议中:

  1. PUSH标志(PSH) 用于指示接收方应立即将数据传递给应用层
  2. ACK标志 是大多数数据包的默认标志
  3. 合法标志组合
    • ACK (最常见)
    • PSH|ACK (带数据的推送)
    • RST|ACK (连接重置)
    • FIN|ACK (连接终止)
异常标志处理规则
  1. 丢弃规则:

    • 所有 PSH-only 包 (无ACK标志) → 立即丢弃
    • 所有 non-ACK 数据包 (已建立连接中) → 丢弃
  2. 验证逻辑伪代码:

cpp 复制代码
   if (tcp.flags == PSH && !(tcp.flags & ACK)) {
        log("Invalid PSH-only packet", packet);
        DROP;
   }
   
   if (connection_state == ESTABLISHED && !(tcp.flags & ACK)) {
        log("Non-ACK packet in established connection", packet);
        DROP;
   }

标志位处理增强方案

异常标志处理规则
异常标志组合 风险等级 处理措施 攻击防护目标
PSH-only 高危 立即丢弃 防止强制刷新攻击
Non-ACK 高危 丢弃并记录日志 防止状态机污染
**SYN PSH** 中危 丢弃
FIN-only 中危 丢弃 防止连接异常终止
RST-only 高危 丢弃并生成警报 防止拒绝服务攻击
ACK-only 低危 SEQ验证+流重组 防止伪装控制包(如1057)
PSH/ACK 正常 延迟处理至应用层消息完整 防TLS拆分绕过
PSH-only 攻击漏洞修复测试矩阵
测试用例 测试场景 测试包构造 预期结果 验证指标
PSH-only攻击 基本漏洞验证 flags=PSH 无负载 立即丢弃 1. 防火墙丢弃计数增加 2. 无审计日志记录 3. 目标主机无接收
合法PSH+ACK 正常业务验证 flags=PSH+ACK 含TLS ClientHello 正常处理 1. SNI成功提取 2. 审计日志完整记录 3. 应用层正常响应
混合标志攻击 高级绕过尝试 flags=PSH+URG flags=PSH+SYN 立即丢弃 1. 异常标志告警触发 2. 连接成功率=0% 3. CPU占用<5%
洪水攻击 压力测试 1000+ PSH-only包 10Gbps速率 全部丢弃 1. 吞吐量保持>9.5Gbps 2. 内存波动<2% 3. 无漏包
渗透测试 真实攻击模拟 使用Metasploit模块: auxiliary/scanner/portscan/tcp_psh 完全阻断 1. IDS告警率100% 2. 扫描成功率=0% 3. 无异常连接
处理逻辑伪代码
python 复制代码
def handle_tcp_packet(packet):
    # 丢弃所有PSH-only包
    if packet.flags == TCP.PSH:
        log("Invalid PSH-only packet", packet)
        return DROP
    
    # 在已建立连接中丢弃所有non-ACK包
    if connection.state == ESTABLISHED and not (packet.flags & TCP.ACK):
        log("Non-ACK packet in established connection", packet)
        return DROP
    
    # 特殊标志组合处理
    if packet.flags & TCP.SYN and packet.flags & TCP.PSH:
        log("Suspicious SYN|PSH packet", packet)
        return DROP
    
    # ACK-only包需要严格SEQ验证
    if packet.flags == TCP.ACK:
        if not validate_seq(packet.seq, expected_seq):
            return handle_out_of_order(packet)
    
    # PSH|ACK包进入重组缓冲区
    if packet.flags == (TCP.PSH | TCP.ACK):
        buffer_packet(packet)
        if is_application_message_complete():
            process_application_layer()
    
    return PROCESS
TCP 状态机加固实现

flags=PSH established & !ACK flags=SYN|PSH valid flags flags=ACK flags=PSH|ACK seq==expected seq!=expected msg complete msg incomplete FlagCheck PSHonly NonACK SYNPSH Normal Drop ACKonly PSHACK SeqCheck Valid Invalid Process ReassemblyBuffer Wait

操作系统对TCP标志的标准处理

PSH-only
flags=0x08 ACK-only
flags=0x10 PSH+ACK
flags=0x18 其他组合 合规 违规 接收TCP包 标志位检查 立即丢弃 正常处理 正常处理 RFC合规性检查 处理

RFC 793 明确要求

"The ACK bit MUST be set in all packets after the initial SYN packet, unless the RST bit is set."

(在初始SYN包之后的所有数据包中,除非设置了RST位,否则必须设置ACK位)

3. TLS深度检测增强
python 复制代码
# TLS重组伪代码
def handle_tls_packet(packet):
    session = get_session(packet.stream_id)
    
    # 验证SEQ连续性(防御1056插入)
    if packet.seq != session.expected_seq:
        if not is_valid_tls_header(packet.data):  # 检查0x16握手标识
            return DROP  # 丢弃插入包
    
    session.buffer += packet.data
    
    # 检查TLS头完整性(前5字节)
    if len(session.buffer) >= 5:
        tls_len = (session.buffer[3] << 8) + session.buffer[4] + 5
        
        # 缓冲完整消息(防御1055/1057/1059拆分)
        if len(session.buffer) >= tls_len:
            process_clienthello(session.buffer[:tls_len])  # 提取SNI
            session.buffer = session.buffer[tls_len:]
            
    # 设置超时(防御阻塞攻击)
    session.timer = set_timeout(500ms, flush_buffer)
4. 流控机制加固
序列号连续性引擎
python 复制代码
class SeqTracker:
    def __init__(self):
        self.expected_seq = None  # 预期序列号
        self.reassembly_buffer = []  # 重组缓冲区
        self.max_gap = 8192  # 最大允许序列号间隔

    def process_packet(self, packet):
        # 初始序列号设置
        if self.expected_seq is None:
            self.expected_seq = packet.seq + len(payload)
            return PROCESS
        
        # 计算序列号差距
        seq_gap = packet.seq - self.expected_seq
        
        # 完美连续包
        if seq_gap == 0:
            self.expected_seq += len(packet.payload)
            return PROCESS
        
        # 可接受范围内的乱序包
        if 0 < seq_gap <= self.max_gap:
            self._buffer_packet(packet)
            return BUFFERED
        
        # 恶意序列号跳跃 (如1056插入)
        if seq_gap > self.max_gap:
            log_alert(f"Sequence jump attack detected: gap={seq_gap}")
            return DROP
        
        # 重复或旧包 (如1058重传)
        if seq_gap < 0:
            return DUP
        
    def _buffer_packet(self, packet):
        # 按序列号插入缓冲区
        bisect.insort(self.reassembly_buffer, packet, key=lambda p: p.seq)
        
        # 检查连续性
        self._check_continuity()
    
    def _check_continuity(self):
        # 尝试重组连续数据
        next_seq = self.expected_seq
        for p in sorted(self.reassembly_buffer, key=lambda x: x.seq):
            if p.seq == next_seq:
                self.reassembly_buffer.remove(p)
                next_seq += len(p.payload)
            else:
                break
        
        # 更新预期序列号
        if next_seq > self.expected_seq:
            self.expected_seq = next_seq
应用层感知流控

TLS HTTP 未知 是 否 超时500ms 收到数据包 应用层协议识别 启动TLS状态跟踪 启动HTTP状态跟踪 通用流控 检测ClientHello SNI提取成功? 执行SNI策略 缓冲至完整消息 检测Host头 执行URL过滤 允许/阻断连接 终止连接

恶意重传防御系统
  1. 重传检测矩阵:

    特征 正常重传 恶意重传 处理方式
    SEQ差异 =0 =0 需进一步检查
    有效负载 相同 不同 标记恶意
    时间间隔 >RTO <最小阈值(10ms) 标记恶意
    标志位 相同 异常组合 丢弃
  2. 防御规则:

    • IF 重传包.有效负载 != 原始包.有效负载 THEN DROP
    • IF 重传间隔 < 10ms AND 重传次数 > 3 THEN BLOCK_SESSION
    • IF 重传包.flags 包含非常规标志(如URG) THEN DROP

以下为本文捕获的漏洞利用的IP报文数据:
WireShark 抓包数据:
bash 复制代码
1049:
0000   45 00 00 34 d5 f8 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1053:
0000   45 00 00 34 a0 8a 00 00 32 06 08 22 ac fd 72 5a
0010   c0 a8 00 18

1054:
0000   45 00 00 28 d5 fa 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1055:
0000   45 00 00 2c d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1056:
0000   45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1057:
0000   45 00 00 aa d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1058:
0000   45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1059:
0000   45 00 01 a7 d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1067:
0000   01 bb 05 ea b3 21 4d 70 f2 2a 75 ec 80 12 ff ff
0010   1e b8 00 00 02 04 05 96 01 01 04 02 01 03 03 08

1068:
0000   01 bb 05 ea b3 21 4d 70 f2 2a 75 ec 80 12 ff ff
0010   1e b8 00 00 02 04 05 96 01 01 04 02 01 03 03 08

1069:
0000   45 00 00 34 d5 fe 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a

1070:
0000   45 00 00 28 a1 39 00 00 32 06 07 7f ac fd 72 5a
0010   c0 a8 00 18

1071:
0000   45 00 00 28 a1 3a 00 00 32 06 07 7e ac fd 72 5a
0010   c0 a8 00 18

1072:
0000   45 00 00 28 a1 3b 00 00 32 06 07 7d ac fd 72 5a
0010   c0 a8 00 18

1073:
0000   01 bb 05 ea b3 21 4d 71 f2 2a 77 f1 50 10 01 09
0010   dc 87 00 00

1074:
0000   45 00 05 be a1 3d 00 00 32 06 01 e5 ac fd 72 5a
0010   c0 a8 00 18
相关推荐
zskj_zhyl6 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
小红卒7 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
古希腊数通小白(ip在学)7 小时前
stp拓扑变化分类
运维·服务器·网络·智能路由器
qq_3129201110 小时前
开源入侵防御系统——CrowdSec
安全·开源
xptwop11 小时前
OPC通信
信息与通信
MARS_AI_12 小时前
大语言模型驱动智能语音应答:技术演进与架构革新
人工智能·语言模型·自然语言处理·架构·信息与通信
饶了我吧,放了我吧12 小时前
计算机网络实验——无线局域网安全实验
计算机网络·安全·web安全
kp0000013 小时前
GitHub信息收集
web安全·网络安全·信息收集
TracyCoder12313 小时前
Apache Shiro 框架详解
安全·apache·shiro·认证·登录
字节跳动安全中心14 小时前
当AI智能体学会“欺骗”,我们如何自保?来自火山的MCP安全答卷
安全·llm·mcp