ASA對TCP序列號擾亂測試

一.概述：

聽了yeslab的秦珂老師的ASA的課程，講到ASA對TCP的隨機(jī)初始化序列號擾亂功能，于是搭建環(huán)境進(jìn)行測試，發(fā)現(xiàn)其實(shí)不僅對TCP初始化的序列號進(jìn)行擾亂，對后續(xù)的TCP包序列號也會(huì)進(jìn)行擾亂。

目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁空間、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、嘉魚網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

----后記：聽了后面的教程，才知道之所以叫初始化序列號擾亂，是因?yàn)楹罄m(xù)的變化都基于初始的序列號之上的，比如未擾亂前第一個(gè)SYN包ISN序列號為A,第四個(gè)包的序列號為B,擾亂后的第一個(gè)SYN包ISN序列號為A',擾亂后的第四個(gè)包的序列號的B'，那么B-A=B'-A',即它們的差值總是相同的。

二.基本思路和結(jié)論：

A.搭建環(huán)境在ASA兩側(cè)進(jìn)行抓包測試

B.抓包軟件顯示的相對隨機(jī)號，實(shí)際數(shù)據(jù)才是真正的序列號

C.ASA不僅僅對TCP初始化包進(jìn)行序列號擾亂，對其他的包也進(jìn)行序列號擾亂

D.通過policy-map可以禁止讓ASA對序列號進(jìn)行擾亂

三.測試拓?fù)洌?/strong>

四.基本配置：

A.Outside路由器：

interface Ethernet0/0
ip address 202.100.1.1 255.255.255.0
no shut

line vty 0 4
password cisco
login

ip route 0.0.0.0 0.0.0.0 202.100.1.10

B.ASA842防火墻：

interface GigabitEthernet0
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
interface GigabitEthernet1
nameif DMZ
security-level 50
ip address 192.168.1.10 255.255.255.0
interface GigabitEthernet2
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0

C.Inside路由器：

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.10

五.TCP序列號擾亂測試：

A.沒有NAT情況下，Inside路由器Telnet Outside路由器：

Inside路由器TCP第一個(gè)包：

----從抓包的注釋relative sequence number可以看到seq 0其實(shí)是相對值，真正的值為D6D2CFDC。

Outside路由器TCP第一個(gè)包：

---從兩個(gè)圖對比很容易看出，兩邊的syn包的序列號是不相同的，雖然相對值都是0。

Inside路由器TCP第四個(gè)包：

outside路由器TCP第四個(gè)包：

---四個(gè)截圖序列號的值：未擾亂前第一個(gè)包D6D2CFDC，未擾亂前第四個(gè)包D6D2CFDD,增加值為1，擾亂后第一個(gè)包2F67830F，擾亂后四個(gè)包2F678310，增加值也為1，這就是抓包軟件顯示相對值為1的原因。

B.NAT情況下，Inside路由器Telnet Outside路由器：

①PAT配置：

object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (Inside,Outside) dynamic interface

②抓包測試：

----發(fā)現(xiàn)跟沒有NAT情況相同，不僅僅是TCP初始化進(jìn)行序列號擾亂，其他的包也會(huì)進(jìn)行序列號擾亂

六.TCP序列號擾亂避免：

A.配置policy-map并應(yīng)用：

access-list telnet extended permit tcp any any eq telnet

class-map noseqrandom
match access-list telnet
policy-map noseqrandom
class noseq
set connection random-sequence-numberdisable
service-policy noseqrandom interface Inside
B.Inside路由器telnet Outside路由器并在兩邊抓包測試：
----抓包可以發(fā)現(xiàn)兩邊的序列號保持一致（截圖略）

分享題目：ASA對TCP序列號擾亂測試
分享鏈接：http://aaarwkj.com/article18/iggddp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、動(dòng)態(tài)網(wǎng)站、建站公司、小程序開發(fā)、Google、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

Win10開始運(yùn)行不保存歷史記錄原因和解決方法
C#和Java的對比
es6如何判斷對象是否為空
如何解決php獲取時(shí)間不準(zhǔn)確的問題
win7禁用快捷鍵是什么
使用Fluentd+MongoDB構(gòu)建實(shí)時(shí)日志收集系統(tǒng)
JavaScript中super的功能介紹

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

ASA對TCP序列號擾亂測試