当前位置：首页 > news >正文

主流防火墙策略绕过漏洞的修复方案与加固实践

news 2025/6/20 16:12:06

主流防火墙策略绕过漏洞的修复方案与加固实践

流量关键点分析（攻击手法）

攻击者通过精心构造的TCP序列号攻击和恶意标志组合绕过防火墙DPI检测，核心手法如下：

TCP连接建立（正常握手）

1049：客户端 SYN（seq=x）

45 00 00 34 d5 f8 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a

1053：服务端 SYN-ACK（seq=y, ack=x+1）

45 00 00 34 a0 8a 00 00 32 06 08 22 ac fd 72 5a c0 a8 00 18

1054：客户端 ACK（seq=x+1, ack=y+1）

45 00 00 28 d5 fa 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a

TLS握手拆分攻击
- 1055：发送 TLS ClientHello头部（4字节）
  - 标志：PUSH+ACK
  - 数据：16 03 01 02（TLS握手头，版本TLS1.0，长度512字节）
```
45 00 00 2c d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
```
- 1056：插入 恶意MD5-SIG报文
  - 大包（557字节）含TCP MD5选项
  - 标志：PUSH+ACK → 强制DPI流控重置状态
```
45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
```
- 1057：发送 ClientHello主体（130字节）
  - 标志：ACK（无PUSH）→ 伪装控制包
  - 包含SNI字段起始部分 77 77 77 2e 67 6f 6f（“www.goo”）
```
45 00 00 aa d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
00 01 00 01 fc 03 03 fc 9e d4 bd e7 e3 e2 90 12 79 b7 4b 68...
```
- 1058：重传 1056恶意包
  - 触发防火墙"连续大包阻断"规则
```
45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
```
- 1059：发送 ClientHello剩余部分（383字节）
  - 完成SNI字段 67 6c 65 2e 63 6f 6d（“gle.com” → “www.google.com”）
```
45 00 01 a7 d5 fb 40 00 40 06 00 00 c0 a8 00 18 ac fd 72 5a
67 6c 65 2e 63 6f 6d 00 17 00 00 ff 01 00 01 00...
```
攻击原理

DPI绕过：利用ACK without PUSH（1057）伪装控制包
流控触发：恶意包（1056/1058）触发防火墙阻断规则
SNI隐藏：拆分SNI字段（1057+1059）使DPI无法提取域名

防火墙漏洞根源

TCP流控缺陷
- 依赖PUSH标志判断数据边界 → 被 ACK without PUSH（1057）绕过
- 未验证序列号连续性 → 允许恶意包（1056）插入合法流
重组机制缺失
- 未缓冲分片TLS消息 → 无法重组ClientHello（1055+1057+1059）
- 未使用TLS长度字段（02 00=512字节）验证完整性
协议处理漏洞
- 未过滤异常TCP选项（MD5-SIG）→ 被用作攻击载体
- 未实现应用层超时机制 → 恶意包阻塞重组缓冲区
IF (TCP.FLAGS & TCP_PUSH) do…; PSH-only 漏洞

防火墙修复方案

1. TCP层强化

模块	修复措施	防御目标
流重组引擎	实现状态化TCP重组	防止序列号跳跃攻击（1056插入）
	- 缓冲数据直到应用层消息完整	重组被拆分的ClientHello
	- 严格验证SEQ/ACK连续性
标志处理	取消对PUSH标志的依赖	防御1057帧伪装控制包
	- 基于应用层长度判断消息边界
	- 验证标志组合合理性
选项过滤	默认丢弃MD5-SIG选项包	阻止1056/1058攻击载体
	`if (tcp.option == MD5-SIG) DROP`

2. TCP标志位处理优化

关于TCP PUSH标志的澄清

在TCP协议中：

PUSH标志(PSH) 用于指示接收方应立即将数据传递给应用层
ACK标志 是大多数数据包的默认标志
合法标志组合：
- ACK (最常见)
- PSH|ACK (带数据的推送)
- RST|ACK (连接重置)
- FIN|ACK (连接终止)

异常标志处理规则

丢弃规则:
- 所有 PSH-only 包 (无ACK标志) → 立即丢弃
- 所有 non-ACK 数据包 (已建立连接中) → 丢弃
验证逻辑伪代码:

   if (tcp.flags == PSH && !(tcp.flags & ACK)) {log("Invalid PSH-only packet", packet);DROP;}if (connection_state == ESTABLISHED && !(tcp.flags & ACK)) {log("Non-ACK packet in established connection", packet);DROP;}

标志位处理增强方案

异常标志处理规则

异常标志组合	风险等级	处理措施	攻击防护目标
PSH-only	高危	立即丢弃	防止强制刷新攻击
Non-ACK	高危	丢弃并记录日志	防止状态机污染
**SYN	PSH**	中危	丢弃
FIN-only	中危	丢弃	防止连接异常终止
RST-only	高危	丢弃并生成警报	防止拒绝服务攻击
ACK-only	低危	SEQ验证+流重组	防止伪装控制包(如1057)
PSH/ACK	正常	延迟处理至应用层消息完整	防TLS拆分绕过

PSH-only 攻击漏洞修复测试矩阵

测试用例	测试场景	测试包构造	预期结果	验证指标
PSH-only攻击	基本漏洞验证	`flags=PSH` 无负载	立即丢弃	1. 防火墙丢弃计数增加 2. 无审计日志记录 3. 目标主机无接收
合法PSH+ACK	正常业务验证	`flags=PSH+ACK` 含TLS ClientHello	正常处理	1. SNI成功提取 2. 审计日志完整记录 3. 应用层正常响应
混合标志攻击	高级绕过尝试	`flags=PSH+URG` `flags=PSH+SYN`	立即丢弃	1. 异常标志告警触发 2. 连接成功率=0% 3. CPU占用<5%
洪水攻击	压力测试	1000+ PSH-only包 10Gbps速率	全部丢弃	1. 吞吐量保持>9.5Gbps 2. 内存波动<2% 3. 无漏包
渗透测试	真实攻击模拟	使用Metasploit模块： `auxiliary/scanner/portscan/tcp_psh`	完全阻断	1. IDS告警率100% 2. 扫描成功率=0% 3. 无异常连接

处理逻辑伪代码

def handle_tcp_packet(packet):# 丢弃所有PSH-only包if packet.flags == TCP.PSH:log("Invalid PSH-only packet", packet)return DROP# 在已建立连接中丢弃所有non-ACK包if connection.state == ESTABLISHED and not (packet.flags & TCP.ACK):log("Non-ACK packet in established connection", packet)return DROP# 特殊标志组合处理if packet.flags & TCP.SYN and packet.flags & TCP.PSH:log("Suspicious SYN|PSH packet", packet)return DROP# ACK-only包需要严格SEQ验证if packet.flags == TCP.ACK:if not validate_seq(packet.seq, expected_seq):return handle_out_of_order(packet)# PSH|ACK包进入重组缓冲区if packet.flags == (TCP.PSH | TCP.ACK):buffer_packet(packet)if is_application_message_complete():process_application_layer()return PROCESS

TCP 状态机加固实现

操作系统对TCP标志的标准处理

RFC 793 明确要求

“The ACK bit MUST be set in all packets after the initial SYN packet, unless the RST bit is set.”
（在初始SYN包之后的所有数据包中，除非设置了RST位，否则必须设置ACK位）

3. TLS深度检测增强

# TLS重组伪代码
def handle_tls_packet(packet):session = get_session(packet.stream_id)# 验证SEQ连续性（防御1056插入）if packet.seq != session.expected_seq:if not is_valid_tls_header(packet.data):  # 检查0x16握手标识return DROP  # 丢弃插入包session.buffer += packet.data# 检查TLS头完整性（前5字节）if len(session.buffer) >= 5:tls_len = (session.buffer[3] << 8) + session.buffer[4] + 5# 缓冲完整消息（防御1055/1057/1059拆分）if len(session.buffer) >= tls_len:process_clienthello(session.buffer[:tls_len])  # 提取SNIsession.buffer = session.buffer[tls_len:]# 设置超时（防御阻塞攻击）session.timer = set_timeout(500ms, flush_buffer)

4. 流控机制加固

序列号连续性引擎

class SeqTracker:def __init__(self):self.expected_seq = None  # 预期序列号self.reassembly_buffer = []  # 重组缓冲区self.max_gap = 8192  # 最大允许序列号间隔def process_packet(self, packet):# 初始序列号设置if self.expected_seq is None:self.expected_seq = packet.seq + len(payload)return PROCESS# 计算序列号差距seq_gap = packet.seq - self.expected_seq# 完美连续包if seq_gap == 0:self.expected_seq += len(packet.payload)return PROCESS# 可接受范围内的乱序包if 0 < seq_gap <= self.max_gap:self._buffer_packet(packet)return BUFFERED# 恶意序列号跳跃 (如1056插入)if seq_gap > self.max_gap:log_alert(f"Sequence jump attack detected: gap={seq_gap}")return DROP# 重复或旧包 (如1058重传)if seq_gap < 0:return DUPdef _buffer_packet(self, packet):# 按序列号插入缓冲区bisect.insort(self.reassembly_buffer, packet, key=lambda p: p.seq)# 检查连续性self._check_continuity()def _check_continuity(self):# 尝试重组连续数据next_seq = self.expected_seqfor p in sorted(self.reassembly_buffer, key=lambda x: x.seq):if p.seq == next_seq:self.reassembly_buffer.remove(p)next_seq += len(p.payload)else:break# 更新预期序列号if next_seq > self.expected_seq:self.expected_seq = next_seq

应用层感知流控

恶意重传防御系统

重传检测矩阵:

特征正常重传恶意重传处理方式
SEQ差异 =0 =0 需进一步检查
有效负载相同不同标记恶意
时间间隔 >RTO <最小阈值(10ms) 标记恶意
标志位相同异常组合丢弃
防御规则:
- IF 重传包.有效负载 != 原始包.有效负载 THEN DROP
- IF 重传间隔 < 10ms AND 重传次数 > 3 THEN BLOCK_SESSION
- IF 重传包.flags 包含非常规标志(如URG) THEN DROP

特征	正常重传	恶意重传	处理方式
SEQ差异	=0	=0	需进一步检查
有效负载	相同	不同	标记恶意
时间间隔	>RTO	<最小阈值(10ms)	标记恶意
标志位	相同	异常组合	丢弃

以下为本文捕获的漏洞利用的IP报文数据：

WireShark 抓包数据：

1049：
0000   45 00 00 34 d5 f8 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1053：
0000   45 00 00 34 a0 8a 00 00 32 06 08 22 ac fd 72 5a
0010   c0 a8 00 181054：
0000   45 00 00 28 d5 fa 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1055：
0000   45 00 00 2c d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1056：
0000   45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1057：
0000   45 00 00 aa d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1058：
0000   45 00 02 2d d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1059：
0000   45 00 01 a7 d5 fb 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1067：
0000   01 bb 05 ea b3 21 4d 70 f2 2a 75 ec 80 12 ff ff
0010   1e b8 00 00 02 04 05 96 01 01 04 02 01 03 03 081068：
0000   01 bb 05 ea b3 21 4d 70 f2 2a 75 ec 80 12 ff ff
0010   1e b8 00 00 02 04 05 96 01 01 04 02 01 03 03 081069：
0000   45 00 00 34 d5 fe 40 00 40 06 00 00 c0 a8 00 18
0010   ac fd 72 5a1070：
0000   45 00 00 28 a1 39 00 00 32 06 07 7f ac fd 72 5a
0010   c0 a8 00 181071：
0000   45 00 00 28 a1 3a 00 00 32 06 07 7e ac fd 72 5a
0010   c0 a8 00 181072：
0000   45 00 00 28 a1 3b 00 00 32 06 07 7d ac fd 72 5a
0010   c0 a8 00 181073：
0000   01 bb 05 ea b3 21 4d 71 f2 2a 77 f1 50 10 01 09
0010   dc 87 00 001074：
0000   45 00 05 be a1 3d 00 00 32 06 01 e5 ac fd 72 5a
0010   c0 a8 00 18