ASA對TCP序列號擾亂測試

一.概述：聽了yeslab的秦珂老師的asa的課程，講到asa對tcp的隨機初始化序列號擾亂功能，於是搭建環境進行測試，發現其實不僅對tcp初始化的序列號進行擾亂，對後續的tcp包序列號也會進行擾亂。

----後記：聽了後面的教程，才知道之所以叫初始化序列號擾亂，是因為後續的變化都基於初始的序列號之上的，比如未擾亂前第乙個syn包isn序列號為a,第四個包的序列號為b,擾亂後的第乙個syn包isn序列號為a',擾亂後的第四個包的序列號的b'，那麼b-a=b'-a',即它們的差值總是相同的。

二.基本思路和結論：

a.搭建環境在asa兩側進行抓包測試

b.抓包軟體顯示的相對隨機號，實際資料才是真正的序列號

c.asa不僅僅對tcp初始化包進行序列號擾亂，對其他的包也進行序列號擾亂

d.通過policy-map可以禁止讓asa對序列號進行擾亂

三.測試拓撲：

四.基本配置：

a.outside路由器：

inte***ce ethernet0/0

ip address 202.100.1.1 255.255.255.0

no shut

line vty 0 4

password cisco

ip route 0.0.0.0 0.0.0.0 202.100.1.10

b.asa842防火牆：

inte***ce gigabitethernet0

nameif outside

security-level 0

ip address 202.100.1.10 255.255.255.0

inte***ce gigabitethernet1

nameif dmz

security-level 50

ip address 192.168.1.10 255.255.255.0

inte***ce gigabitethernet2

nameif inside

security-level 100

ip address 10.1.1.10 255.255.255.0

c.inside路由器：

inte***ce ethernet0/0

ip address 10.1.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.10

五.tcp序列號擾亂測試：

a.沒有nat情況下，inside路由器telnet outside路由器：

inside路由器tcp第乙個包：

----從抓包的注釋relative sequence number可以看到seq 0其實是相對值，真正的值為d6d2cfdc。

outside路由器tcp第乙個包：

---從兩個圖對比很容易看出，兩邊的syn包的序列號是不相同的，雖然相對值都是0。

inside路由器tcp第四個包：

outside路由器tcp第四個包：

---四個截圖序列號的值：未擾亂前第乙個包d6d2cfdc，未擾亂前第四個包

d6d2cfdd,增加值為1，擾亂後第乙個包2f67830f，擾亂後四個包

2f678310，增加值也為1，這就是抓包軟體顯示相對值為1的原因。

b.nat情況下，inside路由器telnet outside路由器：

①pat配置：

object network inside_net

subnet 10.1.1.0 255.255.255.0

nat (inside,outside) dynamic inte***ce

②抓包測試：

----發現跟沒有nat情況相同，不僅僅是tcp初始化進行序列號擾亂，其他的包也會進行序列號擾亂

六.tcp序列號擾亂避免：

a.配置policy-map並應用：

access-list telnet extended permit tcp any any eq telnet

class-map noseqrandom

match access-list telnet

policy-map noseqrandom

class noseq

set connection random-sequence-numberdisable

service-policy noseqrandom inte***ce inside

b.inside路由器telnet outside路由器並在兩邊抓包測試：

----抓包可以發現兩邊的序列號保持一致（截圖略）

ASA對TCP序列號擾亂測試

ASA對TCP序列號擾亂測試

TCP序列號和確認號詳解

TCP序列號和確認號詳解

ASA對TCP序列號擾亂測試

ASA對TCP序列號擾亂測試

TCP序列號和確認號詳解

TCP序列號和確認號詳解

相關推薦