一般我们会认为，要确认互联网上的任意两台主机设备是否成立TCP连接通讯，其实并不容易——打击者如果不在双方的通讯路径中，就更是如此了。此外如果打击者并不在通讯路径中，要半途中断双方的这种连接，甚至是篡改连接，理论上也是不大可能的。

不过来自加州大学河滨分校，以及美国陆军研究尝试室的研究人员，比来联合发表了一篇论文，题为《Off-Path TCP Exploits: Global Rate Limite Considered Dangerous》。这篇文章提到Linux处事器的TCP连接实施方案存在高危安适缝隙，打击者可操作该缝隙来劫持未加密Web流量，或者粉碎如Tor连接一类的加密通讯；此缝隙编号CVE-2016-5696。

撰写这篇呈报，以及开发针对处事器和客户端补丁的作者包孕了Zhiyun Qian，Yue Cao，Zhongjie Wang，Tuan Dao，Srikanth V. Krishnamurthy以及Lisa M。值得一提的是，这此中的Yue Cao，也就是曹跃，正是GeekPwn2016澳门站的选手。其时他就因为“重现了当年世界头号黑客凯文米特尼克的TCP劫持”，摘得“最大脑洞奖”。

这里的“高危”属性，主要表此刻几点，其一是“off-path”，也就是打击者不需要处在通讯路径中——这话听起来有些费解，举个例子：传统意义上的中间人打击就属于处在通讯路径中的范例。所以对该缝隙的操作，是不需要打击者接入通讯双方的网络中的。

其二，如果操作该缝隙在处事器和客户真个TCP连接中进行流量劫持打击，处事器和客户端是不需要植入任何恶意措施的。也就是说，受害者和打击者之间根柢就不需要进行互动，打击者就可以进行这种打击行为。从这两点来看，这个缝隙简直是相当的危险。

CVE-2016-5696缝隙说起来还是相当有趣，它主要影响的是Linux系统。具体说来，Linux内核版本在v3.6至v4.7之间的系统都受到影响，也就是过去4年间的种种Linux系统受到影响。实际上，针对该缝隙的Linux内核补丁已经开发完成，而且如上所述，研究人员也专门为客户端和处事器主机设备开发了相应的补丁，增加该缝隙的操作难度。

不是说是相关TCP连接的一个缝隙吗？怎么又跟Linux系统相关？这事儿是这样的：在TCP连接的设计中，安适原本就不是主要考量因素。所以无论是在specification层面，还是implementation层面，都有不少安适加强法子。有个标准叫RFC 5961——它具体给出了两台主机设备间成立TCP通讯的一些规定，就是为了加强安适性的。

不过悲剧的是，研究人员发明了RFC 5961的实施存在一些弱点。上述内核版本的Linux系统则严格遵守了RFC 5961规格，自然也就存在这方面的缝隙了。

通例TCP握手

那么操作CVE-2016-5696缝隙，究竟可以干嘛呢？文首提到的对连接进行劫持打击，简直是对该缝隙操作的最坏情况。更为直接地说，操作该缝隙可以确认互联网上的任意两台主机是否通过TCP连接进行通讯（并发明端标语），以及猜测出TCP报文头的序列号（sequence number），这样一来就能强制终止双方的连接，甚至在连接中插入恶意payload了。

通过该缝隙针对SSH、Tor之类的加密处事进行重置，以及DoS打击也是可行的，而粉碎这种加密连接可能会让用户转而选择相对没那么安适的通讯工具。

由于对打击者而言，根柢就不需要处在“中间人”的位置（也就是所谓的off-path），而且整个过程不需要与受害者进行互动，所以研究人员认为，该缝隙可能对互联网安适隐私孕育产生极大影响。

一般来说，我们要破解某些加密数据，如果加密方法非常庞大令我们束手无策，则不妨事转换一下思路，改用边信道打击。针对CVE-2016-5696缝隙的操作，实际上也是给与边信道打击方案——走的是偏门。由于整个过程还是对照庞大的，鉴于篇幅关系，我们只能简单谈一谈：

整个打击模型如上图所示，图1的情况是进行IP地点欺骗（ISP可让“off-path”的打击者伪装受害人的IP地点像处事器发包），图2的情况也就不用多说了。其实要满足这种打击，打击者发出欺骗TCP包，到达DoS或者数据注入的打击方针，首先需要知道处事器和客户端双方TCP通讯的源IP地点、方针IP地点、源端口、方针端口，最重要的一点是需要猜度TCP序列号，只有序列号in-window，才华对连接进行重置或者注入恶意数据。