第七章网络攻击.pptVIP

网络信息安全 网络攻击 本节内容 TCP/IP协议栈的安全性 操作系统的安全性 扫描与嗅探 TCP/IP协议栈的安全性 ARP安全性 Ip安全性 Tcp/udp/icmp安全性 应用层协议安全性 ARP安全性 Arp协议是局域网的重要协议，负责ip和mac映射关系的解析和维持。但这个协议的缺点是没有认证，当一台计算机收到一个arp响应包时，并不需要考虑他是否曾经发出过对应的请求而直接更新自己的arp缓存，从而造成了著名的arp欺骗攻击，这一攻击手段导致了2006到2007年大面积的攻击事件。 ARP的过程1-请求过程（request） ARP的过程1-回应过程（reply） Arp欺骗攻击-直接构建reply包 被ARP攻击的计算机效果 Ip安全性 Ip协议设计中的一个重大缺陷也是无法验证数据的来源真伪性，所以导致一个著名的攻击就是land攻击，这个攻击将数据包的源地址和目标地址都改为被攻击计算机自身，当计算机收到这样一个数据包时，就会不停的自己给自己发数据，直到系统崩溃或者死机。 Land攻击 Tcp安全性 TCP协议的安全性中，最知名的要数DOS攻击了，这种攻击手段是利用TCP三次握手中的SYN_RECEIVED状态，这个状态是服务器在接收到客户机请求后，准备好相应所需存储资源后对客户机发回的请求响应，当客户机接到该相应时，即可开始发送数据。 但如果客户机不响应，则SYN_RECEIVED状态等待一段时间后，超时并释放缓存，这种情况称为半连接状态，而这个时间的长短是致命的。 如果在这段时间内，客户机发出大量半连接，就会导致服务器内存消耗殆尽而磐机。这种以消耗目标资源的攻击称为DOS攻击。而针对SYN的DOS称为SYN洪水攻击。 被攻击计算机的情况 使用netstat -an观察时可以看到大量的SYN_RECEIVED半连接状态。 UDP安全性 UDP Flood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。 比较著名的事件如2009年的暴风影音BUG导致全国骨干DNS服务器瘫痪事件就是一次UDP洪水攻击。 Icmp安全性 Icmp洪水攻击：利用ping发超大尺寸包占用目标主机的带宽。 Icmp碎片攻击：也成死亡之ping，制造不完整的icmp请求包，可以导致协议栈脆弱的系统瘫痪，如win98和部分老款intel智能交换机。 应用层协议安全性 大多数应用层服务都存在较严重的安全性，特别是在口令方面，基本都采用了明文口令，这使得安全认证在嗅探器的捕获下不堪一击。其中存在这种问题的有： telnet、ftp、http 而另外一些如DNS则容易遭到DNS欺骗攻击的问题，由于应用层协议众多，目前其安全问题无法完全解决。 操作系统的安全性 操作系统安全性主要有一下个方面： 系统的口令 系统的管理机制上有漏洞 系统自身软件的bug 系统的口令 不论是那种系统，用户登录的口令都需要存放在系统中特定位置的文件中，而针对这类文件的破解可导致系统的口令被解除或者泄露。 目前unix和windows都存在此类问题。 系统的管理机制上有漏洞 这类问题是系统设计者在系统中留有原本为管理设置的通道，但由于安全策略设置不当导致系统被攻破。典型的有windows的通过IPC$入侵系统。 IPC$攻击 IPC$(Internet Process Connection)“命名管道”，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。 其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效。 系统自身软件的bug 这类情况比较多见，目前可通过软件补丁来解决。 扫描 任何一个攻击者都不会盲目的进行攻击，他需要先知道目标计算机可能开放的端口和服务，然后在利用相对应的方法进行攻击或入侵，所以这就需要使用扫描软件为其提供未知区域计算机的信息了。 扫描工具是一种特殊的软件，他拥有对目标系统已知的各种信息的数据库，根据这些数据信息和口令字典去探索尝试连接