11.3- 网络攻击及其防范.ppt

5. 4.1 IP欺骗 攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿状态（已丧失处理能力），然后向目标主机的端口发送连接请求，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机，因为此时被信任主机处于停顿状态，所以被信任主机会抛弃SYN/ACK数据包。攻击者向目标主机发送ACK数据包，该ACK使用前面估计的序列号加1（确认帧）。如果攻击者估计正确的话，目标主机将会接收该ACK。这样，连接正式建立起来了。 5. 4.1 IP欺骗 发送大量ACK应答包来猜测攻击目标ACK请求包的ID号，如果所发送的伪造应答包中存在和请求包的ID一致的情况，也就是产生了所谓的“碰撞”，则欺骗成功。16位的ID号取值范围为0~65 535，共有65 536种可能性，想要使其攻击的成功率可以达到50%，至少需要发送32 768个完全不同ID号的应答包。 在短时间内发送32 768个包，还要赶在真正的应答包到来之前发生“碰撞”，其操作难度较大。如果很好地利用“生日攻击”就可以只发送较少的数据包，同样能达到欺骗的效果。 5. 4.3 DNS欺骗 “生日攻击”的涉及到一个叫作“生日悖论”的数学模型。“生日悖论”是指23个人中有人生日是同一天的可能性大于50%。通过概率论的知识，可知2个人的生日是同一天的可能性是：P(2)=1-1×(364/ 365)；3个人中有生日相同的概率是：P(3)=1-1×(364/365)× (363/365)；以此类推，P(4)=1-1×(364/365)×(363/365)×(362/ 365)；…；P(n)=1-1×(364/365)×…(365-(n-1))/365, (n=1,2,…, 365)；可得出P(23)50%，即23人中有可能其中有人的生日是相同的。从中可以看出，一个有365个元素的空间，只需23个元素其间产生“碰撞”的概率就高于50%。 5. 4.1 IP欺骗 要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击： ①抛弃基于地址的信任策略。 ②使用加密方法。在通信时，通信方之间要求加密传输和验证。 5. 4.1 IP欺骗 ③进行包过滤。确信只有内部LAN可以使用信任关系，而内网对于外部LAN以外的主机要谨慎处理。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包，但由于路由器是通过分析测试源地址来进行操作，因此，路由器仅能对声称是来自于内部网络的外来包进行过滤，若路由器所连网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。 ④使用随机的初始序列号。IP欺骗能够成功的一个重要因素是，序列号不是随机选择的或者随机增加的。如果使用了随机化的序列号，那么每一次访问都会更换新的访问序列号，攻击者就难以伪装自己对目标主机的访问。 5. 4.2 ARP欺骗 ARP是地址解析协议，它将IP地址转化为MAC地址。在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是最初ARP方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中的一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术。 5. 4.2 ARP欺骗 ARP协议并不只在发送ARP请求才接收ARP应答。如果攻击者主动发出了ARP应答包，当目标主机收到此数据包时，就会对本地的ARP缓存进行更新，将应答包中的IP和MAC地址存储在缓存中。因此，当局域网中的某台主机C向A发送一个自己伪造ARP应答，而如果这个应答是C冒充B的IP，而MAC地址是伪造C的，则当A收到C伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来B 的IP地址没有变，而B的MAC地址已经不是原来那个了。 单击此处编辑母版标题样式 单击此处编辑母版副标题样式 网络安全 第5章 网络攻击及其防范 兰州交通大学 李启南 本地ISP 公司网络 区域 ISP 路由器 工作站 服务器 移动节点 网络攻击是指对网络系统的机密性?完整性?可用性?可控性和抗抵赖性产生危害的行为? 网络入侵是目前最受关注?也是影响最大的网络攻击行为，所谓网络的入侵是指对接入网络的计算机系统的非法入侵，即攻击者未经合法的手段和程序而取得了使用该系统资源的权限?网络入侵的目的有多种：或者是取得使用系统的存储能力?处理能力以及访问其存储内容的权限；或者是作为进入其他系统的跳板；或者是想破坏这个系统（使其毁坏或丧失服务能力