2.10假消息攻击-华东理工大学计算机科学与工程系.pptVIP

假消息攻击概述 数据链路层攻击 网络层攻击 传输层攻击 应用层攻击 假消息攻击的概念 假消息攻击 利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的 TCP/IP协议栈 假消息攻击的分类 分类与网络协议各层次的关系 假消息攻击的危害 窃取通信数据 拒绝服务 中间人攻击 Man in the Middle Attack 信息篡改 信息窃取 数据链路层的攻击：ARP欺骗 ARP协议的作用 ARP欺骗 ARP数据包的格式 ARP协议的效率改进 响应ARP请求的主机将请求者的IP－MAC映射缓存。 主动的ARP应答会被视为有效信息接受 ARP效率带来的问题 发送错误的发送者MAC地址的ARP请求 发送错误的发送者MAC地址的ARP应答 ARP欺骗的攻击过程 攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关 受害者将数据包发送给假网关（攻击者） 假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包） 假网关再把数据包转发给真正的网关 ARP欺骗 ARP欺骗的根源 ARP协议设计之初没有考虑安全问题，所以任何计算机都可以发送虚假的ARP数据包。 ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系，如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。 ARP缓存需要定时更新，给攻击者以可乘之机。 ARP欺骗的危害 嗅探 拒绝服务攻击 中间人攻击 ARP欺骗的局限性 ARP欺骗只能被用于局域网（黑客必须已经获得局域网中某台机器的访问权）。 ARP欺骗的防范 网关建立静态IP/MAC对应关系,各主机建立MAC数据库 建立DHCP服务器 IDS监听网络安全 网络层的攻击 ICMP路由重定向 IP分片攻击 ICMP重定向攻击 ICMP的报文类型 ICMP重定向攻击 ICMP重定向报文： 当路由器检测到主机在启动时具有一定的路由信息，但不一定是最优的 路由器检测到IP数据报经非优路由传输，就通知主机去往该目的地的最优路径 功能：保证主机拥有动态的、既小且优的路由表 限制：ICMP重定向机制只能在同一网络的路由器与主机之间使用 ICMP重定向攻击 ICMP重定向报文 ICMP重定向攻击 ICMP重定向攻击的危害 改变对方的路由表 与ARP欺骗类似，ICMP重定向攻击也可以用来做嗅探、拒绝服务或中间人攻击等 ICMP重定向攻击 ICMP重定向攻击的局限性 ICMP重定向攻击一次只能指定一个目的地址 新路由必须是直达的 重定向包必须来自去往目标的当前路由 重定向包不能通知主机用自己做路由 被改变的路由必须是一条间接路由 ICMP重定向攻击 ICMP重定向攻击的防范 修改系统和防火墙配置，拒绝接收ICMP重定向报文 在Windows 2000里可修改注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 通过route print命令来查看本机的路由表 IP分片攻击 IP分片原理 Fragment ID More Fragment Flag Fragment Offset Data Length Tiny Fragment攻击 IP分段重叠攻击 传输层攻击：TCP欺骗 TCP欺骗的原理 利用主机之间的正常信任关系发动的攻击 TCP序号欺骗 TCP欺骗 难点在于得到TCP的ACK初始序列号。 如果攻击者与受害者主机在同一局域网内，则可以结合嗅探的手段直接获取该序列号；否则，只能通过猜测的方法。 TCP欺骗的危害 以可信任的身份与服务器建立连接 伪造源IP地址，隐藏攻击者身份，消除攻击痕迹 TCP欺骗的防范 抛弃基于地址的信任策略 进行包过滤，只信任内部主机 利用路由器屏蔽掉所有外部希望向内部发出的连接请求 使用加密传输和验证的方法 使用随机化的初始序列号，使得TCP序列号难以猜测 应用层攻击 DNS欺骗 SMB中间人攻击 DNS欺骗 DNS的作用 实现域名解析，也就是将域名对应到相应的IP地址 如 域名所对应的IP地址是54 DNS查询 DNS欺骗的原理 客户端以特定的标识ID向DNS服务器发送域名查询数据包 DNS服务器查询之后以同样的ID返回给客户端响应数据包 攻击者拦截该响应数据包，并修改其内容，返回给客户端 DNS欺骗 难点在于如何获得标识号ID 可以结合ARP欺骗或ICMP重定向等手段，采用嗅探的方法得到 DNS欺骗的根源 DNS欺骗的危害 将用户访问的合法网址重定向到另一个网址 篡改合法网页的内容，使用户在不知情的情况下访问非法网站 DNS欺骗的防范