网络信息对抗第四章TCPIP网络协议攻击程序总汇.ppt

网络信息对抗 主讲人：张 瑜 Email:bullzhangyu@ QQ:344248003 网络信息对抗 第四章：TCP/IP网络协议攻击 坐地日行八万里， 巡天遥看一千河。 －－－毛泽东 两岸猿声啼不住，轻舟已过万重山。 －－－李 白 提纲 TCP/IP网络协议栈攻击概述 网络层协议攻击 传输层协议攻击 TCP/IP网络协议栈攻击防范措施 作业4－TCP/IP协议栈重点协议的攻击实验 网络安全属性 网络安全CIA属性 机密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 其他两个补充属性 真实性(Authentication) 不可抵赖性(Non-Repudiation) –可审查性(Accountability) 网络攻击基本模式 截获 嗅探(sniffing) 监听(eavesdropping) 中断 拒绝服务(DoSing) 篡改 数据包篡改(tampering) 伪造 欺骗(Spoofing) 网络攻击基本模式 中间人攻击(MITM攻击) 通信双方 Alice Bob 中间人 Mallory 与通信双方建立起各自独立的会话连接 对双方进行身份欺骗 进行消息的双向转发 必要前提：拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造) 现实世界中的中间人攻击－－－婚介中心欺骗术 TCP/IP网络协议栈安全缺陷与攻击技术 原始报文伪造技术及工具 原始报文伪造技术 伪造出特制的网络数据报文并发送 原始套接字(Raw Socket) Netwox/Netwag 超过200个不同功能的网络报文生成与发送工具 #netwoxnumber [parameters ... ] Netwox Netwag－Netwox图形版 提纲 TCP/IP网络协议栈攻击概述 网络层协议攻击 传输层协议攻击 TCP/IP网络协议栈攻击防范措施 作业4－TCP/IP协议栈重点协议的攻击实验 IP源地址欺骗 IP源地址欺骗 伪造具有虚假源地址的IP数据包进行发送 目的：隐藏攻击者身份、假冒其他计算机 IP源地址欺骗原理 路由转发只是用目标IP地址，不对源做验证 现实世界中的平信 通常情况：无法获得响应包 IP源地址欺骗 IP源地址欺骗–假冒IP攻击 可以嗅探响应包的环境 同一局域网 ARP欺骗、重定向攻击劫持响应包 盲攻击(blind attack) Robert T. Morris在1985年提出 Kevin Mitinick在1995年仍使用 通过猜测TCP三次握手中所需的信息，假冒IP建立起TCP连接 盲攻击过程 IP源地址欺骗技术的应用场景 普遍应用场景 拒绝服务攻击：无需或不期望响应包，节省带宽，隐藏攻击源 网络扫描(nmap-D)：将真正扫描源隐藏于一些欺骗的源IP地址中 假冒IP攻击场景 对付基于IP地址的身份认证机制 类Unix平台上的主机信任关系 防火墙或服务器中配置的特定IP访问许可 远程主机IP欺骗-盲攻击，较难成功 利用Netwox进行IP源地址欺骗 IP源地址欺骗的防范措施 使用随机化的初始序列号→避免远程的盲攻击 使用网络层安全传输协议如IPsec 避免泄露高层协议可供利用的信息及传输内容 避免采用基于IP地址的信任策略 以基于加密算法的用户身份认证机制来替代 在路由器和网关上实施包检查和过滤 入站过滤机制(ingress filtering) 出站过滤机制(egress filtering) ARP欺骗(ARP Spoofing) ARP协议工作原理 将网络主机的IP地址解析成其MAC地址 ①每台主机设备上都拥有一个ARP缓存(ARP Cache) ②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包 ③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址 ④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中 ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的 ARP欺骗(ARP Spoofing) ARP欺骗攻击技术原理 网关ARP欺骗 ARP欺骗技术的应用场景 利用ARP欺骗进行交换网络中的嗅探 ARP欺骗构造中间人攻击，从而实施TCP会话劫持 ARP病毒 ARP欺骗挂马 利用Netwox进行ARP欺骗 ARP欺骗攻击防范措施 静态绑定关键主机的IP地址与MAC地址映射关系 网关/关键服务器 arp-s IP地址MAC地址类型 使用相应的ARP防范工具 ARP防火墙 使用VLAN虚拟子