8.假消息攻击技巧.ppt

本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5 DNS欺骗 8.6 SMB中间人攻击 DNS DNS（Domain Name Service）是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名标记方法。 DNS的作用 实现域名解析，也就是将域名对应到相应的IP地址 如 域名所对应的IP地址是54 Internet根服务器负责管理Internet根和高级域 DNS域名系统 域名系统是一个树形结构 com net org edu mil 根 gov int microsoft www example Host_a Host_ DNS查询过程 WEB浏览器 DNS客户机（解析器） 客户机到服务器的查询 服务器到服务器的查询 DNS解析 器缓存 DNS服务器 区域 DNS服务 器缓存 其它DNS 服务器 Q1 A1 Hosts文件 Q2 A2 根提示文件 （cache dns） Q3 Q4 Q5 A3 A4 A5 DNS会话的验证 DNS查询和应答是基于UDP的应用 验证不同的查询/应答是依靠报文中的标识段（ID） 8.5 DNS欺骗 DNS欺骗的原理 客户端以特定的标识ID向DNS服务器发送域名查询数据包 DNS服务器查询之后以同样的ID返回给客户端响应数据包 攻击者拦截该响应数据包，并修改其内容，返回给客户端 8.5 DNS欺骗 难点在于如何获得标识号ID 可以结合ARP欺骗或ICMP重定向等手段，采用嗅探的方法得到 8.5 DNS欺骗 造成DNS欺骗问题的原因： UDP协议是无状态、不可靠的协议 DNS协议本身没有好的身份认证机制 8.5 DNS欺骗 DNS欺骗的危害在于： 将用户访问的合法网址重定向到另一个网址 篡改合法网页的内容，使用户在不知情的情况下访问非法网站 8.5 DNS欺骗 DNS欺骗的防范 构建静态的域名-IP映射，如Windows系统的hosts文件 直接用IP地址连接服务器 用加密的连接访问服务器，如SSL 本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5 DNS欺骗 8.6 SMB中间人攻击 8.6 SMB中间人攻击 中间人攻击 中间人攻击（Man-in-the-Middle Attack，简称“MITM攻击”）是一种“间接”的入侵攻击。 A 客户机 B 客户机 C 攻击者 正常的通信 攻击者介入正常的通信中 对客户机是透明的 对客户机是透明的 8.6 SMB中间人攻击 SMB协议 SMB协议（Server Message Block）是一个用于不同计算机之间共享文件、打印机、通信对象等各种计算机资源的协议。 各种操作系统基本上都对SMB协议进行了实现，在Linux中使用Samba，在Windows系统中使用NetBIOS。 8.6 SMB中间人攻击 早期SMB协议使用明文口令进行身份验证 LAN Manager Challenge Response机制（LM） Windows NT Challenge Response验证机制（NTLM） NTLMv2和Kerberos验证机制 8.6 SMB中间人攻击 A 客户机 B 服务器 典型的NTLM认证过程 (1) 建立TCP连接 (2) 协商请求，A告知B自己所支持的认证协议 (3) 协商响应，B告知A使用NTLM+8字节的挑战 (4)A将24字节结果提交给B (5) 返回校验结果 A对挑战数据进行DES加密 B将生成数据和A的数据进行比较 8.6 SMB中间人攻击 SMB中间人攻击的实现 假设攻击者已经利用ARP欺骗或ICMP重定向等手段将客户端与服务器之间的所有通信拦截下来，那么攻击者可以在NTLM认证的第二步将客户端的数据篡改，申明自身只支持明文密码传送，那么接下来的密码传送就会是明文的了。 8.6 SMB中间人攻击 A 客户机 B 服务器 典型的NTLM认证过程 (1) 建立TCP连接 (2) 协商请求，A告知B自己只支持明文密码传送 (3) 协商响应 (4)A将明文密码提交给B (5) 返回校验结果 A 攻击者 8.6 SMB中间人攻击 SMB中间人攻击的关键是攻击者处于客户端和服务器通信的中间，可以嗅探或任意篡改通信数据，并且不会中断它们的连接。 8.6 SMB中间人攻击 其他形式的中间人攻击 信息篡改 信息窃取 中间人攻击使用的范围 SMB HTTP FTP TELNET POP3 SMTP * * ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路