TCPIP协议体系及攻击.ppt

TCP/IP协议体系及攻击 各网络层次的威胁浅析 outline 数据链路层 网络层 传输层 应用层 数据链路层 以太网工作原理 以太网采用带冲突检测的载波帧听多路访问（CSMA/CD）机制。 载波侦听：发送节点在发送信息帧之前，必须侦听媒体是否处于空闲状态。 多路访问：具有两种含义，既表示多个节点可以同时访问媒体，也表示一个节点发送的帧可以被多个节点所接收。 冲突检测：发送节点在发出帧的同时，还必须监听媒体，判断是否发生冲突（同一时刻，有无其他节点也在发送信息帧）。 当以太网中的一台主机要传输数据时，工作过程如下： 侦听信道上收否有信号在传输。如果有的话，表明信道处于忙状态，就继续侦听，直到信道空闲为止。 若没有侦听到任何信号，就传输数据 传输的时候继续侦听，如发现冲突则执行二进制指数退避算法，随机等待一段时间后，重新执行步骤1（当冲突发生时，涉及冲突的节点会发送一个拥塞序列，以警告所有的节点） 若未发现冲突则发送成功，节点会返回到侦听信道状态。 以太网安全分析 信道的共享性（特别是无线信道） 以太网接口接收到非本机的帧会丢弃，但是设置接口的属性“混杂”模式，可以接收所有分组；MAC地址欺骗（进行修改） 对策： 网络分段 利用交换机、动态hub等对数据流限制 链路层加密和禁用混杂模式 MAC地址和交换机端口绑定 无线：功率控制（侦听范围） MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 ARP协议 显示高速cache中的ARP表 添加ARP静态表项 删除ARP表项 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 DHCP攻击 电磁信息泄漏 特别是无线：控制发送功率、定向发送 合理布局、使用干扰器等 outline 数据链路层 网络层 传输层 应用层 网络层协议 IP协议 寻址 管理分割数据报 不可靠：丢失 非连接：乱序 网络层协议 ICMP协议 ICMP差错报文 ICMP控制报文 ICMP请求/应答报文 基于网络层的攻击和威胁 IP地址欺骗 IP包碎片 ICMP攻击 路由欺骗 IGMPNuke ARP欺骗 … … IP地址欺骗 IP 欺骗原理：伪造一个被主机信任的IP地址，从而获得主机的信任而造成攻击。 IP欺骗必须具备的三个对象： 攻击者 目标主机 受信任主机 IP欺骗的防范 在外部路由器上制定相应数据包过滤策略 在防火墙上修改检查策略 使用数据包监控工具对通过外部网络接口的数据包进行检查 采用好的网络设计方案 IP地址欺骗 伪造IP分组的源地址 难点： 因为远程主机只向伪造的IP地址发送应答报文，攻击者不可能收到远程主机发出的信息（例外：中间人攻击） 要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号 ICMP攻击 IP地址扫描 Ping 收集信息的手段 Ping of death 早期的攻击手段/和堆栈的分配相关，最大64k Ping flooding DoS攻击的一种手段 ICMP重定向报文 更改最佳路径 ICMP主机不可达和TTL超时报文 一般是中间路由器发送，攻击者干扰 ICMP攻击- Smurf攻击 通过采用ICMP技术进行攻击 （a）攻击者找出网络上有哪些路由器会回应ICMP请求。 （b）用一个虚假的IP源地址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。 （c）这些设备马上回应，同时产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标。 ICMP攻击- Smurf攻击 ICMP攻击 防范 限制ICMP报文的作用范围 禁止使用ICMP回应报文 路由欺骗 RIP路由欺骗 V1缺乏认证：冒充中转路由器 V2可以 IP源路由欺骗 反向路径作为回应路径 冒充中间的路由器 outline 数据链路层 网络层 传输层 应用层 TCP的三次握手过程 端口扫描 常用扫描技术：TCP connect() 扫描 这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。 它不需要任何权限。系统中的任何用户都有权利使用这个调用。 另一个好处就是速度快。 常用扫描技术：TCP SYN扫描 “半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。 这种扫