网络入侵和攻击分析Part2网络攻击技术.PDFVIP

网络入侵和攻击分析 Part2网络攻击技术 Part2网络攻击技术 讨论议题 •欺骗 •会话劫持 •拒绝服务 网络攻击概览 n 三类主要的攻击手段 n 欺骗 n 会话劫持 n DOS 欺骗技术 n IP欺骗 n –假冒他人的IP地址来获得信息或发送信息 n 邮件欺骗 n –假冒他人的email地址发送信息 n Web欺骗 n –你能相信你所看到的信息吗？ n 非技术性欺骗 n –把精力集中在攻击公司的人力因素 IP欺骗 •IP欺骗就是攻击者伪装成目标主机与其他计算 机进行通信，达到： –隐藏自己的IP地址，防止被跟踪 – 以IP地址作为授权依据 –穿越防火墙 •IP欺骗是利用了IP协议中的一个缺陷：信任服 务的基础仅仅是建立在网络地址的验证上，而 IP地址是容易被伪造的。 •IP欺骗的形式 –单向IP欺骗：不考虑回传的数据包 –双向IP欺骗：要求看到回传的数据包 – 单向IP欺骗 双向IP欺骗 IP欺骗的实现方式 •基本地址变化 •使用源站选路截取数据包 •利用UNIX机器上的信任关系 IP盗用：改变自己的地址 n 用网络配置工具改变机器的IP地址 n 在UNIX平台上 –用ifconfig 用程序实现IP欺骗 •发送IP包，IP包头填上假冒的源IP地址 –在Unix/Linux平台上，直接用socket就可以 发送，但是需要root权限 –在Windows平台上，可以使用winpcap –可以用libnet构造IP 源站选路 •为了得到从目的机器返回源机器的流量， 一个方法是攻击者插入到正常情况下流 量经过的地方。 •宽松的源站路由 •严格的源路由选择 信任关系 •从便利的角度看，信任关系是非常好的， 但是从安全的角度看，他是不利的。 •信任关系使用IP地址进行验证 •对策： （1 ）不使用信任关系 （2 ）限制拥有信任关系的人员 （3 ）不允许通过网络使用 如何避免IP欺骗 •主机保护，两种考虑 –保护自己的机器不被用来实施IP欺骗 •物理防护、登录口令 •权限控制，不允许修改配置信息 –保护自己的机器不被成为假冒的对象 •无能为力 •网络防护 –路由器上设置欺骗过滤器 •入口过滤，外来的包带有内部IP地址 •出口过滤，内部的包带有外部IP地址 •保护免受源路由攻击 电子邮件欺骗 •电子邮件欺骗的动机 –隐藏发信人的身份，匿名信 – 冒充别人或给其他人找麻烦 –骗取敏感信息 –… … •欺骗的形式 –使用相似的电子邮件地址 –修改邮件客户软件的账号配置 –直接连到smtp服务器上发信 •电子邮件欺骗成功的要诀 –基本的电子邮件协议不包括签名机制 电子邮件欺骗：使用相似的地 址 n 发信人使用被假冒者的名字注册一个账 号，然后给目标发送一封正常的信。 修改邮件客户软件的帐户配置 •邮件帐户配置 –姓名(Name)属性，会出现在 “From”和“Reply-To”字段中， 然后显示在“发件人”信息中 – 电子邮件地址，会出现在 “From”字段中 – 回复地址，会出现在“Reply- To”字段中，可以不填 •发送服务器设置 邮件欺骗：直接连接smtp服务 器 •直接连接smtp服务器的25端口，然后发送命令， 常见命令为 –Helo(or EHLO) –Mail from: –Rcpt to: –Data –Quit 邮件欺骗的保护 •邮件服务器的验证 –Smtp服务器验证发送者的身份，以及发送的邮件地 址是否与邮件服务器属于相同的域 –验证接收方的域名与邮件服务器的域名是否相同 –有的也验证发送者的域名是否有效，通过反向DNS 解析 –攻击者可以运行自己的smtp邮件服务器 •不能防止一个内部用户假冒另一个内部用户发 送邮件 •审核制度，所有的邮件都有记录