网络安全第3章网络安全威胁研究.ppt

第3章 网络安全威胁 3.1 针对网络层协议的欺骗 IP欺骗 ARP欺骗 ICMP消息欺骗 路由欺骗 IP欺骗 IP欺骗就是攻击者假冒他人IP地址，发送数据包。因为IP协议不对数据包中的IP地址进行认证，因此任何人不经授权就可伪造IP包的源地址。 IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。 因而，如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以对信任主机进行攻击。 要实现IP欺骗有两个难点。 首先，因为远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到。 第二，要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。 攻击者使用IP欺骗的目的有两种： 一种是只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包而并不关心是否能收到目标主机的应答，例如IP包碎片、Land攻击等； 另一种是伪装成被目标主机信任的友好主机得到非授权的服务，一般需要使用正确的TCP序列号。得到TCP序列号的方法在传输层安全分析中描述。 缺乏认证机制是TCP/IP安全方面的最大缺陷。由于缺乏认证，主机不能保证数据包的真实来源，构成了IP欺骗的基础。 到目前还没有理想的方法，可以彻底根除IP欺骗。但通过各种手段，可以尽量减少威胁。 最理想的方法是：使用防火墙决定是否允许外部的IP数据包进入局域网，对来自外部的IP数据包进行检验。假如过滤器看到来自外部的数据包声称有内部的地址，它一定是欺骗包，反之亦然。如果数据包的IP不是防火墙内的任何子网，它就不能离开防火墙。在某种意义上，过滤器分割能将Internet分成小区域，除子网内部外，子网之间不能欺骗。 ARP欺骗 ARP通信原理 ARP数据包根据接收对象不同，可分为两种： （1）广播包。广播包目的MAC地址为FF-FF-FF-FF-FF-FF，交换机设备接收到广播包后，会把它转发给局域网内的所有主机。 （2）非广播包。非广播包后只有指定的主机才能接收到。 ?ARP数据包根据功能不同，也可以分为两种： （1）ARP请求包。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。 （2）ARP回复包。ARP回复包的作用是告知别的主机，本机的IP地址和MAC是什么。 当主机A需要与主机B进行通讯时，它会先查一下本机的ARP缓存中有没有主机B的MAC地址。如果有就可以直接通讯。如果没有，主机A就需要通过ARP协议来获取主机B的MAC地址，主机A向局域网内所有主机发送广播-请求数据包。 ????当主机B接收到来自主机A的广播-请求数据包后，它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中，然后它会给主机A发送一个“ARP非广播-回复”数据包，其作用相当于告诉主机A其自身的物理地址。当主机A接收到主机B的回复后，它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中，之后主机A和B就可以进行通讯了。 ARP欺骗 主机在两种情况下会保存、更新本机的ARP缓存表，（1）接收到“ARP广播-请求”包时。（2）接收到“ARP非广播-回复”包时。 ??ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包，ARP协议设计天生就存在严重缺陷。 假设局域网内有以下三台主机（其中GW指网关），主机名、IP地址、MAC地址分别如下：????????主机名?? IP地址????????? MAC地址????????GW????????????01-01-01-01-01-01????????PC02????????? 02-02-02-02-02-02??????? PC03???? ???? 03-03-03-03-03-03 ?正常情况下，主机PC02与GW之间的数据流向，以及它们各自的ARP缓存表如下图所示： 当PC03出现恶意企图时，它可能实施三种不同类型的ARP欺骗： 1?只欺骗受害主机。实施欺骗后效果如下： 2?只欺骗路由器、网关。实施欺骗后效果如下： 3?双向欺骗，即前面两种欺骗方法的组合使用。实施欺骗后的效果如下： 要达到同时欺骗目标主机和网关的目的，攻击者应打开两个命令界面，执行两次ARP欺骗：一次诱使目标主机认为攻击者的主机有网关的MAC地址，这可以利用IP地址欺骗技术，伪造网关的IP地址从攻