网络信息安全课件Netsec14-5.ppt

TCP RST攻击 中断攻击 伪造TCP重置报文攻击(spoofed TCP reset packet) TCP重置报文将直接关闭掉一个TCP会话连接 限制条件：通讯目标方接受TCP包 通讯源IP地址及端口号一致 序列号(Seq)落入TCP窗口之内 嗅探监视通信双方的TCP连接，获得源、目标IP地址及端口 结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方 应用场景：恶意拒绝服务攻击、重置入侵连接、GFW GFW: “net::ERR_CONNECTION_RESET” TCP RST攻击演示 Netwox#78 tool Reset every TCP packet Usage: netwox78 [-d device] [-f filter] [-s spoofip] [-iips] netwox78-i172.*.*.188 TCP会话劫持 结合嗅探、欺骗技术 中间人攻击：注射额外信息，暗中改变通信 计算出正确的seqackseq即可 TCP会话攻击工具 Juggernaut、Hunt、TTY watcher、IP watcher TCP会话劫持攻击过程 受害者 攻击者 服务器 连接请求 ACK 监听 RST 假冒受害者发送数据包 认证成功 Hunt工具介绍 源码开放的自由软件，可运行在Linux平台上 功能特点 监听当前网络上的会话 重置会话(reset a session) 劫持会话 在劫持之后，使连接继续同步 确定哪些主机在线 四个守护进程 自动reset Arp欺骗包的转发 收集MAC地址 具有搜索功能的sniffer 如何防止会话劫持 避免攻击者成为通信双方的中间人 部署交换式网络，用交换机代替集线器 禁用主机上的源路由 采用静态绑定IP-MAC映射表以避免ARP欺 过滤ICMP重定向报文 TCP会话加密(IPsec协议) 避免了攻击者在得到传输层的端口及序列号等关键信息 防火墙配置 限制尽可能少量的外部许可连接的IP地址 检测 ACK风暴：ACK包的数量明显增加 TCP SYN Flood 拒绝服务攻击(DoS) 破坏可用性 TCP SYN Flood SYN洪泛攻击 利用TCP三次握手协议的缺陷 大量的伪造源地址的SYN连接请求 消耗目标主机的连接队列资源 不能够为正常用户提供服务 TCP SYN Flood 示意图及效果 直接攻击 欺骗式攻击 分布式攻击 利用Netwox进行TCP SYN Flood 工具76 SYN Flood攻击防范措施-SynCookie 弥补TCP连接建立过程资源分配这一缺陷 无状态的三次握手‖ 服务器收到一个SYN报文后,不立即分配缓冲区 利用连接的信息生成一个cookie, 作为SEQ 客户端返回ACK中带着ACK = cookie+1 服务器端核对cookie, 通过则建立连接，分配资源 防火墙地址状态监控技术 有状态防火墙 网络中的TCP连接进行状态监控和处理 维护TCP连接状态：NEW状态、GOOD状态、BAD状态… 三次握手‖代理 UDP Flood攻击 UDP协议 无状态不可靠 仅仅是传输数据报 UDP Flood 带宽耗尽型拒绝服务攻击 分布式拒绝服务攻击(DDoS) 利用僵尸网络控制大量受控傀儡主机 通常会结合IP源地址欺骗技术 UDP Flood攻击防范措施 禁用或过滤监控和响应服务 禁用或过滤其它的UDP 服务 网络关键位置使用防火墙和代理机制来过滤掉一些非预期的网络流量 遭遇带宽耗尽型拒绝服务攻击 终端无能为力 补救措施：网络扩容、转移服务器位置 事件响应：汇报给安全应急响应部门、追溯和处置 流量清洗解决方案：ISP为关键客户/服务所提供 TCP/IP网络协议栈攻击防范措施 监测、预防与安全加固 网络接口层–主要安全威胁是网络嗅探 局域网中的监听点检测 网络设计上尽量细分和优化网络结构 关键路径上的网关、路由器等设备的严格安全防护 各类网络采用上层的加密通信协议 互联层 多种检测和过滤技术来发现和阻断网络中欺骗攻击 增强防火墙、路由器和网关设备的安全策略(egress filtering) 关键服务器使用静态绑定IP-MAC映射表、使用IPsec协议加密通讯等预防机制 传输层：加密传输和安全控制机制(身份认证，访问控制) 应用层：加密，用户级身份认证，数字签名技术，授权和访问控制技术以及主机安全技术如审计、入侵检测 网络安全协议 网络接口层 无线：WPA/WPA2 统一认证：802.1X 网络互联层 IPsec协议簇 AH协议：完整性、认证、抗重放攻击 ESP协议：机密性、数据源验证、抗重放、完整性 传输层 TLS/SSL: 加密、可靠 应用层 HTTPS、S/MIME、SET * * A useful means of class