教科版选修3《网络安全威胁》ppt课件.pptVIP

第3讲 网络安全威胁 1 TCP/IP经典威胁 以太网安全 集线器——杂错节点 交换机——失败保护模式 IP欺骗 假冒他人IP地址 ARP欺骗 IP源路由欺骗 IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。 条件 主机A(假设IP地址是)是主机B的被信任主机 主机X想冒充主机A从主机B（假设IP为）获得某些服务 攻击过程 攻击者修改距离X最近的路由器G2，使得到达此路由器且包含目的地址的数据包以主机X所在的网络为目的地 攻击者X利用IP欺骗（把数据包的源地址改为）向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，就传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在网络，X可在其局域网内较方便的进行侦听，收取此数据包。 TCP欺骗 基本流程： 步骤一，攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也可使用SYN flooding等攻击手段使其处于拒绝服务状态。 步骤二，攻击者X伪造数据包：B - A : SYN(ISN C)，源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包请求建立连接。 步骤三，目标主机回应数据包：A - B : SYN(ISN S) , ACK(ISN C)，初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探器捕获TCP报文段，得到初始序列号S。 步骤四，攻击者X伪造数据包：B -A : ACK(ISN S)，完成三次握手建立TCP连接。 步骤五，攻击者X一直使用B的IP地址与A进行通信。 盲攻击与非盲攻击： 非盲攻击：攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。见上述流程。 盲攻击：由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探器捕获TCP报文段。其攻击步骤与非盲攻击几乎相同，只不过在步骤三无法使用嗅探器，可以使用TCP初始序列号预测技术得到初始序列号。在步骤五，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。 2 典型系统安全威胁 泪滴(teardrop) IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击：第一个包的偏移量为0，长度为N；第二个包的偏移量小于N，而且算上第二片IP包的数据部分，也未超过第一片的尾部。这样就出现了重叠现象（overlap）。为了合并这些数据段，有的系统（如linux 2.0内核）的TCP/IP堆栈会计算出负数值（对应取值很大的无符号数），将分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。WinNT/95在接收到10至50个teardrop分片时也会崩溃。 缓冲区溢出 非常普遍、非常危险 后果： 程序运行失败 系统当机、重新启动 执行非授权指令，取得系统特权 概括：对可用性、完整性和机密性的攻击 渊源： Morris Worm 1988 针对fingerd CERT/CC（计算机紧急事件响应组/协调中心） Computer Emergency Response Team/Coordination Center 4 拒绝服务攻击 4.1 拒绝服务攻击实例 Ping of Death Jolt2 Land Ping of Death 原理： 攻击者：发送长度超过65535的ICMP Echo Request的碎片分组， 目标机：重组分片时会造成事先分配的65535字节缓冲区溢出，导致TCP/IP堆栈崩溃 防御： Win98之后的系统都能够应对超大尺寸的包 配置防火墙阻断ICMP以及任何未知协议分组 Jolt2 原理：发送大量相同的碎片化IP分组 分片标志位MF被置为0 偏移量为65520 IP分组大小为29字节 IPID为1109（IDS检测特征 ） 防御： Windows系统必须安装最新的补丁 在网络边界上禁止碎片包通过，或者限制其包速率 必须确保防火墙重组碎片的算法没有问题 Land 原理：发送一个特别定制的SYN分组 源地址和目的地址都设为目标机地址 源端口号和目的端口号相同 防御： 为操作系统安装最新的补丁 配置防火墙，过滤从外部接口进入的、含有内部源地址的分组 SYN Flood 原理：TCP连接的三次握手和半开连接 攻击者：发送大量伪造的TCP连接请求 方法1：伪装成当时不在线的IP地址发动攻击 方法2：在主机或路由器上阻