假消息攻击分析.pptVIP

第二节假消息攻击 —利用不可靠的协议 本节主要内容 一、假消息攻击概述 二、ARP欺骗 三、ICMP重定向 四、IP欺骗 五、DNS欺骗 假消息攻击 假消息攻击利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的。 Q： 哪些协议设计问题是容易受到攻击的呢？ 数据发送 网页访问 建立TCP连接 要访问上的数据，必须首先和服务器建立起连接。 TCP包头 TCP包头部分包括源端口、目的端口、TCP标志、TCP选项等内容。 IP包头 IP包头部分包括源IP地址、目的IP地址、IP标志等内容。 MAC帧头 MAC帧头部分包括源MAC地址、目的MAC地址以及上层协议类型等内容。 主机路由表 route print显示当前主机的路由表信息。 ARP解析 Arp命令显示了本机的arp缓存。 连接的MAC帧头部分 由路由表信息和ARP缓存信息，可以确定帧头的目的MAC地址域 TCP三次握手 发送HTTP请求 在连接建立后，才正式发送url请求。 几个关键性的过程 DNS解析过程 路由决定过程 ARP解析过程 几种假消息攻击手段 ARP欺骗 ICMP重定向 IP欺骗 DNS欺骗 第二节 假消息攻击 一、假消息攻击概述 二、ARP欺骗 三、ICMP重定向 四、IP欺骗 五、DNS欺骗 ARP协议 数据链路层使用MAC地址进行定址 ARP协议用来将在需要时完成IP地址和MAC地址的映射 ARP请求和应答 ARP数据包格式 Operation Code域区分这个该包是ARP/RARP请求/应答， ARP缓存 并不是每次对IP地址的解析都是通过ARP请求和应答来完成的。 ARP请求是一种广播包，为了提高网络的效率，每台主机使用一个数据结构保存最近使用过MAC地址，即ARP缓存 ARP解析过程 我们可以用一段简单的伪程序语言描述ARP的解析过程 进一步提高网络效率 响应ARP请求的主机将请求者的IP－MAC映射缓存 主动的ARP应答会被视为有效信息接受 ARP请求和应答 ARP欺骗 发送错误发送者MAC地址的ARP请求 发送错误发送者MAC地址的ARP应答 ARP欺骗攻击的作用 ARP欺骗将用错误的IP－MAC地址映射污染主机的ARP缓存 主机丧失与某IP主机的通信能力 防范 使用静态ARP缓存表项 第二节 假消息攻击 一、假消息攻击概述 二、ARP欺骗 三、ICMP重定向 四、IP欺骗 五、DNS欺骗 路由表 在通常情况下，主机的路由表根据计算机的当前TCP/IP配置自动建立。 ICMP重定向 在同一局域网内有两个以上路由时，路由可以发送ICMP重定向帮助主机使用最佳路径 ICMP重定向欺骗 ICMP重定向数据包会更新主机的路由表信息。 如果冒充网关的身分向主机发送ICMP重定向报文，就可以让该主机与指定目标的通信发送到本机进行中转。 危害 ICMP重定向可以辅助交换式局域中的嗅探 防范 使用主机防火墙阻塞ICMP重定向报文 第二节 假消息攻击 一、假消息攻击概述 二、ARP欺骗 三、ICMP重定向 四、IP欺骗 五、DNS欺骗 更准确的三次握手描述 TCP包使用seq域和ack域的值来确保每个字节都能准确地送达目的地。 IP欺骗 正确预测服务器响应中的序列号y是IP欺骗的关键 IP欺骗攻击 利用IP欺骗可以对rlogin等基于源IP地址信任关系的服务进行攻击。 使用IP欺骗的思想，还可以产生其它的攻击形式，比如冒充服务器对客户机进行攻击。 防范 禁用基于IP源地址信任的服务 第二节 假消息攻击 一、假消息攻击概述 二、ARP欺骗 三、ICMP重定向 四、IP欺骗 五、DNS欺骗 DNS DNS（Domain Name Service）是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名标记方法。 DNS域名系统 域名系统是一个树形结构 DNS查询过程 DNS会话的验证 DNS查询和应答是基于UDP的应用 验证不同的查询/应答是依靠报文中的标识段（ID） DNS欺骗 在局域网环境中，DNS欺骗很容易实现 在广域网环境中，DNS欺骗的难点在于对DNS请求包中的标识的预测 DNS欺骗防范 通过构造并使用静态的hosts列表，可以防范DNS欺骗 Windows NT的system32/drivers/etc/hosts文件来建立这样的静态表。 网络 外部网络 数据 目标端口：UDP 7 目标IP： 从R2走会较近 外部网络 网络 从B路由更近 主机B 主机A 外部网络 路由器 客户机 服务器 发送 SYN 接收 SYN 报文 发送 SYN/ ACK 接收 SYN+ACK 发送 ACK 接受 ACK 报文段 seq=x seq = y, ack = x+1 ack = y+1 攻击