HCSCA101 HCNA-Security-CBSN 第一章 网络安全概述.ppt

针对交换机的Mac地址学习机制，攻击者通过伪造的源Mac地址数据包发送给交换机，造成交换机学习到了错误的Mac地址与端口的映射关系，导致交换机要发送到正确目的地的数据包被发送到了攻击者的主机上，攻击者主机通过安装相关的嗅探软件，可获得相关的信息以实现进一步的攻击。 通过在交换机上配置静态条目，绑定到正确的出接口，就能避免Mac欺骗攻击风险。 * 交换机比集线器的安全性更高的原因是交换机中的通信只在对应的端口之间，其它端口不能获取到该通信信息，降低了报文被侦听的风险。为了突破交换机的这种安全特性，结合交换机的工作特性，产生了Mac泛洪攻击，Mac泛洪攻击的直接后果一是交换机的转发性能大幅下降，二是交换机转发类似于集线器了，数据包在VLAN内的所有端口间泛洪。 Mac泛洪攻击一利用了交换机的Mac学习机制，攻击者通过发送伪造源地址的数据包，让交换机学习到错误的Mac转发表项，同时交换机的Mac表项是有一定数目限制的，通过发送大量的这种虚假信息包，交换机的Mac转发表项就会被这种虚假的信息占满，导致正常的数据包转发时匹配不到转发表项而泛洪到VLAN内的所有其它端口，这样就可以实现报文侦听了。 通过配置静态条目或者限制每端口的Mac地址学习数目来降低Mac泛洪攻击的风险。 * 前面讲到MAC泛洪，使用这个方法会为网络带来大量垃圾数据报文，对于监听者来说也不是什么好事，很容易被发现，而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断。所以现在攻击者都偏向于使用地址解析协议ARP进行的欺骗性攻击。 ARP实现机制只考虑业务的正常交互，对非正常业务交互或恶意行为不做任何验证。比如当主机收到ARP响应包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表。 在网络监听过程中，攻击者抢先合法主机B应答主机A发起的ARP请求；主机A被误导建立一个错误的映射并保存一段时间，在这段时间内，主机A发送给主机B的信息被误导致攻击者。如果攻击者持续抢先应答ARP请求，数据流就可能被一直误导下去。如果攻击者模拟网络出口路由器发动ARP攻击，内部网络的所有出口信息都将被接管。如果攻击者将出口路由器IP和一个不存在的MAC地址进行映射，即可以导致发送方受到拒绝服务的攻击。 ARP欺骗不仅仅可以通过ARP请求来实现，通过ARP响应也可以实现。 * IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间将充许以IP地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。信任主机之间无需输入口令验证就可以直接登录。 IP欺骗攻击的整个步骤： 首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰； 然后连接到目标机的某个端口来猜测序列号和增加规律； 接下来把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接； 然后等待目标机发送SYN+ACK包给已经瘫痪的主机； 最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的序列号+1； 连接建立，发送命令请求。 * Smurf攻击方法是发ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。 高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。 针对Smurf攻击，在路由设备上配置检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址，如果是，则直接拒绝。 * * IP地址扫描往往不是攻击者最终目的。攻击者通过IP地址扫描操作，获取目标网络的拓扑结构和存活的系统，为实施下一步攻击做准备。 * TCP欺骗大多数发生在TCP连接建立的过程中，利用主机之间某种网络服务的信任关系建立虚假的TCP连接，可能模拟受害者从服务器端获取信息。具体过程与IP欺骗类似。 例如：A信任B，C是攻击者，想模拟B和A之间建立连接。 C先破坏掉B，例如使用floogin, redirect, crashing等 C用B的地址作为源地址给A发送TCP SYN报文 A回应TCP SYN/ACK报文，从A发给B，携带序列码S C收不到该序列码S，但为了完成握手必须用S+1作为序列码进行应答，这时C可以通过以下两种方法得到序列码S： C 监听SYN/ACK报文，根据得到的值进行计算 C 根据A操作系统的特性等，进行猜测 C使用得到的序列码S回应A，握手完成，虚假连接建立… SYN FLOODING攻击特点： 攻击者用带有SYN标志位的数据片断启动握手