网络信息安全法.pptVIP

TCP/IP网络协议攻击 TCP/IP网络协议栈攻击概述 网络安全属性 网络安全CIA属性 保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 其他两个补充属性 真实性(Authentication) 不可抵赖性(Non-Repudiation) –可审查性(Accountability) 网络攻击基本模式：被动攻击 - 窃听 Interception 网络攻击基本模式：被动攻击 – 流量分析 Traffic Analysis 网络攻击基本模式：主动攻击-伪装 Masquerade 网络攻击基本模式：主动攻击- 重放 Replay 网络攻击基本模式：主动攻击- 篡改 Modification 网络攻击基本模式：主动攻击: 拒绝服务 Denial of Service 对攻击的一般处理原则 被动攻击 – 侧重于阻止 容易阻止 难于检测 主动攻击 – 侧重于检测与恢复 难于阻止 容易检测 中间人攻击(MITM攻击) 通信双方 Alice Bob 中间人 Mallory 与通信双方建立起各自独立的会话连接 对双方进行身份欺骗 进行消息的双向转发 必要前提：拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造) 现实世界中的中间人攻击–国际象棋欺骗术 TCP/IP网络协议栈安全缺陷与攻击技术 原始报文伪造技术及工具 原始报文伪造技术 伪造出特制的网络数据报文并发送 原始套接字(Raw Socket) Netwox/Netwag 超过200个不同功能的网络报文生成与发送工具 #netwoxnumber [parameters ... ] Netwox工具使用演示 Netwox: 命令行 Netwag: 窗口, TCL支持 Wireshark捕获网络包 工具32：伪造以太网包 网络层协议攻击 IP源地址欺骗 IP源地址欺骗 伪造具有虚假源地址的IP数据包进行发送 目的：隐藏攻击者身份、假冒其他计算机 IP源地址欺骗原理 路由转发只是用目标IP地址，不对源做验证 现实世界中的平信 通常情况：无法获得响应包 攻击者IP(A) 服务器IP(B) 其他用户IP(C) Internet 攻击者数据包的源IP为IP(C)，目标IP为IP(B) IP源地址欺骗–假冒IP攻击 可以嗅探响应包的环境 同一局域网 ARP欺骗、重定向攻击劫持响应包 盲攻击(blind attack) Robert T. Morris在1985年提出 Kevin Mitinick在1995年仍使用 通过猜测TCP三次握手中所需的信息，假冒IP建立起TCP连接 盲攻击过程 攻击者IP(A) 目标服务器CIP(C) 受信任的主机BIP(B) 1.进行DoS攻击 使B丧失工作能力 2.对ISN采样猜测 3.以IP(B)为源IP发送SYN包 5.以IP(B)为源IP再发送ACK包(猜测的ISN+1) 6.正式建立连接 4.发送SYN+ACK 但是B不会应答 IP源地址欺骗技术的应用场景 普遍应用场景 拒绝服务攻击：无需或不期望响应包，节省带宽，隐藏攻击源 网络扫描(nmap -D)：将真正扫描源隐藏于一些欺骗的源IP地址中 假冒IP攻击场景 对付基于IP地址的身份认证机制 类Unix平台上的主机信任关系 防火墙或服务器中配置的特定IP访问许可 远程主机IP欺骗-盲攻击，较难成功 利用Netwox进行IP源地址欺骗 工具34/38 IP源地址欺骗的防范措施 使用随机化的初始序列号以避免远程的盲攻击 使用网络层安全传输协议如IPsec 避免泄露高层协议可供利用的信息及传输内容 避免采用基于IP地址的信任策略 以基于加密算法的用户身份认证机制来替代 在路由器和网关上实施包检查和过滤 入站过滤机制(ingress filtering) 出站过滤机制(egress filtering) ARP欺骗(ARP Spoofing) ARP协议工作原理 将网络主机的IP地址解析成其MAC地址 ①每台主机设备上都拥有一个ARP缓存(ARP Cache) ②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包 ③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址 ④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中 1.ARP请求 2.保存 IP(A)/MAC(A) 3.ARP应答 4.保存 IP(B)/MAC(B) A B ARP欺骗攻击技术原理 ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的 A C B 其他机器 1. 广播ARP请求B的MAC地址 2 不断发送伪造AR