第5章Internet的安全分析.ppt

2.1 Internet 的安全性需求 2.1.1 Internet存在的威协 1．缺乏对用户身份的认证 2．缺乏对路由协议的认证 3．TCP／UDP的缺陷 4．对Web安全性威胁 Web服务器、Web浏览器、Web传输过程 2.1.1 Internet存在的威协 缺乏对用户身份的认证 在网络中传送的IP包，对IP地址不进行认证。 存在几种欺骗攻击方式： MAC欺骗 ARP欺骗 IP欺骗 DNS欺骗 1. MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 MAC攻击 欺骗攻击 MAC ARP IP DNS 2. ARP欺骗 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 ARP攻击 4.4 欺骗攻击 MAC ARP IP DNS 3、IP欺骗攻击 IP欺骗攻击过程 IP欺骗 用网络配置工具改变机器的IP地址 注意： 只能发送数据包 收不到回包 防火墙可能阻挡 在Linux平台上 用ifconfig IP欺骗 发送IP包，IP包头填上假冒的源IP地址 在Unix/Linux平台上，直接用socket就可以发送，但是需要root权限 在Windows平台上，不能使用Winsock 可以使用winpcap 可以用libnet构造IP包 Libnet(1) 在Unix系统平台上的网络安全工具开发中，目前最为流行的C API library有libnet、libpcap、libnids和libicmp等。它们分别从不同层次和角度提供了不同的功能函数。使网络开发人员能够忽略网络底层细节的实现，从而专注于程序本身具体功能的设计与开发。其中， libnet提供的接口函数主要实现和封装了数据包的构造和发送过程。 libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。 libnids提供的接口函数主要实现了开发网络入侵监测系统所必须的一些结构框架。 libicmp相对较为简单，它封装的是ICMP数据包的主要处理过程(构造、发送、接收等)。 Libnet(2) libnet库一共约7600行C源代码，33个源程序文件，12个C头文件，50余个自定义函数，提供的接口函数包含15种数据包生成器和两种数据包发送器(IP层和数据链路层)。目前只支持IPv4，不支持IPv6。 libnet提供的接口函数按其作用可分为四类： 内存管理(分配和释放)函数 地址解析函数 数据包构造函数 数据包发送函数 WinPcap winpcap(windows packet capture)是Win32平台下一个免费的包截获与网络分析系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能： 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报； 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉； 在网络上发送原始的数据报； 收集网络通信过程中的统计信息。 用程序实现IP欺骗代码示例 sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip-ip_src.s_addr = xxx; // 填充IP和TCP头的其他字段，并计算校验和 pseudoheader.saddr.s_addr = ip-ip_src.s_addr; tcp-check = tcpchksum((u_short *)pseudoheader, 12+sizeof(struct tcphdr)); //计算校验和 sendto(sockfd, buf, len, 0, (const sockaddr *)addr,  sizeof(struct sockaddr_in)); IP欺骗攻击 IP欺骗攻击 4.4 欺骗攻击 MAC ARP IP DNS 4. DNS欺骗攻击 与DNS相关的一些攻击案