网络信息安全课程.ppt

TCP RST攻击 中断攻击 伪造TCP重置报文攻击(spoofed TCP reset packet) TCP重置报文将直接关闭掉一个TCP会话连接 限制条件：通讯目标方接受TCP包 通讯源IP地址及端口号一致 序列号(Seq)落入TCP窗口之内 嗅探监视通信双方的TCP连接，获得源、目标IP地址及端口 结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方 应用场景：恶意拒绝服务攻击、重置入侵连接、GFW GFW: “net::ERR_CONNECTION_RESET” TCP RST攻击演示 Netwox#78 tool Reset every TCP packet Usage: netwox78 [-d device] [-f filter] [-s spoofip] [-iips] netwox78-i"172.*.*.188" TCP会话劫持 结合嗅探、欺骗技术 中间人攻击：注射额外信息，暗中改变通信 计算出正确的seqackseq即可 TCP会话攻击工具 Juggernaut、Hunt、TTY watcher、IP watcher TCP会话劫持攻击过程 受害者 攻击者 服务器 连接请求 ACK 监听 RST 假冒受害者发送数据包 认证成功 Hunt工具介绍 源码开放的自由软件，可运行在Linux平台上 功能特点 监听当前网络上的会话 重置会话(reset a session) 劫持会话 在劫持之后，使连接继续同步 确定哪些主机在线 四个守护进程 自动reset Arp欺骗包的转发 收集MAC地址 具有搜索功能的sniffer 如何防止会话劫持 避免攻击者成为通信双方的中间人 部署交换式网络，用交换机代替集线器 禁用主机上的源路由 采用静态绑定IP-MAC映射表以避免ARP欺 过滤ICMP重定向报文 TCP会话加密(IPsec协议) 避免了攻击者在得到传输层的端口及序列号等关键信息 防火墙配置 限制尽可能少量的外部许可连接的IP地址 检测 ACK风暴：ACK包的数量明显增加 TCP SYN Flood 拒绝服务攻击(DoS) 破坏可用性 TCP SYN Flood SYN洪泛攻击 利用TCP三次握手协议的缺陷 大量的伪造源地址的SYN连接请求 消耗目标主机的连接队列资源 不能够为正常用户提供服务 TCP SYN Flood 示意图及效果 直接攻击 欺骗式攻击 分布式攻击 TCP/IP网络协议攻击 TCP/IP网络协议栈攻击概述 网络安全属性 网络安全CIA属性 保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 其他两个补充属性 真实性(Authentication) 不可抵赖性(Non-Repudiation) –可审查性(Accountability) 网络攻击基本模式：被动攻击 - 窃听 Interception 网络攻击基本模式：被动攻击 – 流量分析 Traffic Analysis 网络攻击基本模式：主动攻击-伪装 Masquerade 网络攻击基本模式：主动攻击- 重放 Replay 网络攻击基本模式：主动攻击- 篡改 Modification 网络攻击基本模式：主动攻击: 拒绝服务 Denial of Service 对攻击的一般处理原则 被动攻击 – 侧重于阻止 容易阻止 难于检测 主动攻击 – 侧重于检测与恢复 难于阻止 容易检测 中间人攻击(MITM攻击) 通信双方 Alice & Bob 中间人 Mallory 与通信双方建立起各自独立的会话连接 对双方进行身份欺骗 进行消息的双向转发 必要前提：拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造) 现实世界中的中间人攻击–国际象棋欺骗术 TCP/IP网络协议栈安全缺陷与攻击技术 原始报文伪造技术及工具 原始报文伪造技术 伪造出特制的网络数据报文并发送 原始套接字(Raw Socket) Netwox/Netwag 超过200个不同功能的网络报文生成与发送工具 #netwoxnumber [parameters ... ] Netwox工具使用演示 Netwox: 命令行 Netwag: 窗口, TCL支持 Wireshark捕获网络包 工具32：伪造以太网包 网络层协议攻击 IP源地址欺骗 IP源地址欺骗 伪造具有虚假源地址的IP数据包进行发送 目的：隐藏攻击者身份、假冒其他计算机 IP源地址欺骗原理 路由转发只是用目标IP地址，不对源做验证 现实世界中的平信 通常情况：无法获得响应包 攻击者IP(A) 服务器IP(B) 其他用户IP(C) Internet 攻击者数据包的源IP为IP(C)，目标IP为IP(B) IP源