电子商务技术与安全全书教学课件电子教案.ppt

* UDP FLOOD攻击实例 UDP Flooder是一种采用UDP风暴攻击方式的DoS软件，它可以向特定的IP地址和端口发送UDP包，如下图所示。 * UDP FLOOD攻击实例（续） 在被攻击计算机上用系统监视器对UDP监视可以看出UDP包数量的突然增加，如图5-36。 * 5-3-6欺骗攻击 在网络上，计算机之间进行相互交流是建立在认证和信任的前提下。欺骗攻击就是通过伪造源于可信任地址的数据包以使一台机器相信和认证另一台机器的复杂技术。 常见的欺骗攻击方式有：IP欺骗、ARP欺骗、DNS欺骗等。 * 内容 IP欺骗 DNS欺骗 * IP欺骗 在TCP/IP网络上的每一个数据包都包含着源系统和目标系统的IP地址。 IP欺骗就是通过伪造其他系统的IP地址，使得攻击者能够获得未被授权访问的信息。 IP欺骗是利用了主机间的信任关系发动的。 * IP欺骗原理 在UNIX主机中，存在着基于IP地址的信任关系。 例如主机A和B之间的信任关系是基于IP地址而建立起来的，那么加入能够冒充主机B的IP，就可以使用Rlogin登录到主机A，而不需要任何密码验证。这就是IP欺骗的最根本的理论依据。 * IP欺骗攻击过程 攻击者使被信任主机的网络功能暂时瘫痪，以免对攻击造成干扰。 攻击者连接到目标主机的某个端口来猜测ISN基值和增加规律。 攻击者发送带有SYN标志的数据段给目标主机请求建立连接，该数据段的源IP地址被伪装成被信任主机的IP。 * IP欺骗攻击过程（续） 攻击者等待目标主机发送SYN+ACK包给已经瘫痪的被信任主机。 攻击者伪装成被信任的主机向目标主机发送ACK，此时发送的数据段带有预测的目标机的ISN+1。 连接建立，发送命令请求。 * IP欺骗攻击实例 IP欺骗是一种复合型网络攻击技术，主要技术包括IP地址伪造技术、TCP SYN洪流攻击技术与TCP序列号猜测等技术。下面我们通过一个真实实例来分析一个完整的攻击过程。 IP欺骗的创始人凯文·米特尼客成功地使用IP欺骗技术攻破了SanDiego计算机中心。 * IP欺骗攻击实例（续） 整个过程卷入三台主机：　　 Server:一台运行Solaris的Sparc工作站 x-terminal：被一台运行Solaris的无盘工作站 target：攻击的主要目标 * IP欺骗攻击实例（续） 是他事先攻破的系统，用来做跳板。他在上运行了以下命令： #finger Cl @target #finger Cl @server #finger Cl root@server #finger Cl @x-terminal #shownoumt Ce x-terminal #rpcinfo Cp x-terminal #finger Cl root@x-terminal * IP欺骗攻击实例（续） 大约在六分钟之后，tcpdump检测到TCP SYN包从猛烈的涌向Server的513（rlogin）端口，即使用SYN Flood拒绝服务攻击server，以使他失去工作能力。这也就是前面提到的第一步。因为513端口是以root权限运行的，所以现在server.login可以被用来作为进行IP欺骗的伪造源了。攻击方IP7 也是一个伪造的IP，这样它才不会接收到server的回应包。Tcpdump记录如下： * IP欺骗攻击实例（续） 14:18:22:516699 7.600 server.login: S 1382726960:1382726960(0) win 4096 14:18:22:5660697.600 server.login: S 1382726961:1382726961(0) win4096 14:18:22:744477 7.600 server.login: S 1382726962:1382726962(0) win 4096 14:18:22:830111 7.600 server.login: S 1382726963:1382726963(0) win 4096 14:18:22:886128 7.600 server.login: S 1382726964:1382726964(0) win 4096 …… * IP欺骗攻击实例（续） 在连接序列被塞满之前，Server对前八个SYN请求做出了SYN+ACK回应，一旦没有ACK包回应它，server将周期性地重发SYN+ACK包。 接下来我们看到20个从发向x-terminal.shell的连接请求，其目的是预测 server的TCP序列号生成器的行为。从每个连接的初始序号的增量可以看出SYN