网络安全—典型网络攻击手段.PPTVIP

Dsniff/-dugsong/dsniff由DugSong编写，是个工具集，可在LAN中以多种灵活的方式截取信息。用洪泛对付交换机用ARP欺骗信息对付交换机能够分析大量应用程序的数据包发送假的DNS信息对HTTPS和SSH进行嗅探ARP欺骗过程发送假的DNS信息进行流量转向。Dsniff包含一个叫dnsspoof的程序，可让攻击者发送假的DNS回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。Dsniff对HTTPS和SSH进行嗅探Dsniff利用SSL和SSH对证书以及公钥的信任，如果Web服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。Dsniff工具集中用于攻击HTTPS和SSH的工具名是：webmitm和sshmitm。Dsniff对HTTPS和SSH进行嗅探嗅探的防御

将传输的数据进行加密。使用交换机。防止ARP欺骗对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的MAC地址来配置此端口，以防止MAC地址洪泛和arpspoof。在极端重要的网络，如DMZ，在每台终端机器上使用静态ARP表，对LAN上的所有系统进行MAC地址的硬编码。网络攻击手段准备阶段传输过程中的窃听IP地址欺骗会话劫持拒绝服务攻击维护访问权后门和木马IP地址欺骗（1）IP地址欺骗通过改变或伪装系统的IP地址进行攻击。可帮助攻击者对那些使用IP地址来当作验证方式和过滤方法的应用程序进行破坏。简单欺骗型攻击者很容易改变其IP地址，使用一种工具来产生具有所需IP地址的数据包。典型工具Nmap和dsniff都是利用后一种方法来产生欺骗性数据包的。如果攻击者想不让人知道数据包洪泛或DOS攻击的数据包来向，简单欺骗是个不错的选择。但有很大的限制。假冒攻击存在的问题例：EVE是攻击者，ALICE是被假装者，BOB是目标受害者。过程:EVE与BOB打开一个连接，假冒A发送3次握手的第一个数据包TCPSYN（A，ISNa）；然后是3端握手第二步，BOB发送ACK（A，ISNa）SYN（B，ISNb）给ALICE当ALICE收到此数据包时，因为它本身并没进行3次握手第一步，所以它将发送RESET信息，断开连接，从而使EVE不能假装成ALICE和BOB交互，EVE也就无从截获数据流量。如果EVE和BOB是在同一个LAN上，简单攻击能够以交互方式进行，因为EVE可以从LAN上面截获BOB发出给ALICE的回应信息，并利用ARP欺骗来防止ALICE的RESET信息将连接终止。破坏UNIX的r命令型所谓“UNIX信任”是指当一个UNIX系统信任另一个时，用户可以登录到被信任主机，使用r-命令（如rlogin、rsh、rcp）对信任主机进行访问时无需提供密码。IP地址欺骗（2）3个终端都使用UNIX系统，而ALICE被BOB系统信任。这样，攻击者只要在欺骗攻击中成功使用了ALICE的地址，他就能在BOB系统上执行命令而无需提供密码。具体步骤：EVE打开到BOB的TCP连接，不断的发送TCPSYN数据包可以帮助EVE猜测出BOB的SYN-ACK中的初始序列号随时间变化的规律，从而猜测出在第5)步中将会使用的初始序列号，当然如果猜错，将前功尽EVE对ALICE发动拒绝服务攻击，使ALICE在一段时间内变哑，不能发送RESET数据包，于是欺骗性的TCP连接不会断掉了。EVE使用ALICE的地址同BOB建立连接（极可能使用rsh这类命令），完成3次握手第一步。BOB回应数据包给ALICE由于ALICE受到拒绝服务攻击，不能发送RESET数据包。EVE向BOB发送ACK里面的ISNb（直到猜对）是猜的，而且还是使用ALICE的IP地址来进行欺骗。BOB认为ALICE与他建立了一个TCP连接，并使用了r-命令。EVE可以假装成ALICE发送命令给BOB，BOB将执行这些命令。BOB的所有回应都将被发送给ALICE，因此，EVE真正并没有同BOB建立交互连接。EVE只是发送命令，BOB将执行命令并发送回应给ALICE（仍然哑着），这就建立了一个单向的命令发送管道，EVE可以重新配置BOB以获得完全的交互访问权。比如EVE可以将其IP地址加进/etc/hosts.equiv文件，使得BOB信任EVE，这样，以后就可以直接使用r-命令登录BOB，而不用使用欺骗手段了。