从实践中学习网络防护与反入侵.docVIP

从实践中学习

网络防护与反入侵

目录TOC\h

\h第1篇基础知识

\h第1章网络欺骗与防御概述

\h第2篇中间人攻击及防御

\h第2章ARP攻击与欺骗及防御

\h第3章DHCP攻击及防御

\h第4章DNS攻击及防御

\h第5章LLMNR/NetBIOS攻击及防御

\h第6章WiFi攻击及防御

\h第3篇服务伪造

\h第7章伪造更新服务

\h第8章伪造网站服务

\h第9章伪造服务认证

\h第4篇数据利用

\h第10章数据嗅探

\h第11章数据篡改

第1篇

基础知识

第1章

网络欺骗与防御概述

网络欺骗是利用各种技术手段，将目标网络数据发送给错误的接收方。网络欺骗不仅可以导致用户数据被窃取和篡改，也会导致接收方受到流量攻击。本章将对网络欺骗与防御进行概述。

1.1什么是网络欺骗

在日常生活中，常见的网络欺骗技术可以分为两种，分别是中间人攻击和服务伪造。本节将分别介绍这两种网络欺骗方式。

1.1.1中间人攻击

中间人攻击（ManInTheMiddleattack，MITM攻击）是一种“间接”的入侵攻击。这种攻击模式通过各种技术手段（如SMB会话劫持、ARP欺骗、DNS欺骗等），将受到入侵者控制的一台计算机虚拟地放置在网络连接中的两台通信计算机之间，使其充当“中间人”角色，负责转发双方的数据。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，进行数据嗅探和篡改，而不让通信双方发现的攻击，如图1.1所示。

图1.1中间人攻击示意

随着计算机通信技术的不断发展，MITM攻击也越来越多样化。最初，攻击者只要将网卡设为混杂模式，伪装成代理服务器监听特定的流量就可以实现攻击。这是因为很多通信协议都是以明文进行传输的，如HTTP、FTP和Telnet等。后来，随着交换机代替集线器，简单的嗅探攻击已经不能成功，必须先进行ARP欺骗才行。如今，随着越来越多的服务商（网上银行、邮箱）开始采用加密通信，SSL（SecureSocketLayer，安全套接层）成为一种广泛使用的技术，而且HTTPS和FTPS等都是建立在其基础上的。这时，中间人攻击又开始引入证书剥离、伪造根证书等技术。

1.1.2服务伪造

服务伪造就是伪造一个虚假的服务器，代替真实服务器做出响应，进而获取用户的登录认证等重要信息。例如，通过伪造一个HTTP认证服务，可以获取用户认证信息。当成功伪造一个HTTP认证服务后，即可通过中间人攻击技术将目标主机诱骗到攻击主机的伪HTTP认证服务。若目标主机登录伪HTTP认证服务，其登录认证信息将被攻击主机捕获。

1.2中间人攻击的种类

中间人攻击是一种由来已久的网络入侵手段，在当今仍然有着广泛的发展空间。在网络安全方面，中间人攻击的使用很广泛，曾经猖獗一时的SMB会话劫持和DNS欺骗等技术都是典型的中间人攻击手段。目前，ARP欺骗和DNS欺骗是最典型的中间人攻击方式。本节将对中间人攻击的种类进行详细介绍。

1.2.1ARP攻击

ARP是一种基于网络层的网络协议。它负责将IP地址转化为MAC地址，帮助把以IP地址标识的数据包发送给以MAC地址标识的网络设备。而ARP攻击通过伪造IP地址和MAC地址的对应关系来实现。这种攻击能够在网络中产生大量的ARP通信，导致网络阻塞。攻击者只要持续不断地发出伪造的ARP应答包，就能更改目标主机ARP缓存中的IP-MAC条目，从而造成ARP欺骗，形成中间人攻击。

1.2.2DHCP攻击

DHCP是一种应用层网络协议，它能帮助网络服务器为网络内的其他主机分配IP地址。其他主机使用获取的IP地址进行数据发送。DHCP攻击针对的目标是网络中的DHCP服务器。它的原理是耗尽网络内原有DHCP服务器的IP地址资源，使其无法正常提供IP地址，然后网络中假冒的DHCP服务器开始为客户端分发IP地址。由于在分配IP地址的时候会附加伪造的网关和DNS服务器地址，所以会造成断网攻击，或者实现中间人攻击。

1.2.3DNS攻击

DNS是一种应用层的网络协议，它负责将域名解析为对应的IP地址。用户在访问网站的时候，通常需要通过DNS服务器获取网站所对应的IP地址，才能请求到对应的网页。而DNS攻击是将域名解析到错误的IP地址，从而导致用户无法访问网页或者访问错误的网页。

1.2.4WiFi攻击

WiFi是现在常见的联网方式。WiFi攻击是通过创建伪AP，以实现中间人攻击。首先，攻击者需要探测出目标的SSID、工作频道和MAC等相关信息，并且获取其无线连接的密码；然后，利用创建伪AP软件（如Aribase-ng）创建一个与真实AP相同配置的伪AP，并通过大功率网卡诱骗用户设备