《网络信息安全课程ppt(推荐).ppt》由会员分享,可在线阅读,更多相关《网络信息安全课程ppt(推荐).ppt(48页珍藏版)》请在优知文库上搜索。
1、TCP/IP网络协议攻击TCP/IP网络协议栈攻击概述网络安全属性 网络安全CIA属性 保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 其他两个补充属性 真实性(Authentication) 不可抵赖性(Non-Repudiation) 可审查性(Accountability) 中间人攻击(MITM攻击) 通信双方 Alice & Bob 中间人 Mallory 与通信双方建立起各自独立的会话连接 对双方进行身份欺骗 进行消息的双向转发 必要前提:拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造) 现实世界中
2、的中间人攻击国际象棋欺骗术TCP/IP网络协议栈安全缺陷与攻击技术原始报文伪造技术及工具 原始报文伪造技术 伪造出特制的网络数据报文并发送 原始套接字(Raw Socket) Netwox/Netwag 超过200个不同功能的网络报文生成与发送工具 #netwoxnumber parameters . Netwox工具使用演示 Netwox: 命令行 Netwag: 窗口, TCL支持 Wireshark捕获网络包 工具32:伪造以太网包网络层协议攻击IP源地址欺骗 IP源地址欺骗 伪造具有虚假源地址的IP数据包进行发送 目的:隐藏攻击者身份、假冒其他计算机 IP源地址欺骗原理 路由转发只是用
3、目标IP地址,不对源做验证 现实世界中的平信 通常情况:无法获得响应包攻击者IP(A)服务器IP(B)其他用户IP(C)Internet攻击者数据包的源IP为IP(C),目标IP为IP(B)IP源地址欺骗假冒IP攻击 可以嗅探响应包的环境 同一局域网 ARP欺骗、重定向攻击劫持响应包 盲攻击(blind attack) Robert T. Morris在1985年提出 Kevin Mitinick在1995年仍使用 通过猜测TCP三次握手中所需的信息,假冒IP建立起TCP连接盲攻击过程攻击者IP(A)目标服务器CIP(C)受信任的主机BIP(B)1.进行DoS攻击使B丧失工作能力2.对ISN采
4、样猜测3.以IP(B)为源IP发送SYN包5.以IP(B)为源IP再发送ACK包(猜测的ISN+1)6.正式建立连接4.发送SYN+ACK但是B不会应答IP源地址欺骗技术的应用场景 普遍应用场景 拒绝服务攻击:无需或不期望响应包,节省带宽,隐藏攻击源 网络扫描(nmap -D):将真正扫描源隐藏于一些欺骗的源IP地址中 假冒IP攻击场景 对付基于IP地址的身份认证机制 类Unix平台上的主机信任关系 防火墙或服务器中配置的特定IP访问许可 远程主机IP欺骗-盲攻击,较难成功利用Netwox进行IP源地址欺骗 工具34/38IP源地址欺骗的防范措施 使用随机化的初始序列号以避免远程的盲攻击 使用
5、网络层安全传输协议如IPsec 避免泄露高层协议可供利用的信息及传输内容 避免采用基于IP地址的信任策略 以基于加密算法的用户身份认证机制来替代 在路由器和网关上实施包检查和过滤 入站过滤机制(ingress filtering) 出站过滤机制(egress filtering)ARP欺骗(ARP Spoofing) ARP协议工作原理 将网络主机的IP地址解析成其MAC地址 每台主机设备上都拥有一个ARP缓存(ARP Cache) 检查自己的ARP缓存,有,直接映射,无,广播ARP请求包 检查数据包中的目标IP地址是否与自己的IP地址一致,如一致,发送ARP响应,告知MAC地址 源节点在收到
6、这个ARP响应数据包后,将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中1.ARP请求2.保存IP(A)/MAC(A)3.ARP应答4.保存IP(B)/MAC(B)ABARP欺骗攻击技术原理 ARP欺骗:发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的ACB其他机器1. 广播ARP请求B的MAC地址2 不断发送伪造ARP应答包,映射IP(B)/MAC(C)3 保存错误的映射IP(B)/MAC(C)4 本应发送至B的数据包5 通过同样的手段欺骗B1广播ARP请求B的MAC地址2 发送ARP应答,映射IP(B)/MAC(B)1 广播ARP请求B的
7、MAC地址2 正常机器不会响应网关ARP欺骗ARP欺骗技术的应用场景 利用ARP欺骗进行交换网络中的嗅探 ARP欺骗构造中间人攻击,从而实施TCP会话劫持 ARP病毒 ARP欺骗挂马利用Netwox进行ARP欺骗 工具33ARP欺骗攻击防范措施 静态绑定关键主机的IP地址与MAC地址映射关系 网关/关键服务器 arp-s IP地址MAC地址类型 使用相应的ARP防范工具 ARP防火墙 使用VLAN虚拟子网细分网络拓扑 加密传输数据以降低ARP欺骗攻击的危害后果ICMP路由重定向攻击 ICMP路由重定向攻击 伪装成路由器发送虚假的ICMP路由路径控制报文 使受害主机选择攻击者指定的路由路径 攻击
8、目的:嗅探或假冒攻击 技术原理 路由器告知主机: “应该使用的 路由器IP地址”ICMP路由重定向攻击技术 攻击节点冒充网关IP,向被攻击节点发送ICMP重定向报文,并将指定的新路由器IP地址设置为攻击节点 被攻击节点接受报文,选择攻击节点作为其新路由器(即网关) 攻击节点可以开启路由转发,实施中间人攻击 “谎言还是真话”?ICMP路由重定向攻击防范 根据类型过滤一些ICMP数据包 设置防火墙过滤 对于ICMP重定向报文判断是不是来自本地路由器传输层协议攻击TCP RST攻击 中断攻击 伪造TCP重置报文攻击(spoofed TCP reset packet) TCP重置报文将直接关闭掉一个T
9、CP会话连接 限制条件:通讯目标方接受TCP包 通讯源IP地址及端口号一致 序列号(Seq)落入TCP窗口之内 嗅探监视通信双方的TCP连接,获得源、目标IP地址及端口 结合IP源地址欺骗技术伪装成通信一方,发送TCP重置报文给通信另一方 应用场景:恶意拒绝服务攻击、重置入侵连接、GFW GFW: “net:ERR_CONNECTION_RESET”TCP RST攻击演示 Netwox#78 tool Reset every TCP packet Usage: netwox78 -d device -f filter -s spoofip -iips netwox78-i172.*.*.188
10、TCP会话劫持 结合嗅探、欺骗技术 中间人攻击:注射额外信息,暗中改变通信 计算出正确的seqackseq即可 TCP会话攻击工具 Juggernaut、Hunt、TTY watcher、IP watcherTCP会话劫持攻击过程受害者 攻击者服务器连接请求ACK监听 RST假冒受害者发送数据包认证成功 Hunt工具介绍 源码开放的自由软件,可运行在Linux平台上 功能特点 监听当前网络上的会话 重置会话(reset a session) 劫持会话 在劫持之后,使连接继续同步 确定哪些主机在线 四个守护进程 自动reset Arp欺骗包的转发 收集MAC地址 具有搜索功能的sniffer如何
11、防止会话劫持 避免攻击者成为通信双方的中间人 部署交换式网络,用交换机代替集线器 禁用主机上的源路由 采用静态绑定IP-MAC映射表以避免ARP欺 过滤ICMP重定向报文 TCP会话加密(IPsec协议) 避免了攻击者在得到传输层的端口及序列号等关键信息 防火墙配置 限制尽可能少量的外部许可连接的IP地址 检测 ACK风暴:ACK包的数量明显增加TCP SYN Flood 拒绝服务攻击(DoS) 破坏可用性 TCP SYN Flood SYN洪泛攻击 利用TCP三次握手协议的缺陷 大量的伪造源地址的SYN连接请求 消耗目标主机的连接队列资源 不能够为正常用户提供服务TCP SYN Flood
12、示意图及效果直接攻击欺骗式攻击分布式攻击利用Netwox进行TCP SYN Flood 工具76SYN Flood攻击防范措施-SynCookie 弥补TCP连接建立过程资源分配这一缺陷 无状态的三次握手 服务器收到一个SYN报文后,不立即分配缓冲区 利用连接的信息生成一个cookie, 作为SEQ 客户端返回ACK中带着ACK = cookie+1 服务器端核对cookie, 通过则建立连接,分配资源防火墙地址状态监控技术 有状态防火墙 网络中的TCP连接进行状态监控和处理 维护TCP连接状态:NEW状态、GOOD状态、BAD状态 三次握手代理UDP Flood攻击 UDP协议 无状态不可靠
13、 仅仅是传输数据报 UDP Flood 带宽耗尽型拒绝服务攻击 分布式拒绝服务攻击(DDoS) 利用僵尸网络控制大量受控傀儡主机 通常会结合IP源地址欺骗技术UDP Flood攻击防范措施 禁用或过滤监控和响应服务 禁用或过滤其它的UDP 服务 网络关键位置使用防火墙和代理机制来过滤掉一些非预期的网络流量 遭遇带宽耗尽型拒绝服务攻击 终端无能为力 补救措施:网络扩容、转移服务器位置 事件响应:汇报给安全应急响应部门、追溯和处置 流量清洗解决方案:ISP为关键客户/服务所提供TCP/IP网络协议栈攻击防范措施监测、预防与安全加固网络接口层主要安全威胁是网络嗅探 局域网中的监听点检测 网络设计上尽
14、量细分和优化网络结构 关键路径上的网关、路由器等设备的严格安全防护 各类网络采用上层的加密通信协议互联层 多种检测和过滤技术来发现和阻断网络中欺骗攻击 增强防火墙、路由器和网关设备的安全策略(egress filtering) 关键服务器使用静态绑定IP-MAC映射表、使用IPsec协议加密通讯等预防机制传输层:加密传输和安全控制机制(身份认证,访问控制)应用层:加密,用户级身份认证,数字签名技术,授权和访问控制技术以及主机安全技术如审计、入侵检测网络安全协议 网络接口层 无线:WPA/WPA2 统一认证:802.1X 网络互联层 IPsec协议簇 AH协议:完整性、认证、抗重放攻击 ESP协议:机密性、数据源验证、抗重放、完整性 传输层 TLS/SSL: 加密、可靠 应用层 HTTPS、S/MIME、SET