網(wǎng)絡安全-8-攻擊課件

隱蔽與欺騙IP欺騙TCP劫持攻擊域名欺騙攻擊下載安裝欺騙登錄界面欺騙2網(wǎng)絡上的隱蔽與欺騙在網(wǎng)絡上，攻擊者最忌諱的就是留下自己的真實痕跡，因此，對有關自己的任何線索都要設法加以隱蔽，其中最基本的，就是要對自己的IP地址進行隱蔽在網(wǎng)絡上，即使沒有漏洞可利用，也可以通過一些不容易察覺的技術欺騙手段來完成一些相對復雜的攻擊IP欺騙Unix主機間可以定義一些信任關系，有了這些信任關系，就可以在一個小圈子里弱化安全策略，簡化訪問控制的手續(xù)IP欺騙攻擊就是利用了這種信任關系，采用技術欺騙手段達到攻擊的目的復習：握手過程B發(fā)送帶有SYN標志的數(shù)據(jù)包，通知A需要建立TCP連接，并將TCP報頭中的發(fā)送序列號設置成自己本次連接的初始值ISN。A回傳給B一個帶有SYN+ACK標志的數(shù)據(jù)包，告之自己的ISN，并確認B發(fā)送來的第一個數(shù)據(jù)段，將確認序列號設置成B的ISN+1。B確認收到的A的數(shù)據(jù)包，將確認序列號設置成A的ISN+1。TCP使用的序列號是一個32位的計數(shù)器，從0～4,294,967,295。SYNSYN/ACKACKBATCP報文格式BA保留URG源端口目的端口發(fā)送序號確認序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFINSYN=1=ISN(B)TCP報文格式：AB保留URG源端口目的端口發(fā)送序號確認序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFINSYN=1ACK=1=ISN(B)+1=ISN(A)TCP報文格式：BA保留URG源端口目的端口發(fā)送序號確認序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFIN=ISN(A)+1ACK=1ISN的生成和變化模式TCP為每一個連接選擇一個初始序號ISN，為了防止因為延遲、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法理解TCP如何分配ISN以及ISN隨時間變化的規(guī)律，對于IP欺騙攻擊十分重要ABCCC假設B信任C，A攻擊BA首先用拒絕服務攻擊把C打死然后，A冒充C，用rlogin向B的rlogind發(fā)起連接請求IP欺騙攻擊流程IP欺騙攻擊流程為此，A必須確定B當前的ISN首先連向25端口(選擇這一端口是因為SMTP沒有安全校驗機制)，記錄B的ISN，以及A到B的大致的RTT(RoundTripTime)這個步驟要重復多次以便求出RTT的平均值現(xiàn)在A知道了B的ISN基值和增加規(guī)律，也知道了從A到B的單程時間平均是RTT/2可以動手了，否則在這之間有其他主機與B連接，ISN將發(fā)生意外變化ACBIP欺騙攻擊流程AB發(fā)送帶有SYN標志的請求連接，但源IP地址改成了C，目的端口為513(rlogind默認端口)B向C回送SYN+ACK包C死了無法響應，C的TCP層丟棄A的回送包ACBIP欺騙攻擊流程A讓過B發(fā)送SYN+ACK的足夠時間（反正看不到）然后再次偽裝成C向B發(fā)送ACK，其中的確認序列號ISN(B)+1帶有預測性質如果預測準確，連接建立，數(shù)據(jù)傳送開始此后，由于A一直在偽裝C，所以B的回送數(shù)據(jù)都會發(fā)給已經(jīng)死了的CA的所有后續(xù)操作命令，都要在這種看不見回應的“盲連接”狀態(tài)下完成，比如發(fā)送“cat++>>~/.rhosts”這樣的命令如果預測不準確，B將發(fā)送一個帶有RST標志的TCP包終止異常連接，A只有從頭再來ACB總結概括來說，IP攻擊可以歸納為以下五點：找出B與C的信任關系封死你要冒充的主機C，以免它對你攻擊B造成干擾連接到B主機的某個端口（比如25）來猜測ISN的變化規(guī)律與B主機建立虛假連接并騙取B的信任關系其它后續(xù)手段ACB危害通過騙取信任關系，取得對主機的控制控制一旦得手，高風險的事件將會發(fā)生應對刪除所有的/etc/hosts.equiv、/.rhosts文件或修改/etc/inetd.conf文件，刪除不必要的信任關系還可以殺掉portmapper，或是設置路由器，過濾來自外部而信源地址卻是內部IP的IP包（家賊難防）TCP的ISN選擇不是隨機的，增加也不是隨機的，這使攻擊者有規(guī)律可循，可以修改與ISN相關的代碼，因此選擇好的算法，使得攻擊者難以找到規(guī)律，也是有效的防范手段（遙遠）對攻擊的評價利用信任關系，打死一個，再冒充死者控制信任它的不設防主機，顯現(xiàn)出戰(zhàn)術組合思想，值得肯定Unix+信任關系設置，這種環(huán)境越來越少，攻擊成立的前提條件不夠普遍看不見回應的“盲操作”具有一定難度對序列號的猜測不易達到很高的命中率，猜測錯誤可以作為入侵檢測的依據(jù)TCP劫持攻擊(TCPHijacking)在IP欺騙攻擊中，使用的是一個真實的IP地址，攻擊者必須留心那臺機器對攻擊造成干擾，把它打死換一下思路，我們可以首先控制一臺已經(jīng)和目標主機建立起連接的機器，模仿它的序列號但把源地址替換成一個子虛烏有的IP地址，然后無縫地切換到自己的機器上，同時繼續(xù)保持剛才的假地址和序列號，做更多的事情這種攻擊叫做“TCP劫持攻擊”或“會話劫持攻擊”取得控制觀察連接已有連接假地址替換主機切換ABCTCP劫持圖解觀察誰在和目標連接，選擇劫持對象假設確定了B在和C連接，C是目標，B是劫持對象獲取B的某種權限，控制B獲取B與C當前TCP連接的序列號從某一時刻起，將B向C發(fā)出的包的源IP地址改為預先設定的假地址，維持序列號從某一時刻起，將B主機與C的連接斷開，攻擊者利用假地址和真序列號將連接過渡到自己的機器與C之間做更多的事情……會話劫持攻擊程序JuggernautHuntTTY

WatcherIP

Watcher20危害：猝不及防假地址只是隱蔽性的問題破壞性主要是在主機切換這個環(huán)節(jié)C通常都會錯誤地以為A還是剛才的正常用戶B從而不會有什么戒備，而且此時往往是原來的正常用戶正在和服務器進行交換信息或是進行一些事件的時候，這時候用戶往往會有更大的權限能做更多的事情，從而為黑客提供了更加便利的條件防范比較困難A劫持了B后，B對于C來說和原來是沒有什么兩樣，它對A的訪問也都會被當成正當訪問處理，如果它自己換了一個IP地址也會很容易被當真，況且這種情況屬于正常操作的也不是沒有因此，可以說正常的B和被劫持的B是非常難區(qū)分的防御重點還只能是B的被控制從攻擊角度的評價TCP劫持攻擊是一種比較高級的攻擊技術，它具有相當?shù)碾[蔽性，不易被發(fā)現(xiàn)但可以造成很多機會TCP劫持攻擊的前提是對B機的控制，關鍵是保持正確序列號條件下的無縫的切換（真假IP地址和參加連接的主機），是一種綜合多種技術的、帶有一定戰(zhàn)術組合色彩的攻擊域名欺騙攻擊你是否遇到這樣的情況：本來想登錄網(wǎng)站甲，結果卻走進了網(wǎng)站乙你以為網(wǎng)站甲被黑了，其實網(wǎng)站甲的數(shù)據(jù)完好無損，只不過你接收到的數(shù)據(jù)并不來自網(wǎng)站甲而是來自網(wǎng)站乙都是域名惹的禍——在域名解析這個環(huán)節(jié)，你被欺騙了，有人向你偽造了關于這個域名的IP地址的信息比喻：問路時被人告訴了一個錯誤的地址域名欺騙的實現(xiàn)途徑通過偽造的電子郵件注冊域名修改信息通過請求重定向通過偽造DNS應答包通過控制DNS服務器……偽造注冊郵件攻擊者通過冒充原域名擁有者以E-MAIL方式注冊域名記錄,將域名轉讓到另一團體,通過修改注冊信息所指定的DNS服務器加進該域名記錄,讓原域名指向另一IP的服務器,通常那兩臺服務器都是攻擊者預先入侵控制的服務器,并不歸攻擊者所擁有域名解析請求重定向利用對某些路由器的控制權將域名解析請求重定向到私設的域名服務器，返回錯誤的解析結果發(fā)送偽造的DNS應答包局域網(wǎng)通過監(jiān)聽手段獲取DNS請求，得到ID冒充DNS，設法搶先發(fā)送偽造的DNS應答包廣域網(wǎng)在一定范圍內猜測ID，廣種薄收控制DNS服務器控制DNS服務器一些過期的Bind版本存在緩沖區(qū)溢出漏洞，可以用來控制DNS服務器通過控制DNS服務器來實施DNS欺騙30/New-227.html防范升級或加固DNS服務器保護域名注冊管理員賬號保護各級路由器注意從網(wǎng)頁上識別被黑網(wǎng)頁和被劫持域名的網(wǎng)頁被黑的網(wǎng)頁在地址欄使用的是自己的（正確的）域名被劫持域名的網(wǎng)頁在地址欄使用的是別人的（錯誤的）域名從攻擊角度的評價攻擊DNS會使網(wǎng)絡出現(xiàn)命名混亂，給被劫持域名擁有者帶來損失，也給廣大使用者帶來不便對域名服務器的控制具有一定的戰(zhàn)略意義域名欺騙技術稍加改造，即可做成域名備份系統(tǒng)，在非常時期使用下載安裝欺騙一些免費軟件在下載安裝時要求Root權限在安裝軟件的同時，也順便以root權限做了一些別的事情，比如安裝后門，替換登錄程序等這種欺騙手法為進一步控制目標系統(tǒng)做好了準備登錄界面欺騙利用一個機會（比如下載安裝欺騙），將登錄程序替換成偽裝的登錄程序從界面上看，它與正常的登錄程序沒什么兩樣，但是它做的事情卻很重要——截獲你的口令如果你信以為真，像往常一樣登錄你的用戶ID和口令，那就壞了——記錄下你的口令后，它可以執(zhí)行正常的登錄功能，也可以故意制造一次死機，當然，你的口令已經(jīng)在攻擊者掌握之中了偽裝登錄界面login:password:總結欺騙攻擊危害很大，與正常的網(wǎng)絡使用較難區(qū)分，很難提煉攻擊特征，因此不容易防范一些欺騙攻擊具有一定的戰(zhàn)術組合味道，但距離真正的協(xié)同攻擊還有一定的差距關于攻擊的進一步研究更強的隱蔽性進程、代碼、通信的隱蔽更強的協(xié)同性主機-僚機的分工等更強的欺騙性針對防火墻、IDS的閾下攻擊更強的殺傷力借助病毒傳播手段大規(guī)模放大殺傷力關于攻擊的進一步研究漏洞研究永無止境，我們還有機會停留在重復驗證水平是沒有出息的，也是沒有軍事價值的，要在學習的基礎上創(chuàng)新，拿出我們自己的殺手锏網(wǎng)絡攻擊在更大規(guī)模下的戰(zhàn)術/戰(zhàn)役協(xié)同是一個全新的課題，值得認真研究漏洞的發(fā)現(xiàn)和攻擊的構造還停留在原始手工階段，缺乏有深度的理論體系，有待時機成熟時從理論上做概括39關于攻擊的忠告不要急于表現(xiàn)自己不要過分意氣用事不要當網(wǎng)上職業(yè)殺手和以攻擊為籌碼的勒索者要做俠之大者，虛懷若谷，不斷鉆研，德藝雙馨隔離公網(wǎng)內網(wǎng)連接還是隔離，這是一個問題……隔離隔絕根據(jù)國家保密局2000年1月1日起頒布實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條的規(guī)定，“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相連接，必須實行物理隔離”44隔離的等級與狹義隔離A （不設防連接）網(wǎng)絡之間存在不受控的即時連接B （設防連接）網(wǎng)絡之間存在受控的即時連接C （邏輯隔離）網(wǎng)絡之間存在受控的延時數(shù)據(jù)交換D （物理隔離）網(wǎng)絡之間不存在任何數(shù)據(jù)交換安全域與廣義隔離安全策略上具有共性的網(wǎng)絡互聯(lián)而成的整體，叫做一個安全域不同的安全域之間，在安全策略上有所不同，需要一種技術措施來加以維持這種維持不同安全域之間不同安全策略“壓差”的技術措施，稱為廣義的“隔離”安全域劃分網(wǎng)絡1網(wǎng)絡3網(wǎng)絡4網(wǎng)絡2網(wǎng)絡5BCD等級B的安全域等級C的安全域等級D的安全域網(wǎng)絡6隔離的典型應用一般政務網(wǎng)（政務外網(wǎng)）辦公環(huán)境：邏輯隔離（C級）內部網(wǎng)獲取外部網(wǎng)的指定信息內部網(wǎng)與外部網(wǎng)交換指定信息核心涉密網(wǎng)（政務內網(wǎng)）辦公環(huán)境：物理隔離（D級）一個桌面容納兩個網(wǎng)的辦公環(huán)境，確保二者不發(fā)生數(shù)據(jù)交換雙機系統(tǒng)內網(wǎng)外網(wǎng)雙機單終端系統(tǒng)內網(wǎng)外網(wǎng)單機雙網(wǎng)系統(tǒng)內網(wǎng)外網(wǎng)單機單線系統(tǒng)X內網(wǎng)外網(wǎng)外網(wǎng)內網(wǎng)網(wǎng)閘對進出內外網(wǎng)的信息進行過濾問題和挑戰(zhàn)雙網(wǎng)/單網(wǎng)成本比：極限是多少？什么叫“受控”？外來病毒、木馬的過濾外來攻擊的過濾內部涉密信息外泄的過濾內外網(wǎng)之間的安全通信協(xié)議來自管理