網(wǎng)絡(luò)信息對(duì)抗第四章網(wǎng)絡(luò)協(xié)議攻擊

網(wǎng)絡(luò)信息對(duì)抗第四章網(wǎng)絡(luò)協(xié)議攻擊第一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)信息對(duì)抗第四章：TCP/IP網(wǎng)絡(luò)協(xié)議攻擊第二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三坐地日行八萬里，巡天遙看一千河。－－－毛澤東

兩岸猿聲啼不住，輕舟已過萬重山。－－－李白第三頁(yè)，共五十七頁(yè)，編輯于2023年，星期三提綱TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)層協(xié)議攻擊傳輸層協(xié)議攻擊TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施作業(yè)4－TCP/IP協(xié)議棧重點(diǎn)協(xié)議的攻擊實(shí)驗(yàn)第四頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)安全屬性網(wǎng)絡(luò)安全CIA屬性機(jī)密性(Confidentiality)完整性(Integrity)可用性(Availability)其他兩個(gè)補(bǔ)充屬性真實(shí)性(Authentication)不可抵賴性(Non-Repudiation)–可審查性(Accountability)第五頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)攻擊基本模式截獲嗅探(sniffing)監(jiān)聽(eavesdropping)中斷拒絕服務(wù)(DoSing)篡改數(shù)據(jù)包篡改(tampering)偽造欺騙(Spoofing)第六頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)攻擊基本模式第七頁(yè)，共五十七頁(yè)，編輯于2023年，星期三中間人攻擊(MITM攻擊)通信雙方Alice&Bob中間人Mallory與通信雙方建立起各自獨(dú)立的會(huì)話連接對(duì)雙方進(jìn)行身份欺騙進(jìn)行消息的雙向轉(zhuǎn)發(fā)必要前提：攔截通信雙方的全部通信(截獲)、轉(zhuǎn)發(fā)篡改消息(篡改)、雙方身份欺騙(偽造)現(xiàn)實(shí)世界中的中間人攻擊－－－婚介中心欺騙術(shù)第八頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCP/IP網(wǎng)絡(luò)協(xié)議棧安全缺陷與攻擊技術(shù)第九頁(yè)，共五十七頁(yè)，編輯于2023年，星期三原始報(bào)文偽造技術(shù)及工具原始報(bào)文偽造技術(shù)偽造出特制的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文并發(fā)送原始套接字(RawSocket)Netwox/Netwag超過200個(gè)不同功能的網(wǎng)絡(luò)報(bào)文生成與發(fā)送工具#netwoxnumber[parameters...]第十頁(yè)，共五十七頁(yè)，編輯于2023年，星期三Netwox第十一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三Netwag－Netwox圖形版第十二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三提綱TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)層協(xié)議攻擊傳輸層協(xié)議攻擊TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施作業(yè)4－TCP/IP協(xié)議棧重點(diǎn)協(xié)議的攻擊實(shí)驗(yàn)第十三頁(yè)，共五十七頁(yè)，編輯于2023年，星期三IP源地址欺騙IP源地址欺騙偽造具有虛假源地址的IP數(shù)據(jù)包進(jìn)行發(fā)送目的：隱藏攻擊者身份、假冒其他計(jì)算機(jī)IP源地址欺騙原理路由轉(zhuǎn)發(fā)只是用目標(biāo)IP地址，不對(duì)源做驗(yàn)證現(xiàn)實(shí)世界中的平信通常情況：無法獲得響應(yīng)包第十四頁(yè)，共五十七頁(yè)，編輯于2023年，星期三IP源地址欺騙第十五頁(yè)，共五十七頁(yè)，編輯于2023年，星期三IP源地址欺騙–假冒IP攻擊可以嗅探響應(yīng)包的環(huán)境同一局域網(wǎng)ARP欺騙、重定向攻擊劫持響應(yīng)包盲攻擊(blindattack)RobertT.Morris在1985年提出KevinMitinick在1995年仍使用通過猜測(cè)TCP三次握手中所需的信息，假冒IP建立起TCP連接第十六頁(yè)，共五十七頁(yè)，編輯于2023年，星期三盲攻擊過程第十七頁(yè)，共五十七頁(yè)，編輯于2023年，星期三IP源地址欺騙技術(shù)的應(yīng)用場(chǎng)景普遍應(yīng)用場(chǎng)景拒絕服務(wù)攻擊：無需或不期望響應(yīng)包，節(jié)省帶寬，隱藏攻擊源網(wǎng)絡(luò)掃描(nmap-D)：將真正掃描源隱藏于一些欺騙的源IP地址中假冒IP攻擊場(chǎng)景對(duì)付基于IP地址的身份認(rèn)證機(jī)制類Unix平臺(tái)上的主機(jī)信任關(guān)系防火墻或服務(wù)器中配置的特定IP訪問許可遠(yuǎn)程主機(jī)IP欺騙-盲攻擊，較難成功第十八頁(yè)，共五十七頁(yè)，編輯于2023年，星期三利用Netwox進(jìn)行IP源地址欺騙第十九頁(yè)，共五十七頁(yè)，編輯于2023年，星期三IP源地址欺騙的防范措施使用隨機(jī)化的初始序列號(hào)→避免遠(yuǎn)程的盲攻擊使用網(wǎng)絡(luò)層安全傳輸協(xié)議如IPsec避免泄露高層協(xié)議可供利用的信息及傳輸內(nèi)容避免采用基于IP地址的信任策略以基于加密算法的用戶身份認(rèn)證機(jī)制來替代在路由器和網(wǎng)關(guān)上實(shí)施包檢查和過濾入站過濾機(jī)制(ingressfiltering)出站過濾機(jī)制(egressfiltering)第二十頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ARP欺騙(ARPSpoofing)ARP協(xié)議工作原理將網(wǎng)絡(luò)主機(jī)的IP地址解析成其MAC地址①每臺(tái)主機(jī)設(shè)備上都擁有一個(gè)ARP緩存(ARPCache)②檢查自己的ARP緩存，有，直接映射，無，廣播ARP請(qǐng)求包③檢查數(shù)據(jù)包中的目標(biāo)IP地址是否與自己的IP地址一致，如一致，發(fā)送ARP響應(yīng)，告知MAC地址④源節(jié)點(diǎn)在收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目標(biāo)主機(jī)IP地址和MAC地址對(duì)映射表項(xiàng)添加到自己的ARP緩存中ARP欺騙：發(fā)送偽造ARP消息，對(duì)特定IP所對(duì)應(yīng)的MAC地址進(jìn)行假冒欺騙，從而達(dá)到惡意目的第二十一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ARP欺騙(ARPSpoofing)第二十二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ARP欺騙攻擊技術(shù)原理第二十三頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)關(guān)ARP欺騙第二十四頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ARP欺騙技術(shù)的應(yīng)用場(chǎng)景利用ARP欺騙進(jìn)行交換網(wǎng)絡(luò)中的嗅探ARP欺騙構(gòu)造中間人攻擊，從而實(shí)施TCP會(huì)話劫持ARP病毒ARP欺騙掛馬第二十五頁(yè)，共五十七頁(yè)，編輯于2023年，星期三利用Netwox進(jìn)行ARP欺騙第二十六頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ARP欺騙攻擊防范措施靜態(tài)綁定關(guān)鍵主機(jī)的IP地址與MAC地址映射關(guān)系網(wǎng)關(guān)/關(guān)鍵服務(wù)器"arp-sIP地址MAC地址類型"使用相應(yīng)的ARP防范工具ARP防火墻使用VLAN虛擬子網(wǎng)細(xì)分網(wǎng)絡(luò)拓?fù)浼用軅鬏敂?shù)據(jù)以降低ARP欺騙攻擊的危害后果第二十七頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ICMP路由重定向攻擊ICMP路由重定向攻擊（ICMPRedirectAttack)偽裝成路由器發(fā)送虛假的ICMP路由路徑控制報(bào)文使受害主機(jī)選擇攻擊者指定的路由路徑攻擊目的：嗅探或假冒攻擊技術(shù)原理路由器告知主機(jī)：“應(yīng)該使用的路由器IP地址”第二十八頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ICMP報(bào)文格式第二十九頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ICMP路由重定向攻擊技術(shù)攻擊節(jié)點(diǎn)冒充網(wǎng)關(guān)IP，向被攻擊節(jié)點(diǎn)發(fā)送ICMP重定向報(bào)文，并將指定的新路由器IP地址設(shè)置為攻擊節(jié)點(diǎn)被攻擊節(jié)點(diǎn)接受報(bào)文，選擇攻擊節(jié)點(diǎn)作為其新路由器(即網(wǎng)關(guān))攻擊節(jié)點(diǎn)可以開啟路由轉(zhuǎn)發(fā)，實(shí)施中間人攻擊“謊言還是真話”？第三十頁(yè)，共五十七頁(yè)，編輯于2023年，星期三利用Netwox進(jìn)行ICMP路由重定向攻擊第三十一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ICMP路由重定向攻擊第三十二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三ICMP路由重定向攻擊防范根據(jù)類型過濾一些ICMP數(shù)據(jù)包設(shè)置防火墻過濾對(duì)于ICMP重定向報(bào)文判斷是不是來自本地路由器第三十三頁(yè)，共五十七頁(yè)，編輯于2023年，星期三提綱TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)層協(xié)議攻擊傳輸層協(xié)議攻擊TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施作業(yè)4－TCP/IP協(xié)議棧重點(diǎn)協(xié)議的攻擊實(shí)驗(yàn)第三十四頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCPRST攻擊中斷攻擊偽造TCP重置報(bào)文攻擊(spoofedTCPresetpacket)TCP重置報(bào)文將直接關(guān)閉掉一個(gè)TCP會(huì)話連接限制條件：通訊目標(biāo)方接受TCP包通訊源IP地址及端口號(hào)一致序列號(hào)(Seq)落入TCP窗口之內(nèi)嗅探監(jiān)視通信雙方的TCP連接，獲得源、目標(biāo)IP地址及端口結(jié)合IP源地址欺騙技術(shù)偽裝成通信一方，發(fā)送TCP重置報(bào)文給通信另一方應(yīng)用場(chǎng)景：惡意拒絕服務(wù)攻擊、重置入侵連接、GFWGFW:“net::ERR_CONNECTION_RESET”第三十五頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCPRST攻擊演示第三十六頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCPRST攻擊第三十七頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCP會(huì)話劫持結(jié)合嗅探、欺騙技術(shù)中間人攻擊：注射額外信息，暗中改變通信計(jì)算出正確的seqackseq即可TCP會(huì)話攻擊工具Juggernaut、Hunt、TTYwatcher、IPwatcher第三十八頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCP會(huì)話劫持攻擊過程第三十九頁(yè)，共五十七頁(yè)，編輯于2023年，星期三如何防止會(huì)話劫持避免攻擊者成為通信雙方的中間人部署交換式網(wǎng)絡(luò)，用交換機(jī)代替集線器禁用主機(jī)上的源路由采用靜態(tài)綁定IP-MAC映射表以避免ARP欺過濾ICMP重定向報(bào)文TCP會(huì)話加密(IPsec協(xié)議)避免了攻擊者在得到傳輸層的端口及序列號(hào)等關(guān)鍵信息防火墻配置限制盡可能少量的外部許可連接的IP地址檢測(cè)ACK風(fēng)暴：ACK包的數(shù)量明顯增加第四十頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCPSYNFlood拒絕服務(wù)攻擊(DoS)破壞可用性TCPSYNFloodSYN洪泛攻擊利用TCP三次握手協(xié)議的缺陷大量的偽造源地址的SYN連接請(qǐng)求消耗目標(biāo)主機(jī)的連接隊(duì)列資源不能夠?yàn)檎Ｓ脩籼峁┓?wù)第四十一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三TCPSYNFlood第四十二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三利用Netwox進(jìn)行TCPSYNFlood攻擊第四十三頁(yè)，共五十七頁(yè)，編輯于2023年，星期三SYNFlood攻擊防范措施-SynCookie彌補(bǔ)TCP連接建立過程資源分配這一缺陷“無狀態(tài)的三次握手”服務(wù)器收到一個(gè)SYN報(bào)文后,不立即分配緩沖區(qū)利用連接的信息生成一個(gè)cookie,作為SEQ客戶端返回ACK中帶著ACK=cookie+1服務(wù)器端核對(duì)cookie,通過則建立連接，分配資源第四十四頁(yè)，共五十七頁(yè)，編輯于2023年，星期三SYNFlood攻擊防范措施第四十五頁(yè)，共五十七頁(yè)，編輯于2023年，星期三防火墻地址狀態(tài)監(jiān)控技術(shù)有狀態(tài)防火墻網(wǎng)絡(luò)中的TCP連接進(jìn)行狀態(tài)監(jiān)控和處理維護(hù)TCP連接狀態(tài)：NEW狀態(tài)、GOOD狀態(tài)、BAD狀態(tài)…“三次握手”代理第四十六頁(yè)，共五十七頁(yè)，編輯于2023年，星期三防火墻地址狀態(tài)監(jiān)控技術(shù)第四十七頁(yè)，共五十七頁(yè)，編輯于2023年，星期三UDPFlood攻擊UDP協(xié)議無狀態(tài)不可靠?jī)H僅是傳輸數(shù)據(jù)報(bào)UDPFlood帶寬耗盡型拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊(DDoS)利用僵尸網(wǎng)絡(luò)控制大量受控傀儡主機(jī)通常會(huì)結(jié)合IP源地址欺騙技術(shù)第四十八頁(yè)，共五十七頁(yè)，編輯于2023年，星期三UDPFlood攻擊防范措施禁用或過濾監(jiān)控和響應(yīng)服務(wù)禁用或過濾其它的UDP服務(wù)網(wǎng)絡(luò)關(guān)鍵位置使用防火墻和代理機(jī)制來過濾掉一些非預(yù)期的網(wǎng)絡(luò)流量遭遇帶寬耗盡型拒絕服務(wù)攻擊終端無能為力補(bǔ)救措施：網(wǎng)絡(luò)擴(kuò)容、轉(zhuǎn)移服務(wù)器位置事件響應(yīng)：匯報(bào)給安全應(yīng)急響應(yīng)部門、追溯和處置流量清洗解決方案：ISP為關(guān)鍵客戶/服務(wù)所提供第四十九頁(yè)，共五十七頁(yè)，編輯于2023年，星期三提綱TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)層協(xié)議攻擊傳輸層協(xié)議攻擊TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施作業(yè)4－TCP/IP協(xié)議棧重點(diǎn)協(xié)議的攻擊實(shí)驗(yàn)第五十頁(yè)，共五十七頁(yè)，編輯于2023年，星期三監(jiān)測(cè)、預(yù)防與安全加固網(wǎng)絡(luò)接口層–主要安全威脅是網(wǎng)絡(luò)嗅探局域網(wǎng)中的監(jiān)聽點(diǎn)檢測(cè)網(wǎng)絡(luò)設(shè)計(jì)上盡量細(xì)分和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)關(guān)鍵路徑上的網(wǎng)關(guān)、路由器等設(shè)備的嚴(yán)格安全防護(hù)各類網(wǎng)絡(luò)采用上層的加密通信協(xié)議互聯(lián)層多種檢測(cè)和過濾技術(shù)來發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)中欺騙攻擊增強(qiáng)防火墻、路由器和網(wǎng)關(guān)設(shè)備的安全策略(egressfiltering)關(guān)鍵服務(wù)器使用靜態(tài)綁定IP-MAC映射表、使用IPsec協(xié)議加密通訊等預(yù)防機(jī)制第五十一頁(yè)，共五十七頁(yè)，編輯于2023年，星期三監(jiān)測(cè)、預(yù)防與安全加固傳輸層加密傳輸和安全控制機(jī)制(身份認(rèn)證，訪問控制)應(yīng)用層加密，用戶級(jí)身份認(rèn)證，數(shù)字簽名技術(shù)，授權(quán)和訪問控制技術(shù)以及主機(jī)安全技術(shù)如審計(jì)、入侵檢測(cè)第五十二頁(yè)，共五十七頁(yè)，編輯于2023年，星期三網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)接口層無線：WPA/WPA2統(tǒng)一認(rèn)證：802.1X網(wǎng)絡(luò)互聯(lián)層IPsec協(xié)議簇AH協(xié)議：完整性、認(rèn)證、抗重放攻擊ESP