网络信息安全法概述(PPT 48页).ppt

IP源地址欺骗 IP源地址欺骗 伪造具有虚假源地址的IP数据包进行发送 目的：隐藏攻击者身份、假冒其他计算机 IP源地址欺骗原理 路由转发只是用目标IP地址，不对源做验证 现实世界中的平信 通常情况：无法获得响应包 攻击者IP(A) 服务器IP(B) 其他用户IP(C) Internet 攻击者数据包的源IP为IP(C)，目标IP为IP(B) * IP源地址欺骗–假冒IP攻击 可以嗅探响应包的环境 同一局域网 ARP欺骗、重定向攻击劫持响应包 盲攻击(blind attack) Robert T. Morris在1985年提出 Kevin Mitinick在1995年仍使用 通过猜测TCP三次握手中所需的信息，假冒IP建立起TCP连接 * 盲攻击过程 攻击者IP(A) 目标服务器CIP(C) 受信任的主机BIP(B) 1.进行DoS攻击 使B丧失工作能力 2.对ISN采样猜测 3.以IP(B)为源IP发送SYN包 5.以IP(B)为源IP再发送ACK包(猜测的ISN+1) 6.正式建立连接 4.发送SYN+ACK 但是B不会应答 * IP源地址欺骗技术的应用场景 普遍应用场景 拒绝服务攻击：无需或不期望响应包，节省带宽，隐藏攻击源 网络扫描(nmap -D)：将真正扫描源隐藏于一些欺骗的源IP地址中 假冒IP攻击场景 对付基于IP地址的身份认证机制 类Unix平台上的主机信任关系 防火墙或服务器中配置的特定IP访问许可 远程主机IP欺骗-盲攻击，较难成功 * 利用Netwox进行IP源地址欺骗 工具34/38 * IP源地址欺骗的防范措施 使用随机化的初始序列号以避免远程的盲攻击 使用网络层安全传输协议如IPsec 避免泄露高层协议可供利用的信息及传输内容 避免采用基于IP地址的信任策略 以基于加密算法的用户身份认证机制来替代 在路由器和网关上实施包检查和过滤 入站过滤机制(ingress filtering) 出站过滤机制(egress filtering) * ARP欺骗(ARP Spoofing) ARP协议工作原理 将网络主机的IP地址解析成其MAC地址 ①每台主机设备上都拥有一个ARP缓存(ARP Cache) ②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包 ③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址 ④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中 1.ARP请求 2.保存 IP(A)/MAC(A) 3.ARP应答 4.保存 IP(B)/MAC(B) A B * ARP欺骗攻击技术原理 ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的 A C B 其他机器 1. 广播ARP请求B的MAC地址 2 不断发送伪造ARP应答包，映射IP(B)/MAC(C) 3 保存错误的映射IP(B)/MAC(C) 4 本应发送至B的数据包 5 通过同样的手段欺骗B 1广播ARP请求B的MAC地址 2 发送ARP应答，映射IP(B)/MAC(B) 1 广播ARP请求B的MAC地址 2 正常机器不会响应 * 网关ARP欺骗 * ARP欺骗技术的应用场景 利用ARP欺骗进行交换网络中的嗅探 ARP欺骗构造中间人攻击，从而实施TCP会话劫持 ARP病毒 ARP欺骗挂马 * 利用Netwox进行ARP欺骗 工具33 * ARP欺骗攻击防范措施 静态绑定关键主机的IP地址与MAC地址映射关系 网关/关键服务器 arp-s IP地址MAC地址类型 使用相应的ARP防范工具 ARP防火墙 使用VLAN虚拟子网细分网络拓扑 加密传输数据以降低ARP欺骗攻击的危害后果 * ICMP路由重定向攻击 ICMP路由重定向攻击 伪装成路由器发送虚假的ICMP路由路径控制报文 使受害主机选择攻击者指定的路由路径 攻击目的：嗅探或假冒攻击 技术原理 路由器告知主机： “应该使用的 路由器IP地址” * ICMP路由重定向攻击技术 攻击节点冒充网关IP，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点 被攻击节点接受报文，选择攻击节点作为其新路由器(即网关) 攻击节点可以开启路由转发，实施中间人攻击 “谎言还是真话”？ * ICMP路由重定向攻击防范 根据类型过滤一些ICMP数据包 设置防火墙过滤 对于ICMP重定向报文判断是不是来自本地路由器 * 传输层协议攻击 * TCP RST攻击 中断攻击 伪造TCP重置报文攻击(spoofed TCP reset packet) TCP重置报文将直接关闭掉一个TCP会话连接 限制条件：通讯目标方接受TCP包 通讯源IP地址及