《网络信息安全课程ppt(推荐).ppt》由会员分享,可在线阅读,更多相关《网络信息安全课程ppt(推荐).ppt(48页珍藏版)》请在课桌文档上搜索。
1、TCP/IP网络协议攻击,TCP/IP网络协议栈攻击概述,网络安全属性,网络安全CIA属性保密性(Confidentiality)完整性(Integrity)可用性(Availability)其他两个补充属性真实性(Authentication)不可抵赖性(Non-Repudiation)可审查性(Accountability),网络攻击基本模式:被动攻击-窃听 Interception,网络攻击基本模式:被动攻击 流量分析 Traffic Analysis,网络攻击基本模式:主动攻击-伪装 Masquerade,网络攻击基本模式:主动攻击-重放 Replay,网络攻击基本模式:主动攻击-篡改
2、 Modification,网络攻击基本模式:主动攻击:拒绝服务 Denial of Service,对攻击的一般处理原则,被动攻击 侧重于阻止容易阻止难于检测主动攻击 侧重于检测与恢复难于阻止容易检测,中间人攻击(MITM攻击),通信双方Alice&Bob中间人Mallory与通信双方建立起各自独立的会话连接对双方进行身份欺骗进行消息的双向转发必要前提:拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造)现实世界中的中间人攻击国际象棋欺骗术,TCP/IP网络协议栈安全缺陷与攻击技术,原始报文伪造技术及工具,原始报文伪造技术伪造出特制的网络数据报文并发送原始套接字(Raw
3、 Socket)Netwox/Netwag超过200个不同功能的网络报文生成与发送工具#netwoxnumber parameters.,Netwox工具使用演示,Netwox:命令行Netwag:窗口,TCL支持Wireshark捕获网络包工具32:伪造以太网包,网络层协议攻击,IP源地址欺骗,IP源地址欺骗伪造具有虚假源地址的IP数据包进行发送目的:隐藏攻击者身份、假冒其他计算机IP源地址欺骗原理路由转发只是用目标IP地址,不对源做验证现实世界中的平信通常情况:无法获得响应包,攻击者IP(A),服务器IP(B),其他用户IP(C),Internet,攻击者数据包的源IP为IP(C),目标I
4、P为IP(B),IP源地址欺骗假冒IP攻击,可以嗅探响应包的环境同一局域网ARP欺骗、重定向攻击劫持响应包盲攻击(blind attack)Robert T.Morris在1985年提出Kevin Mitinick在1995年仍使用通过猜测TCP三次握手中所需的信息,假冒IP建立起TCP连接,盲攻击过程,攻击者IP(A),目标服务器CIP(C),受信任的主机BIP(B),1.进行DoS攻击使B丧失工作能力,2.对ISN采样猜测,3.以IP(B)为源IP发送SYN包,5.以IP(B)为源IP再发送ACK包(猜测的ISN+1),6.正式建立连接,4.发送SYN+ACK但是B不会应答,IP源地址欺骗
5、技术的应用场景,普遍应用场景拒绝服务攻击:无需或不期望响应包,节省带宽,隐藏攻击源网络扫描(nmap-D):将真正扫描源隐藏于一些欺骗的源IP地址中假冒IP攻击场景对付基于IP地址的身份认证机制类Unix平台上的主机信任关系防火墙或服务器中配置的特定IP访问许可远程主机IP欺骗-盲攻击,较难成功,利用Netwox进行IP源地址欺骗,工具34/38,IP源地址欺骗的防范措施,使用随机化的初始序列号以避免远程的盲攻击使用网络层安全传输协议如IPsec避免泄露高层协议可供利用的信息及传输内容避免采用基于IP地址的信任策略以基于加密算法的用户身份认证机制来替代在路由器和网关上实施包检查和过滤入站过滤机
6、制(ingress filtering)出站过滤机制(egress filtering),ARP欺骗(ARP Spoofing),ARP协议工作原理将网络主机的IP地址解析成其MAC地址每台主机设备上都拥有一个ARP缓存(ARP Cache)检查自己的ARP缓存,有,直接映射,无,广播ARP请求包检查数据包中的目标IP地址是否与自己的IP地址一致,如一致,发送ARP响应,告知MAC地址源节点在收到这个ARP响应数据包后,将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中,1.ARP请求,2.保存IP(A)/MAC(A),3.ARP应答,4.保存IP(B)/MAC(B),A,
7、B,ARP欺骗攻击技术原理,ARP欺骗:发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的,A,C,B,其他机器,1.广播ARP请求B的MAC地址,2 不断发送伪造ARP应答包,映射IP(B)/MAC(C),3 保存错误的映射IP(B)/MAC(C),4 本应发送至B的数据包,5 通过同样的手段欺骗B,1广播ARP请求B的MAC地址,2 发送ARP应答,映射IP(B)/MAC(B),1 广播ARP请求B的MAC地址,2 正常机器不会响应,网关ARP欺骗,ARP欺骗技术的应用场景,利用ARP欺骗进行交换网络中的嗅探ARP欺骗构造中间人攻击,从而实施TCP会话劫持ARP
8、病毒ARP欺骗挂马,利用Netwox进行ARP欺骗,工具33,ARP欺骗攻击防范措施,静态绑定关键主机的IP地址与MAC地址映射关系网关/关键服务器arp-s IP地址MAC地址类型使用相应的ARP防范工具ARP防火墙使用VLAN虚拟子网细分网络拓扑加密传输数据以降低ARP欺骗攻击的危害后果,ICMP路由重定向攻击,ICMP路由重定向攻击伪装成路由器发送虚假的ICMP路由路径控制报文使受害主机选择攻击者指定的路由路径攻击目的:嗅探或假冒攻击技术原理路由器告知主机:“应该使用的 路由器IP地址”,ICMP路由重定向攻击技术,攻击节点冒充网关IP,向被攻击节点发送ICMP重定向报文,并将指定的新路
9、由器IP地址设置为攻击节点被攻击节点接受报文,选择攻击节点作为其新路由器(即网关)攻击节点可以开启路由转发,实施中间人攻击“谎言还是真话”?,ICMP路由重定向攻击防范,根据类型过滤一些ICMP数据包设置防火墙过滤对于ICMP重定向报文判断是不是来自本地路由器,传输层协议攻击,TCP RST攻击,中断攻击伪造TCP重置报文攻击(spoofed TCP reset packet)TCP重置报文将直接关闭掉一个TCP会话连接限制条件:通讯目标方接受TCP包通讯源IP地址及端口号一致序列号(Seq)落入TCP窗口之内嗅探监视通信双方的TCP连接,获得源、目标IP地址及端口结合IP源地址欺骗技术伪装成
10、通信一方,发送TCP重置报文给通信另一方应用场景:恶意拒绝服务攻击、重置入侵连接、GFWGFW:“net:ERR_CONNECTION_RESET”,TCP RST攻击演示,Netwox#78 toolReset every TCP packetUsage:netwox78-d device-f filter-s spoofip-iipsnetwox78-i172.*.*.188,TCP会话劫持,结合嗅探、欺骗技术中间人攻击:注射额外信息,暗中改变通信计算出正确的seqackseq即可TCP会话攻击工具Juggernaut、Hunt、TTY watcher、IP watcher,TCP会话劫持
11、攻击过程,受害者,攻击者,服务器,连接请求,ACK,监听,RST,假冒受害者发送数据包,认证成功,Hunt工具介绍,源码开放的自由软件,可运行在Linux平台上功能特点监听当前网络上的会话重置会话(reset a session)劫持会话在劫持之后,使连接继续同步确定哪些主机在线四个守护进程自动resetArp欺骗包的转发收集MAC地址具有搜索功能的sniffer,如何防止会话劫持,避免攻击者成为通信双方的中间人部署交换式网络,用交换机代替集线器禁用主机上的源路由采用静态绑定IP-MAC映射表以避免ARP欺过滤ICMP重定向报文TCP会话加密(IPsec协议)避免了攻击者在得到传输层的端口及序
12、列号等关键信息防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK风暴:ACK包的数量明显增加,TCP SYN Flood,拒绝服务攻击(DoS)破坏可用性TCP SYN FloodSYN洪泛攻击利用TCP三次握手协议的缺陷大量的伪造源地址的SYN连接请求消耗目标主机的连接队列资源不能够为正常用户提供服务,TCP SYN Flood 示意图及效果,直接攻击,欺骗式攻击,分布式攻击,利用Netwox进行TCP SYN Flood,工具76,SYN Flood攻击防范措施-SynCookie,弥补TCP连接建立过程资源分配这一缺陷无状态的三次握手服务器收到一个SYN报文后,不立即分配缓冲区利
13、用连接的信息生成一个cookie,作为SEQ客户端返回ACK中带着ACK=cookie+1服务器端核对cookie,通过则建立连接,分配资源,防火墙地址状态监控技术,有状态防火墙网络中的TCP连接进行状态监控和处理维护TCP连接状态:NEW状态、GOOD状态、BAD状态三次握手代理,UDP Flood攻击,UDP协议无状态不可靠仅仅是传输数据报UDP Flood带宽耗尽型拒绝服务攻击分布式拒绝服务攻击(DDoS)利用僵尸网络控制大量受控傀儡主机通常会结合IP源地址欺骗技术,UDP Flood攻击防范措施,禁用或过滤监控和响应服务禁用或过滤其它的UDP 服务网络关键位置使用防火墙和代理机制来过滤
14、掉一些非预期的网络流量遭遇带宽耗尽型拒绝服务攻击终端无能为力补救措施:网络扩容、转移服务器位置事件响应:汇报给安全应急响应部门、追溯和处置流量清洗解决方案:ISP为关键客户/服务所提供,TCP/IP网络协议栈攻击防范措施,监测、预防与安全加固,网络接口层主要安全威胁是网络嗅探局域网中的监听点检测网络设计上尽量细分和优化网络结构关键路径上的网关、路由器等设备的严格安全防护各类网络采用上层的加密通信协议互联层多种检测和过滤技术来发现和阻断网络中欺骗攻击增强防火墙、路由器和网关设备的安全策略(egress filtering)关键服务器使用静态绑定IP-MAC映射表、使用IPsec协议加密通讯等预防机制传输层:加密传输和安全控制机制(身份认证,访问控制)应用层:加密,用户级身份认证,数字签名技术,授权和访问控制技术以及主机安全技术如审计、入侵检测,网络安全协议,网络接口层无线:WPA/WPA2统一认证:802.1X网络互联层IPsec协议簇AH协议:完整性、认证、抗重放攻击ESP协议:机密性、数据源验证、抗重放、完整性传输层TLS/SSL:加密、可靠应用层HTTPS、S/MIME、SET,