《网络信息对抗第四章TCPIP网络协议攻击》由会员分享,可在线阅读,更多相关《网络信息对抗第四章TCPIP网络协议攻击(57页珍藏版)》请在金锄头文库上搜索。
1、网络信息对抗主讲人:张 瑜 Email: QQ:344248003网络信息对抗第四章:TCP/IP网络协议攻击o坐地日行八万里, 巡天遥看一千河 。 o 毛泽东 o两岸猿声啼不住,轻舟已过万重山。 o 李 白提纲o TCP/IP网络协议栈攻击概述 o 网络层协议攻击 o 传输层协议攻击 o TCP/IP网络协议栈攻击防范措施 o 作业4TCP/IP协议栈重点协议的攻击实 验网络安全属性o 网络安全CIA属性 n 机密性(Confidentiality) n 完整性(Integrity) n 可用性(Availability) o 其他两个补充属性 n 真实性(Authentication) n
2、 不可抵赖性(Non-Repudiation) 可审查性 (Accountability)网络攻击基本模式o 截获 n 嗅探(sniffing) n 监听(eavesdropping) o 中断 n 拒绝服务(DoSing) o 篡改 n 数据包篡改(tampering) o 伪造 n 欺骗(Spoofing)网络攻击基本模式中间人攻击(MITM攻击)o 通信双方 nAlice & Bob o 中间人 nMallory n与通信双方建立起各自独立的会话连接 n对双方进行身份欺骗 n进行消息的双向转发 n必要前提:拦截通信双方的全部通信(截获)、转发篡改 消息(篡改)、双方身份欺骗(伪造) n现
3、实世界中的中间人攻击婚介中心欺骗术TCP/IP网络协议栈安全缺陷与攻击技术原始报文伪造技术及工具o 原始报文伪造技术 n 伪造出特制的网络数据报文并发送 n 原始套接字(Raw Socket) o Netwox/Netwag n 超过200个不同功能的网络报文生成与发送工具 n #netwoxnumber parameters . NetwoxNetwagNetwox图形版提纲o TCP/IP网络协议栈攻击概述 o 网络层协议攻击 o 传输层协议攻击 o TCP/IP网络协议栈攻击防范措施 o 作业4TCP/IP协议栈重点协议的攻击实 验IP源地址欺骗o IP源地址欺骗 n 伪造具有虚假源地址
4、的IP数据包进行发送 n 目的:隐藏攻击者身份、假冒其他计算机 o IP源地址欺骗原理 n 路由转发只是用目标IP地址,不对源做验证 n 现实世界中的平信 n 通常情况:无法获得响应包IP源地址欺骗IP源地址欺骗假冒IP攻击o 可以嗅探响应包的环境 n 同一局域网 n ARP欺骗、重定向攻击劫持响应包 o 盲攻击(blind attack) n Robert T. Morris在1985年提出 n Kevin Mitinick在1995年仍使用 n 通过猜测TCP三次握手中所需的信息,假冒IP 建立起TCP连接盲攻击过程IP源地址欺骗技术的应用场景o 普遍应用场景 n 拒绝服务攻击:无需或不期
5、望响应包,节省带 宽,隐藏攻击源 n 网络扫描(nmap-D):将真正扫描源隐藏于一 些欺骗的源IP地址中 o 假冒IP攻击场景 n 对付基于IP地址的身份认证机制 o 类Unix平台上的主机信任关系 o 防火墙或服务器中配置的特定IP访问许可 n 远程主机IP欺骗-盲攻击,较难成功利用Netwox进行IP源地址欺骗IP源地址欺骗的防范措施o 使用随机化的初始序列号避免远程的盲攻 击 o 使用网络层安全传输协议如IPsec n 避免泄露高层协议可供利用的信息及传输内容 o 避免采用基于IP地址的信任策略 n 以基于加密算法的用户身份认证机制来替代 o 在路由器和网关上实施包检查和过滤 n 入站
6、过滤机制(ingress filtering) n 出站过滤机制(egress filtering)ARP欺骗(ARP Spoofing)o ARP协议工作原理 n将网络主机的IP地址解析成其MAC地址 o 每台主机设备上都拥有一个ARP缓存(ARP Cache) o 检查自己的ARP缓存,有,直接映射,无,广播 ARP请求包 o 检查数据包中的目标IP地址是否与自己的IP地址一 致,如一致,发送ARP响应,告知MAC地址 o 源节点在收到这个ARP响应数据包后,将得到的目标 主机IP地址和MAC地址对映射表项添加到自己的ARP 缓存中 o ARP欺骗:发送伪造ARP消息,对特定IP所对应 的
7、MAC地址进行假冒欺骗,从而达到恶意目的ARP欺骗(ARP Spoofing)ARP欺骗攻击技术原理网关ARP欺骗ARP欺骗技术的应用场景o 利用ARP欺骗进行交换网络中的嗅探 o ARP欺骗构造中间人攻击,从而实施TCP 会话劫持 o ARP病毒 o ARP欺骗挂马利用Netwox进行ARP欺骗ARP欺骗攻击防范措施o 静态绑定关键主机的IP地址与MAC地址映 射关系 n 网关/关键服务器 n “arp-s IP地址MAC地址类型“ o 使用相应的ARP防范工具 n ARP防火墙 o 使用VLAN虚拟子网细分网络拓扑 o 加密传输数据以降低ARP欺骗攻击的危害 后果ICMP路由重定向攻击o
8、ICMP路由重定向攻击(ICMP Redirect Attack) n 伪装成路由器发送虚假的ICMP路由路径控制 报文 n 使受害主机选择攻击者指定的路由路径 n 攻击目的:嗅探或假冒攻击 o 技术原理 n 路由器告知主机:“应该使用的路由器IP地址”ICMP报文格式ICMP路由重定向攻击技术o 攻击节点冒充网关IP,向被攻击节点发送 ICMP重定向报文,并将指定的新路由器IP 地址设置为攻击节点 o 被攻击节点接受报文,选择攻击节点作为其 新路由器(即网关) o 攻击节点可以开启路由转发,实施中间人攻 击 o “谎言还是真话”?利用Netwox进行ICMP路由重定向攻击ICMP路由重定向攻
9、击ICMP路由重定向攻击防范o 根据类型过滤一些ICMP数据包 o 设置防火墙过滤 o 对于ICMP重定向报文判断是不是来自本地 路由器提纲o TCP/IP网络协议栈攻击概述 o 网络层协议攻击 o 传输层协议攻击 o TCP/IP网络协议栈攻击防范措施 o 作业4TCP/IP协议栈重点协议的攻击实 验TCP RST攻击o中断攻击 o伪造TCP重置报文攻击(spoofed TCP reset packet) nTCP重置报文将直接关闭掉一个TCP会话连接 n限制条件:通讯目标方接受TCP包 o通讯源IP地址及端口号一致 o序列号(Seq)落入TCP窗口之内 n嗅探监视通信双方的TCP连接,获得
10、源、目标IP地址及端口 n结合IP源地址欺骗技术伪装成通信一方,发送TCP重置报文 给通信另一方 o应用场景:恶意拒绝服务攻击、重置入侵连接、GFW nGFW: “net:ERR_CONNECTION_RESET”TCP RST攻击演示TCP RST攻击TCP会话劫持o 结合嗅探、欺骗技术 o 中间人攻击:注射额外信息,暗中改变通信 o 计算出正确的seqackseq即可 o TCP会话攻击工具 n Juggernaut、Hunt、TTY watcher、IP watcherTCP会话劫持攻击过程如何防止会话劫持o 避免攻击者成为通信双方的中间人 n部署交换式网络,用交换机代替集线器 n禁用主
11、机上的源路由 n采用静态绑定IP-MAC映射表以避免ARP欺 n过滤ICMP重定向报文 o TCP会话加密(IPsec协议) n避免了攻击者在得到传输层的端口及序列号等关键信息 o 防火墙配置 n限制尽可能少量的外部许可连接的IP地址 o 检测 nACK风暴:ACK包的数量明显增加TCP SYN Floodo 拒绝服务攻击(DoS)n 破坏可用性 o TCP SYN Flood n SYN洪泛攻击 n 利用TCP三次握手协议的缺陷 n 大量的伪造源地址的SYN连接请求 n 消耗目标主机的连接队列资源 n 不能够为正常用户提供服务TCP SYN Flood利用Netwox进行TCP SYN Fl
12、ood攻击SYN Flood攻击防范措施-SynCookieo 弥补TCP连接建立过程资源分配这一缺陷 o “无状态的三次握手” n 服务器收到一个SYN报文后,不立即分配缓冲区 n 利用连接的信息生成一个cookie, 作为SEQ n 客户端返回ACK中带着ACK = cookie+1 n 服务器端核对cookie, 通过则建立连接,分配 资源SYN Flood攻击防范措施防火墙地址状态监控技术o 有状态防火墙 n 网络中的TCP连接进行状态监控和处理 n 维护TCP连接状态:NEW状态、GOOD状态 、BAD状态 n “三次握手”代理防火墙地址状态监控技术UDP Flood攻击o UDP协
13、议n 无状态不可靠 n 仅仅是传输数据报 o UDP Floodn 带宽耗尽型拒绝服务攻击 n 分布式拒绝服务攻击(DDoS) n 利用僵尸网络控制大量受控傀儡主机 n 通常会结合IP源地址欺骗技术UDP Flood攻击防范措施o 禁用或过滤监控和响应服务 o 禁用或过滤其它的UDP 服务 o 网络关键位置使用防火墙和代理机制来过滤掉一些 非预期的网络流量 o 遭遇带宽耗尽型拒绝服务攻击 n终端无能为力 n补救措施:网络扩容、转移服务器位置 n事件响应:汇报给安全应急响应部门、追溯和处置 n流量清洗解决方案:ISP为关键客户/服务所提供提纲o TCP/IP网络协议栈攻击概述 o 网络层协议攻击
14、 o 传输层协议攻击 o TCP/IP网络协议栈攻击防范措施 o 作业4TCP/IP协议栈重点协议的攻击实 验监测、预防与安全加固o 网络接口层主要安全威胁是网络嗅探 n局域网中的监听点检测 n网络设计上尽量细分和优化网络结构 n关键路径上的网关、路由器等设备的严格安全防护 n各类网络采用上层的加密通信协议 o 互联层 n多种检测和过滤技术来发现和阻断网络中欺骗攻击 n增强防火墙、路由器和网关设备的安全策略(egress filtering) n关键服务器使用静态绑定IP-MAC映射表、使用IPsec 协议加密通讯等预防机制监测、预防与安全加固o 传输层 n 加密传输和安全控制机制(身份认证,
15、访问控制 ) o 应用层 n 加密,用户级身份认证,数字签名技术,授权 和访问控制技术以及主机安全技术如审计、入 侵检测网络安全协议o 网络接口层 n无线:WPA/WPA2 n统一认证:802.1X o 网络互联层 nIPsec协议簇 nAH协议:完整性、认证、抗重放攻击 nESP协议:机密性、数据源验证、抗重放、完整性 o 传输层 nTLS/SSL: 加密、可靠 o 应用层 nHTTPS、S/MIME、SET网络安全协议下一代因特网协议o下一代因特网协议 nIPv6为代表 nICMPv6、DHCPv6 n没有了ARP oIPv6优势 nIPv6具有更大的地址空间:主动扫描和主动传播受到抑制
16、nIPv6使用更小的路由表 nIPv6增加了增强的组播(Multicast)支持以及对流的支持 (Flow Control) 提升QoS nIPv6加入了对自动配置(Auto Configuration)的支持 nIPv6具有更高的安全性:网络层的数据进行加密,提纲o TCP/IP网络协议栈攻击概述 o 网络层协议攻击 o 传输层协议攻击 o TCP/IP网络协议栈攻击防范措施 o 作业4TCP/IP协议栈重点协议的攻击实 验作业:TCP/IP协议栈重点协议的攻击实验o 网络层攻击 n ARP缓存欺骗 n ICMP重定向攻击 o 传输层攻击 n SYN flood攻击 n TCP RST攻击 n TCP会话劫持 o 提交详细实验报告 o deadline: 4月18日
