收藏
下载资源

网路攻防概述

上传人:j****9 文档编号:55076195 上传时间:2018-09-24 格式:PPT 页数:36 大小:2.31MB
返回 下载 相关 举报
网路攻防概述_第1页
第1页 / 共36页
网路攻防概述_第2页
第2页 / 共36页
网路攻防概述_第3页
第3页 / 共36页
网路攻防概述_第4页
第4页 / 共36页
网路攻防概述_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《网路攻防概述》由会员分享,可在线阅读,更多相关《网路攻防概述(36页珍藏版)》请在金锄头文库上搜索。

1、第一章 網路攻防概述,大綱,1.1 網路攻防概述 1.1.1 網路竊聽 1.1.2 網路欺騙 1.1.3 中間人攻擊 1.1.4 密碼破解 1.1.5 社交工程1.2 防範網路攻擊的安全守則1.3 追求完整的端點防護,第一 章 網路攻防概述,2,1.1 網路攻防概述,本節將說明何謂網路攻擊,並介紹目前在網際網路上幾種常見的網路攻擊,並說明它們的運作原理。利用網際網路上的安全漏洞,來非法取得網路資源,或破壞網路上某些服務正常運作的行為即稱為網路攻擊。網路的安全漏洞,可分為以下幾類: 網路通訊協定本身的缺陷 網路軟體設計上的缺陷 作業系統本身的缺陷 管理不當所形成的漏洞除此之外,有些硬體產品,本身

2、也會存在一些瑕疵,而內部人員對網路資源的濫用,或是人為的洩密等,都可能會形成網路安全上的漏洞。一旦網路上出現安全漏洞,便給了入侵者可乘之機。本小節會介紹某些利用網路通訊協定本身缺陷的攻擊,如主機假冒、主機監聽等,這些攻擊行為會利用TCP、ARP (Address Resolution Protocol)這兩種協定本身的漏洞來做攻擊,因此在介紹這些攻擊行為前,會先對TCP如何建立連線,以及ARP的運作模式作基本的介紹。,第一 章 網路攻防概述,3,1.1.1 網路竊聽,第一 章 網路攻防概述,4,網路竊聽(Sniffing): 如下圖1,我們目前所使用的網路架構(Ethernet)為一共享式的,

3、因此導致有心人士可以使用某些軟硬體設備進行監聽動作,藉此收集他人的機密資料,如帳號、密碼等。此種攻擊方式只需要攻擊者將自已的網路介面卡設定為混亂模式(promiscuous mode),之後只要有封包流經,則網路卡便會將封包紀錄下來並分析該封包內容,如圖2。,圖1 網路竊聽,圖2,1.1.1 網路竊聽,竊聽可分為兩類:主動式 會送出封包,改變網路的部分狀態,以竊聽訊息。 例如ARP spoofing、DHCP spoofing。被動式 不會送出封包,只是靜靜地傾聽與蒐集流經的封包。常見的竊聽(Sniffer)軟體 TCPDUMP/windump Ethereal / Wireshark ett

4、ercap http:/) dsniff http:/www.monkey.org/dugsong/dsniff,第一 章 網路攻防概述,5,1.1.1 網路竊聽,SNIFFER分析封包的方式,第一 章 網路攻防概述,6,Packet,1.1.1 網路竊聽,正確的使用SNIFFER的方式 流量分析(Traffic Analysis ) 網路錯誤分析(Fault analysis of networks ) 入侵偵測(Intrusion detection Systems are built on sniffers) 網路效能分析與定義效能瓶頸(Performance analysis to i

5、dentify bottlenecks) 監看誰在使用、做什麼事、有沒有違反安全原則(是否有攻擊存在?),第一 章 網路攻防概述,7,1.1.1 網路竊聽,錯誤的使用SNIFFER的方式竊取網路上傳送的明文內容(Stealing clear-text content) 密碼(Passwords) 信用卡卡號(Credit card numbers) 秘密的電子通訊資料(EX: “Secret” email conversations),第一 章 網路攻防概述,8,1.1.1 網路竊聽,下圖表示使用Ethereal竊聽到FTP站的使用者帳號與密碼。,第一 章 網路攻防概述,9,使用者帳號,密碼,

6、1.1.2 網路欺騙,常見的網路欺騙方式 硬體位址假冒(ARP spoofing) TCP連線假冒(Connection spoofing) IP 假冒(IP spoofing) DNS假冒(DNS spoofing) 網路釣魚(Phishing),第一 章 網路攻防概述,10,1.1.2 網路欺騙,硬體位址假冒(ARP spoofing) 攻擊者假冒合法主機的網路卡位址(MAC address),使得被欺騙的主機將所有原本要送往合法主機的封包,都送至攻擊者主機上。要達到假冒網路卡位址的目的,通常是利用位址轉換協定ARP (Address Resolution Protocol)的弱點。,第一

7、 章 網路攻防概述,11,1.1.2 網路欺騙,硬體位址假冒(cont.)什麼是ARP (Address Resolution Protocol ) ? 當某一部主機要透過Ethernet傳送封包給另一臺主機時,若只知道對方的IP位址而不知道對方主機的MAC位址,會透過ARP發出廣播封包詢問,藉此取得對方主機的MAC位址。,12,Purpose of ARP,32-bit IP address,48-bit MAC address,ARP Request,第一 章 網路攻防概述,13,第一 章 網路攻防概述,硬體位址假冒(cont.) ARP基本操作假設Host B要傳送資料給Host C時,

8、在Host B的ARP table中有Host C的IP位址,卻沒有對方的網路硬體位址,因此透過ARP Request廣播封包設法取得對方的網路硬體位址。,1.1.2 網路欺騙,14,第一 章 網路攻防概述,硬體位址假冒(cont.) ARP基本操作 (cont.)當Host C收到這廣播詢問時,便會回覆Host B的詢問,並告知自己的硬體位址為 ”00:80:C9:0F:55:66”,因此Host B便可使用00:80:C9:0F:55:66的硬體位址將封包送給Host C。,1.1.2 網路欺騙,15,第一 章 網路攻防概述,1.1.2 網路欺騙,硬體位址假冒(cont.) 會受到ARP

9、spoof ing影響的作業系統 Windows 95/98/2000/XP/2003/2008 Windows NT Linux Netgear AIX 4.3不會受到ARP spoof ing影響的作業系統 SUN SOLARIS,1.1.2 網路欺騙,第一 章 網路攻防概述,16,TCP連線假冒(Connection spoofing) : 在介紹TCP連線假冒前,先了解TCP是如何建立連線的 當用戶端要與服務端建立一條新連線時,會先發出SYN封包要求建立連線,並且加上自己的初始資料序號(sequence number)“x”。服務端收到步驟1送出的SYN封包時,便會由等待連線的監聽狀態

10、(LISTEN)進入已收到連線要求的狀態(SYN_RECVD),此時對服務端而言稱為半連線狀態(half-open connection),意思是指服務端已經收到對方的連線要求並開始處理,此時服務端的系統便會開始記錄該連線的資訊(如用戶端的位址、使用的埠編號、連線的狀態等)並分配資源給該連線(如連線所要使用的緩衝區),之後將用戶端送來的初始資料序號加1(x+1),並設定自己的初始資料序號“y”,發出SYN+ACK封包來回應用戶端,意思是已經認可該用戶端的連線要求。當用戶端收到步驟2的回應封包時,便會將服務端送來的初始資料序號加1(y+1)回應給服務端,表示已經收到服務端的回應,當服務端收到用戶

11、端的回應時,便表示此連線已經正常建立成功了,此時服務端會進入已連線狀態(CONNECTED),可以開始與用戶端互傳資料。,TCP連線建立流程,1.1.2 網路欺騙,第一 章 網路攻防概述,17,TCP連線假冒(Connection spoofing) 這類型的假冒攻擊主要是針對用TCP作為傳輸協定的網路服務為攻擊對象。TCP協定中,連線雙方傳遞資料時彼此會檢查封包上的資料序號(Sequence number)以及確認碼(Acknowledge number),保證資料接收的順序與傳遞的順序相同。 因此當攻擊者要假冒合法使用者來欺騙提供服務的網路主機,並且與其建立一條連線時,除了要假冒該合法使用

12、者的IP位址外,還必須能將服務端的初始資料序號猜出,並且加1作為確認碼傳回給該網路主機,才能成功的建立一條假冒的TCP連線。TCP連線假冒攻擊分為兩個階段,第一階段為攻擊者偵測初始資料序號階段,第二階段為假冒TCP連線的動作。,1.1.2 網路欺騙,第一 章 網路攻防概述,18,服務主機 140.113.22.40,TCP連線假冒攻擊第一階段,第一階段輸出結果,攻擊者 140.125.32.10,TCP連線假冒(Cont.) TCP連線假冒(第一階段)在第一階段攻擊者不斷的用自己的IP位址向服務主機提出連線要求,藉此找出該服務主機在接受連線時所發出的資料初始序號的規律性。找出規律性後,攻擊者便

13、可猜測下一次服務主機在接受連線要求所回應的初始資料序號。我們由左圖所顯示的結果可以看出,該服務主機對連線要求所回應的初始資料序號,有規律性的差距,也就是說,在10次嘗試連線中,連續兩次連線所得到的初始資料序號幾乎都相差1344000,只有第六次連線所得到的差距值不同。因此攻擊者可以藉此來猜測下一次服務主機在接受連線要求時所回應的初始資料序號。,1.1.2 網路欺騙,網路攻防概述,19,TCP連線假冒(Cont.):TCP連線假冒(第二階段)經由第一階段的初始資料序號偵測所得到的結果,可以猜出服務主機下一次接受連線時,所發出的初始資料序號很可能是:最後一次偵測所得到的初始資料序號 + 13440

14、00 = 375488000 + 1344000 = 376832000因此攻擊者便可以開始進行第二階段的假冒TCP連線的動作,左圖所示為第二階段假冒TCP連線的步驟。攻擊者假冒主機A要求與服務主機連線,當服務主機收到連線要求後,便將對方傳送的初始資料序號加1作為確認碼ACK(200000002),並連同自己的初始資料序號376832000送回給主機A,由於主機A處於離線狀態,因此無法回應服務主機(攻擊者也可以用我們之後介紹的拒絕服務攻擊來強迫主機A進入離線狀態) ;而攻擊者雖然沒有收到服務主機的回應,但可以用在第一階段所偵測的結果,來猜測服務主機可能發出的初始資料序號,並加1作為確認碼傳回給

15、服務主機,也就是:確認碼 最後一次偵測所得到的初始資料序號 + 1344000 + 1 375488000 + 1344000 + 1 376832001由於服務主機所發出的初始資料序號與攻擊者猜測的一樣,因此攻擊者便可以成功的與服務主機建立一條假冒的TCP連線。若攻擊者所猜測的初始資料序號錯誤,便必須回到第一階段,重新偵測服務主機初始資料序號的規律性。,1.1.2 網路欺騙,IP 假冒(IP spoofing) 藉由假冒合法IP位址來欺騙受攻擊的主機,企圖讓受攻擊的主機無法追溯攻擊來源。 常見的此類攻擊如UDP flooding,UDP flooding是藉由發送大量且固定大小的UDP封包送

16、往受攻擊的主機,目的是將對方的網路頻寬塞暴。 使用IP spoofing的話,可以通過防火牆等防禦設備的過濾。,第一 章 網路攻防概述,20,1.1.2 網路欺騙,DNS假冒 (DNS spoofing) 當傳送網站A的網址給合法的DNS伺服器時,DNS伺服器會回傳一組對應到該網址的IP位址,好讓我們能夠正確的連上網站A。然而若是將該網址傳給惡意的DNS伺服器,該伺服器可能會回傳錯誤的IP位址,導引我們連接到一個事前偽造、乍看下像是我們要連上的網站A,實際上卻是在瀏覽網站B,且該網站B中可能放了大量的惡意連結誘使我們點擊,趁機植入木馬等惡意程式。,第一 章 網路攻防概述,21,1.1.2 網路欺騙,網路釣魚 (Phishing) 利用偽造的電子郵件與網站作為誘餌,試圖騙取使用者銀行帳戶、密碼、信用卡卡號、非公開的個人機密資料等。例如線上遊戲的玩家,時常會到特定的遊戲網站、論壇上瀏灠,有心人士看準這點,惡意抄襲遊戲網站、論壇內容並註冊一個類似的網域名稱混淆視聽,再藉由大量發送包含類似至本網站儲值,額外加送50點遊戲點數內容及偽造網站的網址的電子郵件,藉此誘導玩家至惡意網站,騙取玩家的帳號、密碼、儲值卡點數等。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 初中教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号