《基本安全知识原理》由会员分享,可在线阅读,更多相关《基本安全知识原理(25页珍藏版)》请在金锄头文库上搜索。
1、基本安全知识原理基本安全知识原理邓玉辉邓玉辉暨南大学,信息学院计算机系1网络窃听 SnifferSniffer技术可以让内部局域网的入侵者快速技术可以让内部局域网的入侵者快速探测内部网上的主机并获得控制权,通过分探测内部网上的主机并获得控制权,通过分析以太网的数据帧获得有用的信息,比如网析以太网的数据帧获得有用的信息,比如网络服务器上的用户名和密码等。络服务器上的用户名和密码等。n由于以太网数据帧通常不加密,且采取CSMA/CD访问方式,所以LAN上的任何一台计算机都一个毫无保留地获得在同一个物理网段上流动的数据。n一般网卡都带一个E2PROM存储器来存放MAC地址。n网卡接收包有几种方式:接
2、收指定MAC地址的包、广播包、组播包、所有的包等。通常网卡驱动程序设置的是接收指定MAC地址的包和广播包。n工作过程:工作过程:n网卡驱动程序读E2PROM得到MAC,再把这MAC告诉网卡的MAC寄存器,网卡上的固件程序通过MAC寄存器得到MAC地址。因此,如果要修改MAC地址,只要更改驱动程序把你想要的MAC告诉MAC寄存器,就可以了。n当网卡收到传输来的数据,网卡上的固件程序先接收数据头的目的MAC地址,根据计网卡的接收模式判断是否接收。如果不接收,就将该数据丢掉不管。如果接收,就产生中断信号通知CPU。CPU得到中断信号,操作系统就调用驱动程序接收数据。比如,进行DMA操作。网卡工作原理
3、HUB与SwitchnHUB:HUB连接的内部网络是基于总线方式。当一台机器发送数据包给另一个机器,共享HUB先收该数据包,然后通过广播方式将该数据包发送到每一个口。那么,理论上,在共享HUB下面同一网段的所有机器的网卡都能接收到该数据包。nSwitch:交换机的内部固件程序能记住每个网络接口的MAC地址。进来的数据包直接发送到正确的MAC地址的那个网络接口,而不是象共享HUB那样发给所有的口。所以,交换HUB下只有接收该数据包的机器的网卡能接收到数据。当然广播包还是发往所有口。SniffernHUB:只要将网卡设置为混在模式,在共享HUB下就能接收到这个网段的所有包.n交换机:交换机:要在交
4、换机下接收别人的包,那就要让其将数据包发往你的机器所在口。交换机通过接收到来至某个口的数据后记住其源MAC,然后维护一个网络端口和MAC地址的列表。那么,如果你发一个包设置源MAC是你想监听的机器的MAC,那么交换机就把你机器的网线插的那个物理口与你想监听的机器的MAC对应起来了,以后发给那个MAC的包就发往你的网线插口了。由于这个对应的列表是动态刷新的,你想监听的那台机器发包后,交换机就又将该MAC地址和那台机器的网线所连接的接口对应起来了,所以实际上是两台机器在竞争。防范网络窃听n使用交换机分段n加密n使用反监听软件可以监控网段上所有网卡的工作状态,并报告处于PROMISC状态的网卡。2完
5、整性破坏 完整性破坏指的是在公共网络上传输的数据存在着被篡改的完整性破坏指的是在公共网络上传输的数据存在着被篡改的可能。比如电子邮件。可能。比如电子邮件。 保护完整性的唯一方法就是使用散列(保护完整性的唯一方法就是使用散列(HashHash)函数算法。函数算法。 散列函数生成的信息摘要具有不可逆性,任何人都不能将其散列函数生成的信息摘要具有不可逆性,任何人都不能将其还原成原始数据。不同数据生成的散列值重复的概率与散列还原成原始数据。不同数据生成的散列值重复的概率与散列函数的设计有关。目前用的比较多的一种散列算法可以生成函数的设计有关。目前用的比较多的一种散列算法可以生成160160位的信息摘要
6、。这样的算法导致任何对信息的微小修改位的信息摘要。这样的算法导致任何对信息的微小修改都使得信息的摘要不同都使得信息的摘要不同。地址欺骗 地址欺骗技术的简单原理就是伪造一个被主机信任的地址欺骗技术的简单原理就是伪造一个被主机信任的IPIP地址,地址,从而获得主机的信任而造成攻击。从而获得主机的信任而造成攻击。n直接攻击被目标计算机所信任的主机,使得被信任的主机丧失工作能力。有多种方法做到这一点,例如发送一个SYN洪水包,使得被信任的主机死机,然后黑客把自己的主机地址换成被信任的主机的地址与目标主机建立连接,从而窃取数据。ARP协议n在每台装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的I
7、P地址与MAC地址是一一对应的.n当主机A(192.168.1.5)向主机B(192.168.1.1)发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果有,也就知道了主机B的MAC地址.然后直接把B的MAC地址写入帧里发送就可以了.n如果ARP缓存表里面没有B的IP地址,主机A会在网络上发送一个目标MAC地址是“ff-ff-ff-ff-ff-ff”的ARP请求广播来寻找192.168.1.1的MAC地址。网络上的其他主机并不回应这一询问,只有主机B接受到这个帧时才向A作出回应:192.168.1.1的MAC地址是什么。这样,主机A就知道了主机B的MAC地址,就可以向主机B发
8、送信息了。同时,它还更新了自己的ARP缓存表,下次再向B发送数据时,直接在ARP缓存表找就可以了。nARP缓存表采用老化的机制,在一段时间里表中的某一行没有使用,就会被删除,这样可以减少ARP缓存表的长度,加快查询的速度。ARP欺骗n对路由器对路由器ARP表的欺骗:表的欺骗:n首先截获网关数据,然后通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。n对内网对内网PC的的网关欺网关欺骗:骗:建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
9、PC会错误地认为网络断掉了。应对ARP欺骗策略n使用使用Sniffer抓包:抓包:n在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP请求广播包,那么这台电脑一般就是病毒源。n原理:原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。n使用使用arp-a命
10、令命令n任选两台不能上网的主机,运行arp-a命令。如果两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。n原理:原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。n使用使用tracert命令命令n在任意一台受影响的主机
11、上,在DOS命令窗口下运行如下命令:tracert61.135.179.148(任意的一个外部IP地址)。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。n原理:原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。拒绝服务攻击 拒绝服务攻击(拒绝服务攻击(DenyofServiceDenyofService,即,即DOSDOS)通通常是以消耗服务器端资源为目标,通过伪造超常是以消耗服务器端资
12、源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,实阻塞,从而使正常的用户请求得不到应答,实现攻击目的。现攻击目的。分布式拒绝服务攻击分布式拒绝服务攻击n拒绝服务攻击方式的高级形式是分布式拒绝服务攻击(DDOS)。攻击者要控制成百上千的被入侵主机,主要包括以下几个步骤:n(1)探测扫描大量主机以寻找可入侵主机目标n(2)入侵有安全漏洞的主机并获取控制权n(3)在每台主机中安装攻击程序n(4)利用已入侵主机继续进行扫描和入侵SYN洪水攻击n当机器A和机器B尝试建立TCP连接时,机器A和机器B会交换一系列报文。
13、n首先是机器A发送一个SYN报文给机器B,然后机器B发送一个SYN-ACK包以回应机器A,接着,机器A就返回一个ACK包来实现一次完整的TCP连接。n问题:问题:在机器B返回SYN-ACK包时,它可能不会接到机器A回应的ACK包(也称为半开放式连接)。那么,机器B需要耗费一定的数量的系统内存来等待这个未决的连接,直到等待ACK返回包超时,最后连接终止。n攻击者可以通过创建很多的半开放式连接来发动SYN洪水攻击,但攻击者根本不会回应这个SYN-ACK报文。被攻击者也永远不会接到ACK报文。随着半开放连接数量的增加,将最终耗用被攻击者所有的系统资源,其将不能再接收任何其他的请求。n攻击系统的位置也
14、很难确认,因为SYN包中的源地址多数都是虚假的。SYNcookienSYNcookie就是用一个cookie来响应TCPSYN请求的TCP实现。n当机器B接收到一个SYN数据包,它返回一个SYN-ACK包来应答,然后进入TCP-SYN-RECV(半开放连接)状态来等待机器A最后返回的ACK包。此时,机器B用一个有限大小的数据空间来描述所有未决的连接,所以攻击者将塞满这个空间。n在TCPSYNCOOKIE的执行过程中,当机器B接收到一个SYN包的时候,他返回一个SYN-ACK包,这个数据包的ACK序列号是经过加密的,也就是说,它由源地址,源端口,目标地址,目标端口和一个加密种子计算得出。然后机器
15、B释放所有的状态。如果一个ACK包从机器A返回,机器B将重新计算它来判断它是不是上个SYN-ACK的返回包。如果是,机器B就可以直接进入TCP连接状态并打开连接。这样,机器B就可以避免等待半开放连接了。SYNcookie防火墙n1.SYN-n2.n4.-SYN-n5.n7.-relaythe-n-connection-1.一个SYN包从A发送到B 2.防火墙在这里扮演了B的角色来回应一个带SYN cookie的SYN-ACK包给A3.A发送ACK包,接着防火墙和A的连接就建立了。 4.防火墙这个时候扮演A的角色发送一个SYN给B 5.B返回一个SYN给A 6.防火墙扮演A发送一个ACK确认包给
16、B,这个时候防火墙和B的连接也就建立了 7.防火墙转发A和B间的数据 IP欺骗-DOS攻击nTCP数据报头中的标志位RST(Resettheconnection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。n这种攻击利用RST位来实现。假设现在有一个合法用户(192.168.0.8)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为192.168.0.8,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从192.168.0.8发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户192.168.0.8再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。n攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。Thanks
