网络安全与实践 网络安全实践 课程5-TCP_IP网络协议攻击.ppt

网络攻击基本模式截获嗅探(sniffing)监听(eavesdropping)中断拒绝服务(DoSing)篡改数据包篡改(tampering)伪造欺骗(Spoofing)中间人攻击(MITM攻击)通信双方AliceBob中间人Mallory与通信双方建立起各自独立的会话连接对双方进行身份欺骗进行消息的双向转发必要前提：拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造)现实世界中的中间人攻击–国际象棋欺骗术IP源地址欺骗IP源地址欺骗伪造具有虚假源地址的IP数据包进行发送目的：隐藏攻击者身份、假冒其他计算机IP源地址欺骗原理路由转发只是用目标IP地址，不对源做验证现实世界中的平信通常情况：无法获得响应包盲攻击过程ARP欺骗(ARPSpoofing)ARP协议工作原理将网络主机的IP地址解析成其MAC地址①每台主机设备上都拥有一个ARP缓存(ARPCache)②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的利用Netwox进行ICMP路由重

定向攻击–演示netwox86-f“host00”-g10-iTCPRST攻击演示Netwox#78toolReseteveryTCPpacketUsage:netwox78[-ddevice][-ffilter][-sspoofip][-iips]netwox78–I172.*.*.188TCP会话劫持攻击过程用hunt接管会话用hunt接管并重置会话TCPSYNFlood拒绝服务攻击(DoS)破坏可用性TCPSYNFloodSYN洪泛攻击利用TCP三次握手协议的缺陷大量的伪造源地址的SYN连接请求消耗目标主机的连接队列资源不能够为正常用户提供服务SYNFlood攻击防范措施

-SynCookie弥补TCP连接建立过程资源分配这一缺陷“无状态的三次握手”服务器收到一个SYN报文后,不立即分配缓冲区利用连接的信息生成一个cookie,作为SEQ客户端返回ACK中带着ACK=cookie+1服务器端核对cookie,通过则建立连接，分配资源防火墙地址状态监控技术有状态防火墙网络中的TCP连接进行状态监控和处理维护TCP连接状态：NEW状态、GOOD状态、BAD状态…“三次握手”代理TCP会话劫持????结合嗅探、欺骗技术中间人攻击：注射额外信息，暗中改变通信计算出正确的seqackseq即可TCP会话攻击工具?Juggernaut、Hunt、TTYwatcher、IPwatcherHunt工具介绍?源码开放的自由软件，可运行在Linux平台上?功能特点 ?监听当前网络上的会话 ?重置会话(resetasession) ?劫持会话 ?在劫持之后，使连接继续同步 ?确定哪些主机在线 ?四个守护进程????自动resetArp欺骗包的转发收集MAC地址具有搜索功能的snifferHunt主菜单l/w/r)list/watch/resetconnectionsu)hostuptestsa)arp/simplehijack(avoidsackstormifarpused)s)simplehijackd)daemonsrst/arp/sniff/maco)optionsx)exit-Hunt劫持会话时听到ACK风暴如何防止会话劫持?避免攻击者成为通信双方的中间人????部署交换式网络，用交换机代替集线器禁用主机上的源路由采用静态绑定IP-MAC映射表以避免ARP欺过滤ICMP重定向报文?TCP会话加密(IPsec协议) ?避免了攻击者在得到传输层的端口及序列号等关键信息?防火墙配置 ?限制尽可能少量的外部许可连接的IP地址?检测 ?ACK风暴：ACK包的数量明显增加利用Netwox进行TCPSYNFlood攻击演示 ##################runningtoolnumber7