第5章：欺骗攻击及防御技术要点课件

第5章 欺骗攻击及防御技术张光华张光华信息科学与工程学院信息科学与工程学院第5章 欺骗攻击及防御技术张光华信息科学与工程学院52024/6/182本章内容安排本章内容安排o5.1 概述概述 o5.2 IP欺骗及防御技术欺骗及防御技术o5.3 ARP欺骗及防御技术欺骗及防御技术 o5.4 电子邮件欺骗及防御技术电子邮件欺骗及防御技术o5.5 DNS欺骗及防御技术欺骗及防御技术o5.6 Web欺骗及防御技术欺骗及防御技术o5.7 小结小结2023/8/92本章内容安排5.1 概述 2024/6/1835.1 概述概述o在在Internet上计算机之间相互进行的上计算机之间相互进行的交流建立在两个前提之下：交流建立在两个前提之下：n认证（Authentication）n信任（Trust）2023/8/935.1 概述在Internet上计算机之间2024/6/1845.1 概述概述o认证认证:认证是网络上的计算机用于相互间进行识认证是网络上的计算机用于相互间进行识别的一种鉴别过程，经过认证的过程，获准别的一种鉴别过程，经过认证的过程，获准相互交流的计算机之间就会建立起相互信任相互交流的计算机之间就会建立起相互信任的关系。的关系。2023/8/945.1 概述认证:2024/6/1855.1 概述概述o信任信任:信任和认证具有逆反关系，即如果计算机信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。没有很好的信任关系，则会进行严格的认证。2023/8/955.1 概述信任:2024/6/1865.1 概述概述o欺骗实质上就是一种冒充身份通过认证骗取欺骗实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺信任的攻击方式。攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者陷，将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻进行交流，最终攫取信息或是展开进一步攻击。击。2023/8/965.1 概述欺骗实质上就是一种冒充身份通过2024/6/1875.1 概述概述o目前比较流行的欺骗攻击主要有目前比较流行的欺骗攻击主要有5种：种：nIP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权；nARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人；n电子邮件欺骗：电子邮件发送方地址的欺骗；nDNS欺骗：域名与IP地址转换过程中实现的欺骗；nWeb欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。2023/8/975.1 概述目前比较流行的欺骗攻击主要有52024/6/1885.2 IP欺骗及防御技术欺骗及防御技术o5.2.1 基本的基本的IP欺骗欺骗 o5.2.2 IP欺骗的高级应用欺骗的高级应用TCP会话劫持会话劫持o5.2.3 IP欺骗攻击的防御欺骗攻击的防御2023/8/985.2 IP欺骗及防御技术5.2.1 基本2024/6/1895.2.1 基本的基本的IP欺骗欺骗o最基本的最基本的IP欺骗技术有三种：欺骗技术有三种：n简单的IP地址变化n源路由攻击n利用Unix系统的信任关系o这三种这三种IP欺骗技术都是早期使用的，原理比欺骗技术都是早期使用的，原理比较简单，因此效果也十分有限。较简单，因此效果也十分有限。2023/8/995.2.1 基本的IP欺骗最基本的IP欺骗2024/6/1810简单的简单的IP地址变化地址变化o攻击者将一台计算机的攻击者将一台计算机的IP地址修改为其它主地址修改为其它主机的地址，以伪装冒充其它机器。机的地址，以伪装冒充其它机器。o首先了解一个网络的具体配置及首先了解一个网络的具体配置及IP分布，然分布，然后改变自己的地址，以假冒身份发起与被攻后改变自己的地址，以假冒身份发起与被攻击方的连接。这样做就可以使所有发送的数击方的连接。这样做就可以使所有发送的数据包都带有假冒的源地址。据包都带有假冒的源地址。2023/8/910简单的IP地址变化攻击者将一台计算机的I2024/6/1811简单的简单的IP地址变化地址变化(2)攻击者使用假冒的攻击者使用假冒的IP地址向一台机器发送数据地址向一台机器发送数据包，但没有收到任何返回包，但没有收到任何返回的数据包，这被称之为盲的数据包，这被称之为盲目飞行攻击（目飞行攻击（flying blind attack），或者），或者叫做单向攻击（叫做单向攻击（one-way attack）。因为只）。因为只能向受害者发送数据包，能向受害者发送数据包，而不会收到任何应答包。而不会收到任何应答包。2023/8/911简单的IP地址变化(2)2024/6/1812简单的简单的IP地址变化地址变化(3)o利用这种方法进行欺骗攻击有一些限制，比利用这种方法进行欺骗攻击有一些限制，比如说无法建立完整的如说无法建立完整的TCP连接；但是，对于连接；但是，对于UDP这种面向无连接的传输协议就不会存这种面向无连接的传输协议就不会存在建立连接的问题，因此所有单独的在建立连接的问题，因此所有单独的UDP数据包都会被发送到受害者的系统中。数据包都会被发送到受害者的系统中。2023/8/912简单的IP地址变化(3)利用这种方法进行2024/6/1813源路由攻击源路由攻击o简单的简单的IP地址变化很致命的缺陷是攻击者无地址变化很致命的缺陷是攻击者无法接收到返回的信息流。为了得到从目的主法接收到返回的信息流。为了得到从目的主机返回源地址主机的数据流，有两个方法：机返回源地址主机的数据流，有两个方法：n一个方法是攻击者插入到正常情况下数据流经过的通路上；n另一种方法就是保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。2023/8/913源路由攻击简单的IP地址变化很致命的缺陷2024/6/1814源路由机制源路由机制(2)o第一种方法其过程如图所示第一种方法其过程如图所示:但实际中实现起来非常困难，互联网采用的是动态路但实际中实现起来非常困难，互联网采用的是动态路由，即数据包从起点到终点走过的路径是由位于此两由，即数据包从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。但不知道该如何去。2023/8/914源路由机制(2)第一种方法其过程如图所示2024/6/1815源路由机制源路由机制(3)o第二种方法是使用源路由机制，保证数据包始终会第二种方法是使用源路由机制，保证数据包始终会经过一条经定的途径，而攻击者机器在该途径中。经过一条经定的途径，而攻击者机器在该途径中。o源路由机制包含在源路由机制包含在TCP/IP协议组中。它允许用户协议组中。它允许用户在在IP数据包包头的源路由选项字段设定接收方返数据包包头的源路由选项字段设定接收方返回的数据包要经过的路径。回的数据包要经过的路径。o某些路由器对源路由包的反应是使用其指定的路由，某些路由器对源路由包的反应是使用其指定的路由，并使用其反向路由来传送应答数据。这就使一个入并使用其反向路由来传送应答数据。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。来获得某些被保护数据。2023/8/915源路由机制(3)第二种方法是使用源路由机2024/6/1816源路由机制源路由机制(4)o它包括两种类型的源路由：它包括两种类型的源路由：n宽松的源站选择（LSR）：发送端指明数据流必须经过的IP地址清单，但是也可以经过除这些地址以外的一些地址。n严格的源路由选择（SRS）：发送端指明IP数据包必须经过的确切地址。如果没有经过这一确切路径，数据包会被丢弃，并返回一个ICMP报文。2023/8/916源路由机制(4)它包括两种类型的源路由：2024/6/1817源路由源路由机制的应用机制的应用o源站选路给攻击者带来了很大的便利。源站选路给攻击者带来了很大的便利。o攻击者可以使用假冒地址攻击者可以使用假冒地址A向受害者向受害者B发送数据包，发送数据包，并指定了宽松的源站选路或者严格路由选择并指定了宽松的源站选路或者严格路由选择(如果确如果确定能经过所填入的每个路由的话定能经过所填入的每个路由的话)，并把自己的，并把自己的IP地地址址X填入地址清单中。填入地址清单中。o当当B在应答的时候，也应用同样的源路由，因此，数在应答的时候，也应用同样的源路由，因此，数据包返回被假冒主机据包返回被假冒主机A的过程中必然会经过攻击者的过程中必然会经过攻击者X。o这样攻击者不再是盲目飞行了，因为它能获得完整这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。的会话信息。2023/8/917源路由机制的应用源站选路给攻击者带来了很2024/6/1818利用利用信任关系信任关系o在在 Unix世界中，不同主机的账户间可以建立一种世界中，不同主机的账户间可以建立一种特殊的信任关系，以方便机器之间的访问。这常常特殊的信任关系，以方便机器之间的访问。这常常用于对大量机器的系统管理。用于对大量机器的系统管理。o单位里经常指定一个管理员管理几十个区域或者甚单位里经常指定一个管理员管理几十个区域或者甚至上百台机器。管理员一般都会使用信任关系和至上百台机器。管理员一般都会使用信任关系和UNIX的的r*命令从一个系统方便的切换到另一个系命令从一个系统方便的切换到另一个系统。统。r*命令允许一个人登录远程机器而不必提供口命令允许一个人登录远程机器而不必提供口令。令。o这里的信任关系是基于这里的信任关系是基于IP地址进行认证的，而不是地址进行认证的，而不是询问用户名和口令。也就是说将会认可来自可信询问用户名和口令。也就是说将会认可来自可信IP地址的任何人。地址的任何人。2023/8/918利用信任关系在 Unix世界中，不同主机2024/6/1819利用利用信任关系信任关系(2)o从便利的角度看，信任的关系是非常有效的，从便利的角度看，信任的关系是非常有效的，但是从安全的角度来看，是不可取的。但是从安全的角度来看，是不可取的。o如果攻击者获得了可信任网络里的任何一台的如果攻击者获得了可信任网络里的任何一台的机器，他就能登录信任该机器，他就能登录信任该IP的任何机器上。的任何机器上。o下面是经常使用的一些下面是经常使用的一些r*命令：命令：n（1）rlogin：remote login，远程登录；n（2）rsh：remote shell，远程shell；n（3）rcp：remote copy,远程拷贝。2023/8/919利用信任关系(2)从便利的角度看，信任的2024/6/1820利用利用信任关系信任关系(3)o例子：例子：o主机主机A、B上各有一个账户，在使用当中，在上各有一个账户，在使用当中，在A上使用时需要输入上使用时需要输入A上的相应账户，在上的相应账户，在B上使用时必须输入在上使用时必须输入在B上的账户，主机上的账户，主机A和和B把用户当作两个互不相关的用户。把用户当作两个互不相关的用户。o为了减少切换时的反复确认，可以在主机为了减少切换时的反复确认，可以在主机A和主机和主机B中建立起两个中建立起两个账户的全双工信任关系。这可通过在账户的全双工信任关系。这可通过在A、B的登陆目录上各建立一的登陆目录上各建立一个个hosts文件达到。文件达到。o在主机在主机A的登陆目录下建立一个的登陆目录下建立一个.rhosts文件：文件：echo“B usernameB”/.rhosts 这就建立起了这就建立起了A对对B的信任关系。从主机的信任关系。从主机B中就可以直接使用任何中就可以直接使用任何r*命令直接登陆到主机命令直接登陆到主机A中，而不用向远程主机提供密码认证。中，而不用向远程主机提供密码认证。B对对A的信任关系与之类似。的信任关系与之类似。o这些这些r*命令允许基于地址的认证方式，它们会根据服务请求者的命令允许基于地址的认证方式，它们会根据服务请求者的IP地址决定同意还是拒绝访问。地址决定同意还是拒绝访问。2023/8/920利用信任关系(3)例子：2024/6/1821利用利用信任关系信任关系(4)o这种方法一度被认为是这种方法一度被认为是IP欺骗最主要的方法。欺骗最主要的方法。o但是，这种欺骗方法只能在但是，这种欺骗方法只能在Unix环境下使环境下使用，而且也比较陈旧了。用，而且也比较陈旧了。2023/8/921利用信任关系(4)这种方法一度被认为是I2024/6/18225.2.2 IP欺骗高级应用欺骗高级应用TCP会话劫持会话劫持o基本原理基本原理o相关基础相关基础oTCP会话劫持过程会话劫持过程 oTCP会话劫持的危害会话劫持的危害 o实现实现TCP会话劫持的两个小工具会话劫持的两个小工具 2023/8/9225.2.2 IP欺骗高级应用TCP会话2024/6/1823基本原理基本原理o会话劫持就是接管一个现存动态会话的过程，会话劫持就是接管一个现存动态会话的过程，换句话说，攻击者通过会话劫持可以替代原换句话说，攻击者通过会话劫持可以替代原来的合法用户，同时能够监视并掌握会话内来的合法用户，同时能够监视并掌握会话内容。容。o此时，攻击者可以对受害者的回复进行记录，此时，攻击者可以对受害者的回复进行记录，并在接下来的时间里对其进行响应，展开进并在接下来的时间里对其进行响应，展开进一步的欺骗和攻击。一步的欺骗和攻击。o会话劫持结合了嗅探及欺骗技术。会话劫持结合了嗅探及欺骗技术。2023/8/923基本原理会话劫持就是接管一个现存动态会话2024/6/1824基本原理基本原理(2)o在一般的欺骗攻击中攻击者并不是积极主动地使一在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击，而是仅个用户下线来实现他针对受害目标的攻击，而是仅仅装作是合法用户。此时，被冒充的用户可能并不仅装作是合法用户。此时，被冒充的用户可能并不在线上，而且它在整个攻击中不扮演任何角色，因在线上，而且它在整个攻击中不扮演任何角色，因此攻击者不会对它发动进攻。此攻击者不会对它发动进攻。o但是在会话劫持中，为了接管整个会话过程，攻击但是在会话劫持中，为了接管整个会话过程，攻击者需要积极攻击使被冒充用户下线。者需要积极攻击使被冒充用户下线。2023/8/924基本原理(2)在一般的欺骗攻击中攻击者并2024/6/1825基本原理基本原理(3)一般的欺骗一般的欺骗会话劫持会话劫持2023/8/925基本原理(3)一般的欺骗会话劫持2024/6/1826相关基础相关基础oTCP三步握手连接建立三步握手连接建立 o序列号机制序列号机制2023/8/926相关基础TCP三步握手连接建立 2024/6/1827TCP三步握手连接建立三步握手连接建立 2023/8/927TCP三步握手连接建立 2024/6/1828序列号机制序列号机制o序列号是一个序列号是一个32位计数器，这就意味着位计数器，这就意味着可以有大于可以有大于4亿种的可能性组合。亿种的可能性组合。o简单地说，序列号用来说明简单地说，序列号用来说明接收方下一接收方下一步将要接收的数据包的顺序步将要接收的数据包的顺序。也就是说，。也就是说，序列号设置了数据包放入数据流的顺序，序列号设置了数据包放入数据流的顺序，接收方就可以利用序列号告诉发送方哪接收方就可以利用序列号告诉发送方哪些数据包已经收到，哪些数据包还未收些数据包已经收到，哪些数据包还未收到，于是发送方就能够依此重发丢失的到，于是发送方就能够依此重发丢失的数据包。数据包。2023/8/928序列号机制序列号是一个32位计数器，这就2024/6/1829序列号机制序列号机制(2)o例如，如果发送方发送了例如，如果发送方发送了4个数据包，它们个数据包，它们的序列号分别是的序列号分别是1258、1256、1257和和1255，接收方不但可以根据发送方发包的，接收方不但可以根据发送方发包的序列号将数据包进行归序，同时接收方还序列号将数据包进行归序，同时接收方还可以用发送方的序列号确认接收的数据包。可以用发送方的序列号确认接收的数据包。o在这种情况下，接收方送回的确认信息是在这种情况下，接收方送回的确认信息是1259，这就等于是说，这就等于是说，“下一个我期望从下一个我期望从发送方收到的是序列号为发送方收到的是序列号为1259的数据包的数据包”。2023/8/929序列号机制(2)例如，如果发送方发送了42024/6/1830序列号机制序列号机制(3)o实际上为了完成上述目的，这里存在：一实际上为了完成上述目的，这里存在：一个属于发送方的序列号和另一个是属于接个属于发送方的序列号和另一个是属于接收方的应答号。收方的应答号。o发送方发送数据包使用发送方的序列号，发送方发送数据包使用发送方的序列号，同时当接收方确认从发送方接收数据包时，同时当接收方确认从发送方接收数据包时，它也用发送方的序列号来进行确认。在另它也用发送方的序列号来进行确认。在另一方面，接收方用属于自己的序列号送回一方面，接收方用属于自己的序列号送回数据。数据。2023/8/930序列号机制(3)实际上为了完成上述目的，2024/6/1831序列号机制序列号机制(4)o数据传输过程中序列号和应答号之间的关系：数据传输过程中序列号和应答号之间的关系：n第二个数据包（BA）的SEQ=第一个数据包（A B）的ACK；n第二个数据包（BA）的ACK=第一个数据包（A B）的SEQ+第一个数据包（A B）的传输数据长度。2023/8/931序列号机制(4)数据传输过程中序列号和应2024/6/1832序列号机制序列号机制(5)o再进一步推广，对于整个序列号计数体制，再进一步推广，对于整个序列号计数体制，我们可以得到下面这个结论：序列号是随着我们可以得到下面这个结论：序列号是随着传输数据字节数递增的。传输数据字节数递增的。o如果传输数据字节数为如果传输数据字节数为10，序列号就增加，序列号就增加10；若传输的数据为；若传输的数据为20字节，序列号就应字节，序列号就应该相应增加该相应增加20。2023/8/932序列号机制(5)再进一步推广，对于整个序2024/6/1833序列号机制序列号机制(6)o从上面的讲解中，我们可以清楚地认识到：从上面的讲解中，我们可以清楚地认识到：序列号和应答号之间存在着明确的对应关系。序列号和应答号之间存在着明确的对应关系。o因此序列号和应答号是完全有可能预测的，因此序列号和应答号是完全有可能预测的，只需要获取最近的会话数据包，就可以猜测只需要获取最近的会话数据包，就可以猜测下一次通话中的下一次通话中的SEQ和和ACK。o这一局面是这一局面是TCP协议固有缺陷造成的，由此协议固有缺陷造成的，由此带来的安全威胁也是无法回避的。带来的安全威胁也是无法回避的。2023/8/933序列号机制(6)从上面的讲解中，我们可以2024/6/1834TCP会话劫持过程会话劫持过程ostep1：发现攻击目标：发现攻击目标ostep2：确认动态会话：确认动态会话ostep3：猜测序列号：猜测序列号ostep4：使客户主机下线：使客户主机下线ostep5：接管会话：接管会话2023/8/934TCP会话劫持过程step1：发现攻击目2024/6/1835step1：发现攻击目标：发现攻击目标o对于寻找合适的目标有两个关键的问题。对于寻找合适的目标有两个关键的问题。o首先，通常攻击者希望这个目标是一个准予首先，通常攻击者希望这个目标是一个准予TCP会话连接（例如会话连接（例如Telnet和和FTP等）的服等）的服务器。务器。o其次，能否检测数据流也是一个比较重要的问其次，能否检测数据流也是一个比较重要的问题，因为在攻击的时候需要猜测序列号。这就题，因为在攻击的时候需要猜测序列号。这就需要嗅探之前通信的数据包，对于交换网络环需要嗅探之前通信的数据包，对于交换网络环境，可能还需要使用境，可能还需要使用ARP欺骗。欺骗。2023/8/935step1：发现攻击目标对于寻找合适的目2024/6/1836step2：确认动态会话：确认动态会话o攻击者如何寻找动态会话？攻击者如何寻找动态会话？o与大多数攻击不同，会话劫持攻击适合在网络流通与大多数攻击不同，会话劫持攻击适合在网络流通量达到高峰时才会发生的。量达到高峰时才会发生的。o首先，他有很多供选择的会话；其次，网络流通量首先，他有很多供选择的会话；其次，网络流通量越大则被发现的可能就越小。越大则被发现的可能就越小。o如果只有一个用户进行连接并数次掉线，那么就很如果只有一个用户进行连接并数次掉线，那么就很有可能引起那个用户的怀疑。但是，如果网络流通有可能引起那个用户的怀疑。但是，如果网络流通量很大并且有很多的用户进行连接，那么用户们很量很大并且有很多的用户进行连接，那么用户们很有可能忽略掉线后面隐藏的问题，也许只是认为这有可能忽略掉线后面隐藏的问题，也许只是认为这是由于网络流通过大而引起的。是由于网络流通过大而引起的。2023/8/936step2：确认动态会话攻击者如何寻找动2024/6/1837step3：猜测序列号：猜测序列号oTCP区分正确数据包和错误数据包仅通过它们的区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。序列号。序列号却是随着时间的变化序列号却是随着时间的变化而改变的。因此，攻击者必须成功猜测出序列而改变的。因此，攻击者必须成功猜测出序列号。号。o通过嗅探或者通过嗅探或者ARP欺骗，先发现目标机正在使欺骗，先发现目标机正在使用的序列号，再根据序列号机制，可以猜测出用的序列号，再根据序列号机制，可以猜测出下一对下一对SEQ/ACK序列号。序列号。o同时，攻击者若以某种方法扰乱客户主机的同时，攻击者若以某种方法扰乱客户主机的SEQ/ACK，服务器将不再相信客户主机正确的数，服务器将不再相信客户主机正确的数据包，从而可以伪装为客户主机，使用正确的据包，从而可以伪装为客户主机，使用正确的SEQ/ACK序列号，现在攻击主机就可以与服务器序列号，现在攻击主机就可以与服务器进行连接，这样就抢劫一个会话连接。进行连接，这样就抢劫一个会话连接。2023/8/937step3：猜测序列号TCP区分正确数据2024/6/1838step4：使客户主机下线：使客户主机下线o当攻击者获得了序列号后，为了彻底接管这当攻击者获得了序列号后，为了彻底接管这个会话，他就必须使客户主机下线。个会话，他就必须使客户主机下线。o使客户主机下线最简单的方式就是对其进行使客户主机下线最简单的方式就是对其进行拒绝服务攻击，从而使其不再继续响应。拒绝服务攻击，从而使其不再继续响应。o服务器会继续发送响应给客户主机，但是因服务器会继续发送响应给客户主机，但是因为攻击者已经掌握了客户主机，所以该机器为攻击者已经掌握了客户主机，所以该机器就不再继续响应。就不再继续响应。2023/8/938step4：使客户主机下线当攻击者获得了2024/6/1839step5：接管会话：接管会话o既然攻击者已经获得了他所需要的一切信息，既然攻击者已经获得了他所需要的一切信息，那么他就可以持续向服务器发送数据包并且那么他就可以持续向服务器发送数据包并且接管整个会话了。接管整个会话了。o在会话劫持攻击中，攻击者通常会发送数据在会话劫持攻击中，攻击者通常会发送数据包在受害服务器上建立一个账户，甚至留下包在受害服务器上建立一个账户，甚至留下某些后门。通过这种方式，攻击者就可以在某些后门。通过这种方式，攻击者就可以在任何时候轻松进入系统了。任何时候轻松进入系统了。2023/8/939step5：接管会话既然攻击者已经获得了2024/6/1840TCP会话劫持的危害会话劫持的危害o就其实现原理而言，任何使用就其实现原理而言，任何使用Internet进行通信的主机都有可能受到这种攻击。进行通信的主机都有可能受到这种攻击。o会话劫持在理论上是非常复杂的，会话劫持在理论上是非常复杂的，但是但是现在产生了简单适用的会话劫持攻击软现在产生了简单适用的会话劫持攻击软件，件，技术门槛的降低导致了很多技术门槛的降低导致了很多“少年少年攻击者攻击者”的诞生。的诞生。2023/8/940TCP会话劫持的危害就其实现原理而言，任2024/6/1841TCP会话劫持的危害会话劫持的危害(2)o会话劫持攻击的危害性很大是有原因的。会话劫持攻击的危害性很大是有原因的。n一个最主要的原因就是它并不依赖于操作系统。n另一个原因就是它可以被用来进行积极的攻击，通过攻击行为可以获得进入系统的可能。2023/8/941TCP会话劫持的危害(2)会话劫持攻击的2024/6/1842实现实现TCP会话劫持的两个小工具会话劫持的两个小工具oJuggernautnJuggernaut是由Mike Schiffman开发的自由软件，这个软件是开创性的，是最先出现的会话攻击程序之一。它运行在Linux操作系统的终端机上，攻击者能够窥探网络中所有的会话，并且劫持其中任何一个，攻击者可以像真正用户那样向服务器提交命令。2023/8/942实现TCP会话劫持的两个小工具Jugge2024/6/1843实现实现TCP会话劫持的两个小工具会话劫持的两个小工具(2)oHuntn由Pavel Krauz制作的Hunt，是一个集嗅探、截取和会话劫持功能于一身的强大工具。它可以在无论共享式网络还是交换式网络中工作，不仅能够在混杂模式和ARP欺骗模式下进行嗅探，还具有中断和劫持动态会话的能力。2023/8/943实现TCP会话劫持的两个小工具(2)Hu2024/6/18445.2.3 IP欺骗攻击的防御欺骗攻击的防御p防范地址变化欺骗防范地址变化欺骗p防范源路由欺骗防范源路由欺骗p防范信任关系欺骗防范信任关系欺骗 p防范会话劫持攻击防范会话劫持攻击2023/8/9445.2.3 IP欺骗攻击的防御防范地址变2024/6/1845防范地址变化欺骗防范地址变化欺骗有办法防止攻击者使用你的地址发送有办法防止攻击者使用你的地址发送消息吗？可以说，你没有办法阻止有人消息吗？可以说，你没有办法阻止有人向另一方发送消息时不用自己的而使用向另一方发送消息时不用自己的而使用你的地址。你的地址。但是，采取一些措施可以有效保护自但是，采取一些措施可以有效保护自己免受这种攻击的欺骗。己免受这种攻击的欺骗。2023/8/945防范地址变化欺骗有办法防止攻击者使用2024/6/1846防范地址变化欺骗防范地址变化欺骗(2)o方法方法1：限制用户修改网络配置：限制用户修改网络配置o方法方法2：入口过滤：入口过滤o方法方法3：出口过滤：出口过滤2023/8/946防范地址变化欺骗(2)方法1：限制用户修2024/6/1847方法方法1：限制用户修改网络配置：限制用户修改网络配置为了阻止攻击者使用一台机器发为了阻止攻击者使用一台机器发起欺骗攻击，首先需限制那些有权起欺骗攻击，首先需限制那些有权访问机器配置信息的人员。这么做访问机器配置信息的人员。这么做就能防止员工执行欺骗。就能防止员工执行欺骗。2023/8/947方法1：限制用户修改网络配置为了阻止2024/6/1848方法方法2：入口过滤：入口过滤 大多数路由器有内置的欺骗过滤器。过大多数路由器有内置的欺骗过滤器。过滤器的最基本形式是，不允许任何从外面进滤器的最基本形式是，不允许任何从外面进入网络的数据包使用单位的内部网络地址作入网络的数据包使用单位的内部网络地址作为源地址。为源地址。因此，如果一个来自外网的数据包，声因此，如果一个来自外网的数据包，声称来源于本单位的网络内部，就可以非常肯称来源于本单位的网络内部，就可以非常肯定它是假冒的数据包，应该丢弃它。定它是假冒的数据包，应该丢弃它。这种类型的过滤可以保护单位的网络不成这种类型的过滤可以保护单位的网络不成为欺骗攻击的受害者。为欺骗攻击的受害者。2023/8/948方法2：入口过滤 大多数路由器有内置2024/6/1849方法方法3：出口过滤：出口过滤为了执行出口过滤，路由器必须检查数据为了执行出口过滤，路由器必须检查数据包，确信源地址是来自本单位局域网的一个包，确信源地址是来自本单位局域网的一个地址。地址。如果不是那样，这个数据包应该被丢弃，如果不是那样，这个数据包应该被丢弃，因为这说明有人正使用假冒地址向另一个网因为这说明有人正使用假冒地址向另一个网络发起攻击。离开本单位的任何合法数据包络发起攻击。离开本单位的任何合法数据包须有一个源地址，并且它的网络部分与本单须有一个源地址，并且它的网络部分与本单位的内部网络相匹配。位的内部网络相匹配。2023/8/949方法3：出口过滤为了执行出口过滤，路2024/6/1850防范源路由欺骗防范源路由欺骗o保护自己或者单位免受源路由欺骗攻击的最保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。好方法是设置路由器禁止使用源路由。o事实上人们很少使用源路由做合法的事情。事实上人们很少使用源路由做合法的事情。因为这个原因，所以阻塞这种类型的流量进因为这个原因，所以阻塞这种类型的流量进入或者离开网络通常不会影响正常的业务。入或者离开网络通常不会影响正常的业务。2023/8/950防范源路由欺骗保护自己或者单位免受源路由2024/6/1851防范信任关系欺骗防范信任关系欺骗o保护自己免受信任关系欺骗攻击最容易的方保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖于信任关的解决方案，因为便利的应用依赖于信任关系。系。o但是能通过做一些事情使暴露达到最小：但是能通过做一些事情使暴露达到最小：n限制拥有信任关系的人员。n不允许通过外部网络使用信任关系。2023/8/951防范信任关系欺骗保护自己免受信任关系欺骗2024/6/1852防范会话劫持攻击防范会话劫持攻击 o会话劫持攻击是非常危险的，因为攻击者能会话劫持攻击是非常危险的，因为攻击者能够直接接管合法用户的会话。够直接接管合法用户的会话。o在其他的攻击中可以处理那些危险并且将它在其他的攻击中可以处理那些危险并且将它消除。但是在会话劫持中，消除这个会话也消除。但是在会话劫持中，消除这个会话也就意味着禁止了一个合法的连接，从本质上就意味着禁止了一个合法的连接，从本质上来说这么做就背离了使用来说这么做就背离了使用Internet进行连进行连接的目的。接的目的。2023/8/952防范会话劫持攻击 会话劫持攻击是非常危险2024/6/1853防范会话劫持攻击防范会话劫持攻击(2)o没有有效的办法可以从根本上防范会话没有有效的办法可以从根本上防范会话劫持攻击，以下列举了一些方法可以尽劫持攻击，以下列举了一些方法可以尽量缩小会话攻击所带来危害：量缩小会话攻击所带来危害：n进行加密n使用安全协议n限制保护措施2023/8/953防范会话劫持攻击(2)没有有效的办法可以2024/6/1854进行加密进行加密o如果攻击者不能读取传输数据，那么进行会如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须进行加密。来传输敏感数据的关键连接都必须进行加密。2023/8/954进行加密如果攻击者不能读取传输数据，那么2024/6/1855使用安全协议使用安全协议o无论何时当用户连入到一个远端的机器上，无论何时当用户连入到一个远端的机器上，特别是当从事敏感工作或是管理员操作时，特别是当从事敏感工作或是管理员操作时，都应当使用安全协议。都应当使用安全协议。o一般来说，有像一般来说，有像SSH（Secure Shell）这）这样的协议或是安全的样的协议或是安全的Telnet都可以使系统都可以使系统免受会话劫持攻击。此外，从客户端到服务免受会话劫持攻击。此外，从客户端到服务器的器的VPN（Virtual Private Network）也是很好的选择。）也是很好的选择。2023/8/955使用安全协议无论何时当用户连入到一个远端2024/6/1856限制保护措施限制保护措施o允许从网络上传输到用户单位内部网络的信允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。化会话劫持攻击的方法。o攻击者越难进入系统，那么系统就越不容易攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。在理想情况下，应该阻受到会话劫持攻击。在理想情况下，应该阻止尽可能多的外部连接和连向防火墙的连接。止尽可能多的外部连接和连向防火墙的连接。2023/8/956限制保护措施允许从网络上传输到用户单位内2024/6/18575.3 ARP欺骗攻击与防御技术欺骗攻击与防御技术o5.3.1 ARP背景知识介绍背景知识介绍o5.3.2 ARP欺骗攻击原理欺骗攻击原理o5.3.3 ARP欺骗攻击实例欺骗攻击实例o5.3.4 ARP欺骗攻击的检测与防御欺骗攻击的检测与防御2023/8/9575.3 ARP欺骗攻击与防御技术5.3.5.3.1 ARP背景知识介绍背景知识介绍oARP基础知识基础知识oARP工作原理工作原理n局域网内通信n局域网间通信2024/6/18585.3.1 ARP背景知识介绍ARP基础知识2023/8/92024/6/1859ARP基础知识基础知识oARP(Address Resolution Protocol)：地址：地址解析协议，用于将计算机的网络地址（解析协议，用于将计算机的网络地址（IP地址地址32位）转化为物理地址（位）转化为物理地址（MAC地址地址48位）位）RFC826。属于链路层的协议。属于链路层的协议。o在以太网中，数据帧从一个主机到达局域网内的另在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据一台主机是根据48位的以太网地址（硬件地址）位的以太网地址（硬件地址）来确定接口的，而不是根据来确定接口的，而不是根据32位的位的IP地址。地址。o内核（如驱动）必须知道目的端的硬件地址才能发内核（如驱动）必须知道目的端的硬件地址才能发送数据。送数据。2023/8/959ARP基础知识ARP(Address R2024/6/1860ARP基础知识基础知识oARP协议有两种数据包协议有两种数据包nARP请求包：ARP工作时，送出一个含有目的IP地址的以太网广播数据包，这也就是ARP请求包。它表示：我想与目的IP通信，请告诉我此IP的MAC地址。ARP请求包格式如下：arp who-has 192.168.1.1 tell 192.168.1.2nARP应答包：当目标主机收到ARP请求包，发现请求解析的IP地址与本机IP地址相同，就会返回一个ARP应答包。它表示：我的主机就是此IP，我的MAC地址是某某某。ARP应答包的格式如下：arp reply 192.168.1.1 is-at 00:00:0c:07:ac:002023/8/960ARP基础知识ARP协议有两种数据包2024/6/1861ARP基础知识基础知识oARP缓存表缓存表nARP缓存表用于存储其它主机或网关的IP地址与MAC地址的对应关系。n每台主机、网关都有一个ARP缓存表。nARP缓存表里存储的每条记录实际上就是一个IP地址与MAC地址对，它可以是静态的，也可以是动态的。如果是静态的，那么该条记录不能被ARP应答包修改；如果是动态的，那么该条记录可以被ARP应答包修改。2023/8/961ARP基础知识ARP缓存表ARP基础知识基础知识o在在Windows下查看下查看ARP缓存表的方法缓存表的方法n使用命令：arp-a2024/6/1862ARP基础知识在Windows下查看ARP缓存表的方法202ARP工作原理工作原理o局域网内通信局域网内通信o局域网间通信局域网间通信2024/6/1863ARP工作原理局域网内通信2023/8/9632024/6/1864局域网内通信局域网内通信o假设一个局域网内主机假设一个局域网内主机A、主机、主机B和网关和网关C，它们的它们的IP地址、地址、MAC地址如下。地址如下。主机名主机名 IP地址地址 MAC地址地址 主机主机A 192.168.1.2 02-02-02-02-02-02 主机主机B 192.168.1.3 03-03-03-03-03-03 网关网关C 192.168.1.1 01-01-01-01-01-012023/8/964局域网内通信假设一个局域网内主机A、主机2024/6/1865局域网内通信局域网内通信网络结构图网络结构图2023/8/965局域网内通信网络结构图2024/6/1866局域网内通信局域网内通信通信过程通信过程o假如主机主机假如主机主机A(192.168.1.2)要与主机主机要与主机主机B(192.168.1.3)通讯，它首先会检查自己的通讯，它首先会检查自己的ARP缓存中是否有缓存中是否有192.168.1.3这个地址对应的这个地址对应的MAC地址。地址。o如果没有它就会向局域网的广播地址发送如果没有它就会向局域网的广播地址发送ARP请求包，大致的意请求包，大致的意思是思是192.168.1.3的的MAC地址是什么请告诉地址是什么请告诉192.168.1.2。o而广播地址会把这个请求包广播给局域网内的所有主机，但是只而广播地址会把这个请求包广播给局域网内的所有主机，但是只有有192.168.1.3这台主机才会响应这个请求包，它会回应这台主机才会响应这个请求包，它会回应192.168.1.2一个一个arp包，告知包，告知192.168.1.3的的MAC地址是地址是03-03-03-03-03-03。o这样主机这样主机A就得到了主机就得到了主机B的的MAC地址，并且它会把这个对应的地址，并且它会把这个对应的关系存在自己的关系存在自己的ARP缓存表中。缓存表中。o之后主机之后主机A与主机与主机B之间的通讯就依靠两者缓存表里的记录来通讯，之间的通讯就依靠两者缓存表里的记录来通讯，直到通讯停止后两分钟，这个对应关系才会被从表中删除。直到通讯停止后两分钟，这个对应关系才会被从表中删除。2023/8/966局域网内通信通信过程假如主机主机A(12024/6/1867局域网间通信局域网间通信o假设两个局域网，其中一个局域网内有主机假设两个局域网，其中一个局域网内有主机A、主机、主机B和网关和网关C，另一个局域网内有主机，另一个局域网内有主机D和网关和网关C。它们的。它们的IP地址、地址、MAC地址如下。地址如下。主机名主机名 IP地址地址 MAC地址地址 主机主机A 192.168.1.2 02-02-02-02-02-02 主机主机B 192.168.1.3 03-03-03-03-03-03 网关网关C 192.168.1.1 01-01-01-01-01-01 主机主机D 10.1.1.2 04-04-04-04-04-04 网关网关E 10.1.1.1 05-05-05-05-05-052023/8/967局域网间通信假设两个局域网，其中一个局域局域网间通信局域网间通信网络结构图网络结构图2024/6/1868局域网间通信网络结构图2023/8/9682024/6/1869局域网间通信局域网间通信通信过程通信过程o假如主机假如主机A(192.168.1.2)需要和主机需要和主机D(10.1.1.2)进进行通讯，它首先会发现这个主机行通讯，它首先会发现这个主机D的的IP地址并不是自己同地址并不是自己同一个网段内的，因此需要通过网关来转发。一个网段内的，因此需要通过网关来转发。o这样的话它会检查自己的这样的话它会检查自己的ARP缓存表里是否有网关缓存表里是否有网关192.168.1.1对应的对应的MAC地址，如果没有就通过地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关请求获得，如果有就直接与网关通讯，然后再由网关C通通过路由将数据包送到网关过路由将数据包送到网关E。o网关网关E收到这个数据包后发现是送给主机收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的的，它就会检查自己的ARP缓存（网关也有自己的缓存（网关也有自己的ARP缓存），看看里面是否有缓存），看看里面是否有10.1.1.2对应的对应的MAC地址，如地址，如果没有就使用果没有就使用ARP协议获得，如果有就是用该协议获得，如果有就是用该MAC地址地址与主机与主机D通讯。通讯。2023/8/969局域网间通信通信过程假如主机A(1925.3.2 ARP欺骗攻击原理欺骗攻击原理oARP欺骗攻击原理欺骗攻击原理oARP欺骗攻击的危害欺骗攻击的危害2024/6/18705.3.2 ARP欺骗攻击原理ARP欺骗攻击原理2023/82024/6/1871ARP欺骗原理欺骗原理oARP欺骗攻击欺骗攻击是利用是利用ARP协议本身的缺陷协议本身的缺陷进行的一种非法攻击，目的是为了在全交换进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。环境下实现数据监听。o通常这种攻击方式可能被病毒、木马或者有通常这种攻击方式可能被病毒、木马或者有特殊目的的攻击者使用。特殊目的的攻击者使用。2023/8/971ARP欺骗原理ARP欺骗攻击是利用ARP2024/6/1872ARP欺骗原理欺骗原理(2)o主机在实现主机在实现ARP缓存表的机制中存在一个不缓存表的机制中存在一个不完善的地方，当主机收到一个完善的地方，当主机收到一个ARP应答包后应答包后，它并不会去验证自己是否发送过这个，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的请求，而是直接将应答包里的MAC地地址与址与IP对应的关系替换掉原有的对应的关系替换掉原有的ARP缓存缓存表里的相应信息。表里的相应信息。oARP欺骗正是利用了这一点。欺骗正是利用了这一点。2023/8/972ARP欺骗原理(2)主机在实现ARP缓存ARP欺骗原理欺骗原理原理图原理图2024/6/1873ARP欺骗原理原理图2023/8/9732024/6/1874ARP欺骗原理欺骗原理欺骗过程欺骗过程o主机主机B(192.168.1.3)向网关向网关C发送发送ARP应答包说：我是应答包说：我是192.168.1.2，我的，我的MAC地址是地址是03-03-03-03-03-03，主机，主机B同同时向主机时向主机A发送发送ARP应答包说：我是应答包说：我是192.168.1.1，我的，我的MAC地址是地址是03-03-03-03-03-03。o这样，这样，A发给发给C的数据就会被发送到的数据就会被发送到B，同时，同时获得获得C发给发给A的数据也会被发送到的数据也会被发送到B。o这样，这样，B就成了就成了A与与C之间的之间的“中间人中间人”。2023/8/974ARP欺骗原理欺骗过程主机B(192.2024/6/1875ARP欺骗攻击的危害欺骗攻击的危害oARP欺骗攻击在局域网内非常奏效，其危害有：欺骗攻击在局域网内非常奏效，其危害有：n致使同网段的其他用户无法正常上网（频繁断网或者网速慢）。n使用ARP欺骗可以嗅探到交换式局域网内所有数据包，从而得到敏感信息。nARP欺骗攻击可以对信息进行篡改，例如，可以在你访问的所有网页中加入广告。n利用ARP欺骗攻击可以控制局域网内任何主机，起到“网管”的作用，例如，让某台主机不能上网。2023/8/975ARP欺骗攻击的危害ARP欺骗攻击在局域2024/6/18765.3.3 ARP欺骗攻击实例欺骗攻击实例o使用工具：使用工具：Arp cheat and sniffer V2.1n国内开源软件，它是一款arp sniffer工具，可以通过arp欺骗嗅探目标主机TCP、UDP和ICMP协议数据包。o攻击环境：攻击环境：在一个交换式局域网内在一个交换式局域网内n受害者IP为210.77.21.53，MAC为00-0D-60-36-BD-05；n网关IP为210.77.21.254，MAC为00-09-44-44-77-8A；n攻击者IP为210.77.21.68，MAC为00-07-E9-7D-73-E5。o攻击目的：攻击目的：攻击者想得知受害者经常登陆的攻击者想得知受害者经常登陆的FTP用用户名和密码。户名和密码。2023/8/9765.3.3 ARP欺骗攻击实例使用工具：2024/6/1877ARP攻击实例攻击实例-工具参数介绍工具参数介绍o-si源源ipo-di目的目的ip *代表所有代表所有,多项用多项用,号分割号分割o-sp源端口源端口o-dp目的端口目的端口 *代表所有代表所有o-w嗅探方式，嗅探方式，1代表单向嗅探代表单向嗅探si-di，0代表双向嗅探代表双向嗅探sidio-p嗅探协议嗅探协议TCP,UDP,ICMP大写大写o-m最大记录文件，以最大记录文件，以M为单位为单位o-o文件输出文件输出o-hex十六进制输出到文件十六进制输出到文件o-unecho不回显不回显o-unfilter不过虑不过虑0字节数据包字节数据包o-low粗略嗅探，丢包率高，粗略嗅探，丢包率高，cpu利用率低利用率低 基本基本0o-timeout 嗅探超时嗅探超时,除非网络状况比较差否则请不要调高除非网络状况比较差否则请不要调高,默认为默认为120秒秒2023/8/977ARP攻击实例-工具参数介绍-si2024/6/1878ARP攻击实例攻击实例-工具参数介绍（工具参数介绍（2）o-sniffsmtp嗅探嗅探smtpo-sniffpop嗅探嗅探popo-sniffpost嗅探嗅探posto-sniffftp嗅探嗅探ftpo-snifftelnet嗅探嗅探telnet，以上，以上5个嗅探不受参数个嗅探不受参数si,sp,di,dp,w,p影响影响.o-sniffpacket规则嗅探数据包规则嗅探数据包,受参数受参数si,sp,di,dp,w,p影响影响o-sniffall开启所有嗅探开启所有嗅探o-onlycheat只欺骗只欺骗o-cheatsniff欺骗并且嗅探欺骗并且嗅探o-reset欺骗后恢复欺骗后恢复o-g网关网关ipo-c欺骗者欺骗者ip maco-t受骗者受骗者ipo-time欺骗次数欺骗次数2023/8/978ARP攻击实例-工具参数介绍（2）-s2024/6/1879ARP攻击实例攻击实例-工具参数介绍（工具参数介绍（3）o使用举例：使用举例：narpsf-p TCP-dp 25,110-o f:1.txt-m 1 sniffpacket 说明：嗅探指定规则数据包并保存到文件narpsf-sniffall-cheatsniff-t 127.0.0.1-g 127.0.0.254说明：欺骗并且嗅探127.0.0.1与外界的通讯，输出到屏幕narpsf-onlycheat-t 127.0.0.1-c 127.0.0.2 002211445544-time 100 reset说明：对目标欺骗一百次，欺骗后恢复narpsf-cheatsniff-t 192.168.0.54-g 192.168.0.254-sniffpacket-p TCP-dp 80,25,23,110-o d:siff.txt-w 0-m 1说明：嗅探192.168.0.54与外网的tcp连接情况并指定目的端口是80，23，25，110，嗅探方式是双向嗅探，最大记录文件是1M，输出到d盘sniff.txt文件中。其中192.168.0.254是网关的地址。也可以改成同网段中其他的地址，那就是网内嗅探了。2023/8/979ARP攻击实例-工具参数介绍（3）使用2024/6/1880ARP攻击实例攻击实例-攻击过程攻击过程o在在Windows XP下通过命令行启动软件，运行命下通过命令行启动软件，运行命令：令：arpsf-cheatsniff-t 210.77.21.53-g 210.77.21.254-sniffpac