第12章-网络协议漏洞攻击与防范课件

http:/ http:/ http:/ 网络网络协议漏洞攻击与防范协议漏洞攻击与防范http:/ http:/ http:/ ARP协议漏洞攻击分析与协议漏洞攻击分析与防范防范12.2 ICMP协议漏洞攻击分析与协议漏洞攻击分析与防范防范12.3 WEP协议攻击分析与防范协议攻击分析与防范http:/ http:/ http:/ 2014年1月，雅虎将对所有邮件连接做默认加密，这和2010年谷歌为GMAIL用户所采取的措施一样。雅虎去年10月就宣布要对邮件加密，到今年1月8日，雅虎已经在浏览器中默认使用SSL加密，为大约两亿雅虎邮箱用户提升安全性能。这一提升意味着雅虎邮箱的用户不再需要手动为账户启用SSL加密，这种加密方式是将浏览器和雅虎WEB服务器之间的数据传输做加密处理，目的是确保用户所访问网站的真实性。“任何时候你使用雅虎邮箱通过电脑网页，移动设备网页，移动应用或是IMAP，POP或SMTP都是百分之百默认加密的，而且使用2048字节的证书保护”，雅虎通信产品SVP JEFF BONFORTE在公司博客中写道。谷歌在2010年就启用了对其邮箱系统默认的SSL加密，在2011年对登录用户启用默认SSL搜索加密，现在又为所有的搜索服务启用了SSL加密。在11月，谷歌将所有SSL证书升级到了2048字节的RSA，密钥长度增加使得黑客更难破解SSL连接。雅虎计划实施默认加密，是在斯诺登揭露美国NSA针对美国主要互联网公司的间谍项目之后。雅虎也对NSA的行为做出了响应，雅虎承诺要把所有从互联网传入其服务器的数据以及在其数据中心之间传输的数据全部加密，而后者就是对NSA“Muscular”项目做出的回应，因为“Muscular”利用的就是雅虎和谷歌数据中心之间未加密的链接。http:/ http:/ http:/ 的防火墙和杀毒软件，这可在一定程度上防范来历不明的后台操作。http:/ http:/ http:/ http:/ http:/ ARP协议漏洞攻击分析与防范协议漏洞攻击分析与防范12.1.1 ARP协议协议概述概述12.1.2 ARP协议协议漏洞漏洞12.1.3 ARP攻击分析攻击分析http:/ http:/ http:/ ARP协议概述协议概述1、ARP协议的功能以太网协议中规定同一局域网中的一台主机与另一台主机进行直接通信必须要知道目标主机的MAC地址，而在TCP/IP协议栈中网络层和传输层只关心目标主机的IP地址和端口号ARP协议的功能：需要根据目标主机的IP地址获得其MAC地址2、ARP代理当发送主机和目标主机不在同一个局域网时，即便知道目标主机的MAC地址，两者也不能直接通信，而必须经过路由转发才可以发送主机通过ARP协议获得的将不是目标主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址ARP代理（ARP Proxy）：发送主机发往目标主机的所有帧都将发往该路由器，并通过它向外发送http:/ http:/ http:/ ARP协议概述协议概述3、ARP缓存在每台安装有TCP/IP协议的计算机里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例，当发送数据时，主机A会在自己的ARP缓存表中寻找目标IP地址，如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里发送即可；如果在ARP缓存表中没有找到目标IP地址，主机A会在网络上发送一个广播，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，请问IP地址为192.168.1.1的MAC地址是什么？”，网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-69-c6-09”。这样，主机A知道了主机B的MAC地址，它就可以向主机B发送信息了。主机A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次主机A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找即可。http:/ http:/ http:/ ARP协议概述协议概述4、ARP命令WINDOWS ARP命令允许显示ARP缓存，删除缓存中的条目，或者将静态条目添加到缓存表中。表12-1中列出了ARP命令的一些常见参数，图12-1是显示ARP缓存的一个实例选项选项说明说明-a显示ARP缓存中的条目-d删除ARP缓存中的所有条目-s inet_addr eth_addr添加静态ARP条目表表12-1 ARP命令命令参数参数图图12-1 ARP命令命令http:/ http:/ http:/ ARP协议漏洞协议漏洞1、ARP协议漏洞假定局域网有4台主机，其IP地址和MAC地址如表12-2所示 主机主机IPIP地址地址MACMAC地址地址A192.168.8.1AA-AA-AA-AA-AA-AAB192.168.16.2BB-BB-BB-BB-BB-BBC192.168.16.3CC-CC-CC-CC-CC-CCD192.168.16.4DD-DD-DD-DD-DD-DD表表12-2 主机列表主机列表http:/ http:/ http:/ ARP协议漏洞协议漏洞1、ARP协议漏洞以主机A（192.168.8.1）向主机B（192.168.8.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址，如果找到就知道了目标MAC地址，直接把目标MAC地址写入帧里发送即可；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF-FF-FF-FF-FF-FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.8.2的MAC地址是什么？”，网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时才向主机A做出这样的回应：“192.168.8.2的MAC地址是BB-BB-BB-BB-BB-BB”。这样，主机A知道了主机B的MAC地址，它就可以向主机B发送信息了。同时主机A还更新了自己的ARP缓存表，下次再向主机B发送信息时直接从ARP缓存表里查找即可ARP缓存表采用了老化机制，即在一段时间内如果表中的某一行没有使用就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度从上面可以看出，ARP协议的基础是信任局域网内所有的信息，因此就很容易实现在以太网上的ARP欺骗。假如A去PING主机C，欺骗者只要使A的ARP缓存中C的MAC地址为DD-DD-DD-DD-DD-DD，这样A就把以太网帧发到D了http:/ http:/ http:/ ARP协议漏洞协议漏洞2、ARP攻击方式大多数攻击者进行ARP攻击的目的是窃听被攻击者的信息（如游戏帐号和密码），因此攻击者需要窃听被攻击者访问INTERNET的以太网帧。为了达到这个目的，攻击者B要同时欺骗被攻击者A和网关C。欺骗的结果是A的ARP缓存中C的MAC地址变成了B的MAC地址，C的ARP缓存中A的MAC地址变成了B的MAC地址。这样，当A发以太网帧给C时，实际上帧发到了B处，C发帧给A时，实际上帧发到B处，此时B充当了一个中间人的角色，这样B就能窃听A和C之间的所有通信ARP协议有两种协议包，即广播包和响应包。B只要发一个广播帧，包内ARP协议中的源IP地址改成C的IP地址，源MAC地址为B的MAC地址，目标IP地址为A的IP地址，目标MAC地址为“FF-FF-FF-FF-FF-FF”。这样，A收到这个帧后就认为这是C发来的，帧内的源MAC地址为C的MAC地址，并用这个信息更新ARP缓存，同样道理可以欺骗Chttp:/ http:/ http:/ ARP攻击分析攻击分析用Cain工具进行ARP攻击，Wireshark作为协议分析的工具 1、安装Wireshark和CainWireshark主要是分析ARP协议的通信过程，Cain实施ARP攻击并对攻击对象的数据进行解密。使用这两个工具都会使网卡处在混杂模式下，但需要先安装WinPcap_3_1.exe 序号序号软件名称软件名称功能功能注意事项注意事项1WinPcap_3_1.exe使网卡处在混杂模式下在Wireshark和Cain前安装2Wireshark流量嗅探和协议分析3CainARP病毒攻击，ARP扫描，密码破解表表12-3 软件安装软件安装列表列表http:/ http:/ http:/ ARP攻击分析攻击分析图图12-2 Wireshark启动界面启动界面图图12-3 Cain启动启动界面界面http:/ http:/ http:/ ARP攻击分析攻击分析2、使用Wireshark分析ARP协议要使用WIRESHARK分析ARP协议，首先要捕获ARP数据包。单击“Capture”-“Interfaces”，选择要捕获数据的网卡，单击“Start”按钮，这样网卡就处于混杂模式下，并开始捕获数据包。为了产生ARP数据包，可以浏览一下WWW.163.COM的网页，然后停止捕获，查看捕获到的数据包，如图12-4所示 图图12-4 捕获捕获ARP数据包数据包http:/ http:/ http:/ ARP攻击分析攻击分析2、使用Wireshark分析ARP协议浏览WWW.163.COM主页时必须通过网关转发数据，因此，首先要知道网关的MAC地址，从图12-4中可以看出，第一个ARP数据包是主机10.60.31.26发的广播包，询问网关：“10.60.31.254的MAC地址？”，第二个ARP数据包是网关10.60.31.254告诉主机10.60.31.26：“网关的MAC地址是00:1b:0d:e7:12:40”，这是正常的ARP协议通信过程 http:/ http:/ http:/ ARP攻击分析攻击分析3、选择主机进行ARP欺骗（1）为了找到攻击目标，首先要扫描局域网中的所有存活主机，单击Cain工具中的“Confiture”菜单，选择捕获数据的网卡，单击 按钮，启动捕获数据，然后，单击 ，单击右键启动，扫描所有存活主机，如图12-5所示 图图12-5 局域网存活主机扫描局域网存活主机扫描http:/ http:/ http:/ ARP攻击分析攻击分析3、选择主机进行ARP欺骗（2）单击 ，选择捕获10.60.31.5与10.60.31.254之间的通信，如图12-6所示 图图12-6 选择要欺骗的主机选择要欺骗的主机http:/ http:/ http:/ ARP攻击分析攻击分析3、选择主机进行ARP欺骗（3）单击 ，启动欺骗，如图12-7所示 图图12-7 启动欺骗启动欺骗http:/ http:/ http:/ ARP攻击分析攻击分析3、选择主机进行ARP欺骗（4）在主机10.60.31.5上登录邮箱，Cain会显示捕获的数据，如图12-8所示 图图12-8 捕获的数据包情况捕获的数据包情况http:/ http:/ http:/ ARP攻击分析攻击分析3、选择主机进行ARP欺骗（5）单击 会发现邮箱密码已经被捕获，如图12-9所示 图图12-9 数据解密数据解密http:/ http:/ http:/ ARP攻击分析攻击分析4、查看被攻击主机的ARP缓存，发现网关10.60.31.254的MAC地址是攻击主机10.60.31.26的MAC地址，如图12-10所示图图12-10 被攻击主机的被攻击主机的ARP缓存缓存http:/ http:/ http:/ ICMP协议漏洞攻击分析与协议漏洞攻击分析与防范防范12.2.1 ICMP协议概述12.2.2 基于ICMP的攻击分析 http:/ http:/ http:/ ICMP协议概述协议概述 ICMP协议是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在IP主机与路由器之间传递控制信息控制信息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息当遇到IP数据无法访问目标IP、路由器无法按当前的传输速率转发数据包等情况时会自动发送 ICMP消息。可以通过PING命令发送ICMP回应请求报文（ICMP Echo-Request），并记录收到ICMP回应回复报文（ICMP Echo-Reply），通过这些报文对网络或主机的故障处理提供参考依据。ICMP数据包是用IP封装和发送的，用来向IP和高层协议通报有关网络层的差错和流量控制情况，所有的路由器和主机都支持此协议http:/ http:/ http:/ ICMP协议概述协议概述 图12-11是通过PING命令检测目标地址是否可达的一个实例 图图12-11 Ping命令检测目标地址是否可达命令检测目标地址是否可达http:/ http:/ http:/ 基于基于ICMP的攻击分析的攻击分析ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机1、死亡之Ping（Ping of Death）利用ICMP数据包最大尺寸不超过64KB这一规定，向主机发起死亡之Ping攻击其攻击原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致 TCP/IP堆栈崩溃和主机死机http:/ http:/ http:/ 基于基于ICMP的攻击分析的攻击分析1、死亡之Ping（Ping of Death）以WINDOWS操作系统中的Ping命令为例，通过该命令不停地向IP地址为192.168.1.20的目标计算机发送大小为65500 BYTE的数据包，如图12-12所示。这其实就是一种死亡之Ping的攻击方式，但是，只有一台计算机这么做可能没有什么效果，如果有20台以上的计算机同时采用该方式Ping一台WINDOWS 2003服务器，则目标服务器网络将在不到5分钟的时间内严重堵塞甚至瘫痪，HTTP和FTP服务完全停止，由此可见其威力非同小可。死亡之Ping通常需要通过控制大量僵尸机来形成一定规模的攻击效应图图12-12 通过大数据包通过大数据包Ping目标计算机目标计算机http:/ http:/ http:/ 基于基于ICMP的攻击分析的攻击分析 2、ICMP风暴向目标主机长时间、连续、大量地发送ICMP数据包会最终使系统瘫痪其工作原理是：利用发出ICMP类型8的Echo-Request给目标主机，对方收到后会发出中断请求给操作系统，请系统回送一个类型0的Echo-Reply。大量的 ICMP数据包会形成“ICMP风暴”或称为“ICMP洪流”，使得目标主机耗费大量的CPU资源处理，它是拒绝服务（DoS）攻击的一种类型，具体的实现方式主要有三种（1）针对宽带的DoS攻击（2）针对连接的DoS攻击（3）Smurf攻击http:/ http:/ http:/ 攻击者假冒目标主机向路由器发出广播的ICMP Echo-Request数据包。因为目的地是广播地址，路由器在收到之后会对该网段内的所有计算机发出此ICMP数据包，这样所有的计算机在接收到此信息后会对源主机（即被假冒的攻击目标）送出ICMP Echo-Replay响应如此一来，所有的 ICMP数据包会在极短的时间内涌入目标主机内，这不但造成网络拥塞，而且会使目标主机因为无法反应如此多的系统中断而导致暂停服务。除此之外，如果一连串的ICMP广播数据包洪流被送进目标网内，将会造成网络长时间的拥塞，该网段上的所有计算机（包括路由器）都会成为攻击的受害者http:/ http:/ http:/ 以ICMP风暴工具Smurf为例，打开Smurf工具，输入目标计算机IP地址，点击“load list”按钮打开计算机列表，如图12-13所示 图图12-13 Smurf工具中输入目标计算机工具中输入目标计算机IP并载入计算机列并载入计算机列表表http:/ http:/ http:/ list.txt文件中列出了网段内所有计算机的列表，如图12-14所示点击“Smurf”按钮，将在该网段内产生ICMP风暴，使网络瞬间瘫痪 图图12-14 list.txt中列出了网段内所有计算机中列出了网段内所有计算机http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（1）打开计算机的“管理工具”-“本地安全设置”，右键单击“IP安全策略，在本地计算机”，选择“管理IP筛选器和IP筛选器操作”，如图12-15所示 图图12-15 管理管理IP筛选器和筛选器和IP筛选器操作筛选器操作http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（2）点击“添加”按钮在列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，再点击该页中的“添加”按钮，在“寻址”页中设置源地址为“任何IP地址”，目标地址为“我的IP地址”，在“协议”页设置协议类型为“ICMP”，点击“确定”，如图12-16所示 图图12-16 添加过滤规则添加过滤规则http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（3）点击“管理筛选器操作”，取消选中“使用添加向导”，点击“添加”按钮，如图12-17所示 图图12-17 设置筛选器属性设置筛选器属性http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（4）在“常规”选项卡中输入名称为“Deny操作”，在“安全措施”页中设置为“阻止”，如图12-18所示 图图12-18 设置筛选器操作设置筛选器操作http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（5）点击“确定”后回到“本地安全设置”界面，点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”，点击“下一步”，输入“ICMP过滤器”，通过增加过滤规则向导把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义的“Deny操作”，如图12-19所示 图图12-19 创建新创建新IP安全策略安全策略http:/ http:/ http:/ 防范防范ICMP攻击攻击1、通过本地安全设置防范ICMP攻击（6）最后启用设定好的安全策略，即在“ICMP过滤器”上点击右键，选择“指派”，如图12-20所示 上面的设置完成了一个关注所有进入系统的ICMP报文的过滤策略和丢弃所有报文的过滤操作，从而阻挡攻击者使用ICMP报文进行攻击 图图12-20 指派和应用新指派和应用新IP安全策略安全策略http:/ http:/ http:/ 防范防范ICMP攻击攻击2、通过修改注册表防范ICMP攻击（1）禁止ICMP重定向报文可以通过修改注册表禁止响应ICMP的重定向报文，从而使网络更为安全。打开注册表编辑器，找到或新建“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTCPIPParamters”分支，在右侧窗口中将子键“EnableICMPRedirects”（REG_DWORD型）的值修改为0（0为禁止ICMP的重定向报文，2为允许ICMP的重定向报文），如图12-21所示 图图12-21 禁止禁止ICMP重定向报文重定向报文http:/ http:/ http:/ 防范防范ICMP攻击攻击2、通过修改注册表防范ICMP攻击（2）禁止响应ICMP路由公告报文打开注册表编辑器，找到或新建“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTCPIPParamtersInterfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery”（REG_DWORD型）的值修改为0（0为禁止响应ICMP路由公告报文，2为允许响应ICMP路由公告报文），如图12-22所示 图图12-22 禁止响应禁止响应ICMP路由公告报文路由公告报文http:/ http:/ http:/ WEP协议攻击分析与防范协议攻击分析与防范12.3.1 WEP协议概述协议概述12.3.2 WEP加密与解密加密与解密过程过程12.3.3 WEP破解过程分析破解过程分析12.3.4 防范无线网络协议破解防范无线网络协议破解http:/ http:/ http:/ WEP协议协议概述概述IEEE 802.11标准中采用了WEP（Wired Equivalent Privacy：有线对等保密）协议来设置专门的安全机制，进行业务流的加密和节点的认证 主要用于无线局域网中链路层信息数据的保密WEP采用对称加密机理，数据的加密和解密采用相同的密钥和加密算法，它使用加密密钥（也称为WEP密钥）加密IEEE 802.11网络上交换的每个数据包的数据部分。启用加密后，两个IEEE 802.11设备要进行通信必须具有相同的加密密钥，其工作原理如图12-23所示 图图12-23 WEP工作原理工作原理http:/ http:/ http:/ WEP加密与解密加密与解密过程过程1、WEP加密过程 WEP支持64位和128位加密。对于64位加密，加密密钥为10个十六进制字符（0-9和A-F）或5个ASCII字符；对于128位加密，加密密钥为26个十六进制字符或13个ASCII 字符WEP依赖通信双方共享的密钥来保护所传输的加密数据，其数据的加密过程如图12-24所示 图图12-24 WEP加密过程加密过程http:/ http:/ http:/ WEP加密与解密加密与解密过程过程2、WEP解密过程 在安全机制中加密数据帧的解密过程只是加密过程的简单取反，解密过程如图12-25所示 图图12-25 WEP解密过程解密过程http:/ http:/ http:/ WEP破解过程分析破解过程分析1、使用BackTrack 3（BackTrack是一套用来进行计算机安全检测的Linux操作系统，简称BT，其中集成了200多种安全检查工具）引导启动一台带有无线网卡的笔记本电脑，启动后出现BackTrack系统界面，点击右键启动一个Konsole，它是BackTrack内置的命令行界面，类似于WINDOWS系统中的CMD窗口，它在任务栏的左下角从左往右第二个图标，如图12-26所示 图图12-26 BackTrack 3系统主界系统主界面面http:/ http:/ http:/ WEP破解过程分析破解过程分析2、输入如下命令设置无线网卡网络接口，如图12-27所示 第一条命令显示网络接口名称为RA0，但在不同的实验环境中网络接口名称可能不一样，后面所有命令都必须使用第一条命令显示的网络接口名称。至此，在笔记本的无线网卡上伪造了一个新的MAC地址00:11:22:33:44:55，现在可以开始使用这个网络接口了 图图12-27 设置无线网卡网络接口设置无线网卡网络接口http:/ http:/ http:/ WEP破解过程分析破解过程分析3、输入命令airodump-ng ra0，记录下目标路由器“yoyo”的BSSID和Channel信息，结果如图12-28所示 图图12-28 搜索附近所有无线路由器信息搜索附近所有无线路由器信息http:/ http:/ http:/ WEP破解过程分析破解过程分析4、输入命令airodump-ng-c(channel)-w(file name)bssid(bssid)ra0。其中，(channel)、(bssid)就是之前获取的那些信息，（file name）随意填写，如图12-29所示 图图12-29 捕获数据包并放入文件中捕获数据包并放入文件中http:/ http:/ http:/ WEP破解过程分析破解过程分析5、在前台新建一个konsole窗口（不要关掉原窗口），输入如下命令：#aireplay-ng-1 0-a(bssid)-h 00:11:22:33:44:55-e(essid)ra0这里的essid是接入点的名称（这里为YOYO），如图12-30所示，运行后得到“association successful”的结果 图图12-30 握手成功界面握手成功界面http:/ http:/ http:/ WEP破解过程分析破解过程分析6、继续输入如下命令：#AIREPLAY-NG-(CHANNEL)-B(BSSID)-H 00:11:22:33:44:55 RA0结果如图12-31所示 图图12-31 抓取无线网络数据抓取无线网络数据http:/ http:/ http:/ WEP破解过程分析破解过程分析7、启动第三个终端窗口，输入如下命令：#AIRCRACK-NG-N 64-B(BSSID)(FILENAME)该命令用来破解前面所收集到的数据，这里的filename就是在第4步中输入的文件名。可以在系统的Home目录下看到该文件（.cap后缀名）。如果命令运行成功，会看到如图12-32所示的破解成功界面（KEY FOUND）图图12-32 WEP密码破解成功密码破解成功