网络信息安全课程ppt(推荐).ppt

TCP IP网络协议攻击 TCP IP网络协议栈攻击概述 网络安全属性 网络安全CIA属性保密性 Confidentiality 完整性 Integrity 可用性 Availability 其他两个补充属性真实性 Authentication 不可抵赖性 Non Repudiation 可审查性 Accountability 网络攻击基本模式 被动攻击 窃听Interception 网络攻击基本模式 被动攻击 流量分析TrafficAnalysis 网络攻击基本模式 主动攻击 伪装Masquerade 网络攻击基本模式 主动攻击 重放Replay 网络攻击基本模式 主动攻击 篡改Modification 网络攻击基本模式 主动攻击 拒绝服务DenialofService 对攻击的一般处理原则 被动攻击 侧重于阻止容易阻止难于检测主动攻击 侧重于检测与恢复难于阻止容易检测 中间人攻击 MITM攻击 通信双方Alice Bob中间人Mallory与通信双方建立起各自独立的会话连接对双方进行身份欺骗进行消息的双向转发必要前提 拦截通信双方的全部通信 截获 转发篡改消息 篡改 双方身份欺骗 伪造 现实世界中的中间人攻击 国际象棋欺骗术 TCP IP网络协议栈安全缺陷与攻击技术 原始报文伪造技术及工具 原始报文伪造技术伪造出特制的网络数据报文并发送原始套接字 RawSocket Netwox Netwag超过200个不同功能的网络报文生成与发送工具 netwoxnumber parameters Netwox工具使用演示 Netwox 命令行Netwag 窗口 TCL支持Wireshark捕获网络包工具32 伪造以太网包 网络层协议攻击 IP源地址欺骗 IP源地址欺骗伪造具有虚假源地址的IP数据包进行发送目的 隐藏攻击者身份 假冒其他计算机IP源地址欺骗原理路由转发只是用目标IP地址 不对源做验证现实世界中的平信通常情况 无法获得响应包 攻击者IP A 服务器IP B 其他用户IP C Internet 攻击者数据包的源IP为IP C 目标IP为IP B IP源地址欺骗 假冒IP攻击 可以嗅探响应包的环境同一局域网ARP欺骗 重定向攻击劫持响应包盲攻击 blindattack RobertT Morris在1985年提出KevinMitinick在1995年仍使用通过猜测TCP三次握手中所需的信息 假冒IP建立起TCP连接 盲攻击过程 攻击者IP A 目标服务器CIP C 受信任的主机BIP B 1 进行DoS攻击使B丧失工作能力 2 对ISN采样猜测 3 以IP B 为源IP发送SYN包 5 以IP B 为源IP再发送ACK包 猜测的ISN 1 6 正式建立连接 4 发送SYN ACK但是B不会应答 IP源地址欺骗技术的应用场景 普遍应用场景拒绝服务攻击 无需或不期望响应包 节省带宽 隐藏攻击源网络扫描 nmap D 将真正扫描源隐藏于一些欺骗的源IP地址中假冒IP攻击场景对付基于IP地址的身份认证机制类Unix平台上的主机信任关系防火墙或服务器中配置的特定IP访问许可远程主机IP欺骗 盲攻击 较难成功 利用Netwox进行IP源地址欺骗 工具34 38 IP源地址欺骗的防范措施 使用随机化的初始序列号以避免远程的盲攻击使用网络层安全传输协议如IPsec避免泄露高层协议可供利用的信息及传输内容避免采用基于IP地址的信任策略以基于加密算法的用户身份认证机制来替代在路由器和网关上实施包检查和过滤入站过滤机制 ingressfiltering 出站过滤机制 egressfiltering ARP欺骗 ARPSpoofing ARP协议工作原理将网络主机的IP地址解析成其MAC地址 每台主机设备上都拥有一个ARP缓存 ARPCache 检查自己的ARP缓存 有 直接映射 无 广播ARP请求包 检查数据包中的目标IP地址是否与自己的IP地址一致 如一致 发送ARP响应 告知MAC地址 源节点在收到这个ARP响应数据包后 将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中 1 ARP请求 2 保存IP A MAC A 3 ARP应答 4 保存IP B MAC B A B ARP欺骗攻击技术原理 ARP欺骗 发送伪造ARP消息 对特定IP所对应的MAC地址进行假冒欺骗 从而达到恶意目的 A C B 其他机器 1 广播ARP请求B的MAC地址 2不断发送伪造ARP应答包 映射IP B MAC C 3保存错误的映射IP B MAC C 4本应发送至B的数据包 5通过同样的手段欺骗B 1广播ARP请求B的MAC地址 2发送ARP应答 映射IP B MAC B 1广播ARP请求B的MAC地址 2正常机器不会响应 网关ARP欺骗 ARP欺骗技术的应用场景 利用ARP欺骗进行交换网络中的嗅探ARP欺骗构造中间人攻击 从而实施TCP会话劫持ARP病毒ARP欺骗挂马 利用Netwox进行ARP欺骗 工具33 ARP欺骗攻击防范措施 静态绑定关键主机的IP地址与MAC地址映射关系网关 关键服务器 arp sIP地址MAC地址类型 使用相应的ARP防范工具ARP防火墙使用VLAN虚拟子网细分网络拓扑加密传输数据以降低ARP欺骗攻击的危害后果 ICMP路由重定向攻击 ICMP路由重定向攻击伪装成路由器发送虚假的ICMP路由路径控制报文使受害主机选择攻击者指定的路由路径攻击目的 嗅探或假冒攻击技术原理路由器告知主机 应该使用的路由器IP地址 ICMP路由重定向攻击技术 攻击节点冒充网关IP 向被攻击节点发送ICMP重定向报文 并将指定的新路由器IP地址设置为攻击节点被攻击节点接受报文 选择攻击节点作为其新路由器 即网关 攻击节点可以开启路由转发 实施中间人攻击 谎言还是真话 ICMP路由重定向攻击防范 根据类型过滤一些ICMP数据包设置防火墙过滤对于ICMP重定向报文判断是不是来自本地路由器 传输层协议攻击 TCPRST攻击 中断攻击伪造TCP重置报文攻击 spoofedTCPresetpacket TCP重置报文将直接关闭掉一个TCP会话连接限制条件 通讯目标方接受TCP包通讯源IP地址及端口号一致序列号 Seq 落入TCP窗口之内嗅探监视通信双方的TCP连接 获得源 目标IP地址及端口结合IP源地址欺骗技术伪装成通信一方 发送TCP重置报文给通信另一方应用场景 恶意拒绝服务攻击 重置入侵连接 GFWGFW net ERR CONNECTION RESET TCPRST攻击演示 Netwox 78toolReseteveryTCPpacketUsage netwox78 ddevice ffilter sspoofip iips netwox78 i 172 188 TCP会话劫持 结合嗅探 欺骗技术中间人攻击 注射额外信息 暗中改变通信计算出正确的seqackseq即可TCP会话攻击工具Juggernaut Hunt TTYwatcher IPwatcher TCP会话劫持攻击过程 受害者 攻击者 服务器 连接请求 ACK 监听 RST 假冒受害者发送数据包 认证成功 Hunt工具介绍 源码开放的自由软件 可运行在Linux平台上功能特点监听当前网络上的会话重置会话 resetasession 劫持会话在劫持之后 使连接继续同步确定哪些主机在线四个守护进程自动resetArp欺骗包的转发收集MAC地址具有搜索功能的sniffer 如何防止会话劫持 避免攻击者成为通信双方的中间人部署交换式网络 用交换机代替集线器禁用主机上的源路由采用静态绑定IP MAC映射表以避免ARP欺过滤ICMP重定向报文TCP会话加密 IPsec协议 避免了攻击者在得到传输层的端口及序列号等关键信息防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK风暴 ACK包的数量明显增加 TCPSYNFlood 拒绝服务攻击 DoS 破坏可用性TCPSYNFloodSYN洪泛攻击利用TCP三次握手协议的缺陷大量的伪造源地址的SYN连接请求消耗目标主机的连接队列资源不能够为正常用户提供服务 TCPSYNFlood示意图及效果 直接攻击 欺骗式攻击 分布式攻击 利用Netwox进行TCPSYNFlood 工具76 SYNFlood攻击防范措施 SynCookie 弥补TCP连接建立过程资源分配这一缺陷无状态的三次握手 服务器收到一个SYN报文后 不立即分配缓冲区利用连接的信息生成一个cookie 作为SEQ客户端返回ACK中带着ACK cookie 1服务器端核对cookie 通过则建立连接 分配资源 防火墙地址状态监控技术 有状态防火墙网络中的TCP连接进行状态监控和处理维护TCP连接状态 NEW状态 GOOD状态 BAD状态 三次握手 代理 UDPFlood攻击 UDP协议无状态不可靠仅仅是传输数据报UDPFlood带宽耗尽型拒绝服务攻击分布式拒绝服务攻击 DDoS 利用僵尸网络控制大量受控傀儡主机通常会结合IP源地址欺骗技术 UDPFlood攻击防范措施 禁用或过滤监控和响应服务禁用或过滤其它的UDP服务网络关键位置使用防火墙和代理机制来过滤掉一些非预期的网络流量遭遇带宽耗尽型拒绝服务攻击终端无能为力补救措施 网络扩容 转移服务器位置事件响应 汇报给安全应急响应部门 追溯和处置流量清洗解决方案 ISP为关键客户 服务所提供 TCP IP网络协议栈攻击防范措施 监测 预防与安全加固 网络接口层 主要安全威胁是网络嗅探局域网中的监听点检测网络设计上尽量细分和优化网络结构关键路径上的网关 路由器等设备的严格安全防护各类网络采用上层的加密通信协议互联层多种检测和过滤技术来发现和阻断网络中欺骗攻击增强防火墙 路由器和网关设备的安全策略 egressfiltering 关键服务器使用静态绑定IP MAC映射表 使用IPsec协议加密通讯等预防机制传输层 加密传输和安全控制机制 身份认证 访问控制 应用层 加密 用户级身份认证 数字签名技术 授权和访问控制技术以及主机安全技术如审计 入侵检测 网络安全协议 网络接口层无线 WPA WPA2统一认证 802 1X网络互联层IPsec协议簇AH协议 完整性 认证 抗重放攻击ESP协议 机密性 数据源验证 抗重放 完整性传输层TLS SSL 加密 可靠应用层HTTPS S MIME SET