网络信息对抗第四章TCPIP网络协议攻击PPT资料.ppt

1、344248003网络信息对抗网络信息对抗第四章：第四章：TCP/IP网络协议攻击网络协议攻击o坐地日行八万里，坐地日行八万里，巡天遥看一千河。巡天遥看一千河。o 毛泽东毛泽东 o两岸猿声啼不住，轻舟已过万重山。两岸猿声啼不住，轻舟已过万重山。o 李李 白白提纲提纲oTCP/IP网络协议栈攻击概述o网络层协议攻击网络层协议攻击o传输层协议攻击传输层协议攻击oTCP/IP网络协议栈攻击防范措施o作业作业4TCP/IP协议栈重点协议的攻击实验网络安全属性网络安全属性o网络安全网络安全CIA属性属性n机密性（Confidentiality）n完整性（Integrity）n可用性（Availabili

2、ty）o其他两个补充属性其他两个补充属性n真实性（Authentication）n不可抵赖性（Non-Repudiation）可审查性（Accountability）网络攻击基本模式网络攻击基本模式o截获截获n嗅探（sniffing）n监听（eavesdropping）o中断中断n拒绝服务（DoSing）o篡改篡改n数据包篡改（tampering）o伪造伪造n欺骗（Spoofing）网络攻击基本模式网络攻击基本模式中间人攻击中间人攻击（MITM攻击攻击）o通信双方通信双方nAlice&Bobo中间人中间人nMalloryn与通信双方建立起各自独立的会话连接n对双方进行身份欺骗n进行消息的双向转

3、发n必要前提：拦截通信双方的全部通信（截获）、转发篡改消息（篡改）、双方身份欺骗（伪造）n现实世界中的中间人攻击婚介中心欺骗术TCP/IP网络协议栈安全缺陷与攻击技术网络协议栈安全缺陷与攻击技术原始报文伪造技术及工具原始报文伪造技术及工具o原始报文伪造技术原始报文伪造技术n伪造出特制的网络数据报文并发送n原始套接字（Raw Socket）oNetwox/Netwagn超过200个不同功能的网络报文生成与发送工具n#netwoxnumber parameters.NetwoxNetwagNetwox图形版图形版提纲提纲oTCP/IP网络协议栈攻击概述o网络层协议攻击网络层协议攻击o传输层协议攻击

4、传输层协议攻击oTCP/IP网络协议栈攻击防范措施o作业作业4TCP/IP协议栈重点协议的攻击实验IP源地址欺骗源地址欺骗oIP源地址欺骗源地址欺骗n伪造具有虚假源地址的IP数据包进行发送n目的：隐藏攻击者身份、假冒其他计算机oIP源地址欺骗原理源地址欺骗原理n路由转发只是用目标IP地址，不对源做验证n现实世界中的平信n通常情况：无法获得响应包IP源地址欺骗源地址欺骗IP源地址欺骗源地址欺骗假冒假冒IP攻击攻击o可以嗅探响应包的环境可以嗅探响应包的环境n同一局域网nARP欺骗、重定向攻击劫持响应包o盲攻击盲攻击（blind attack）nRobert T.Morris在1985年提出nKev

5、in Mitinick在1995年仍使用n通过猜测TCP三次握手中所需的信息，假冒IP建立起TCP连接盲攻击过程盲攻击过程IP源地址欺骗技术的应用场景源地址欺骗技术的应用场景o普遍应用场景普遍应用场景n拒绝服务攻击：无需或不期望响应包，节省带宽，隐藏攻击源n网络扫描（nmap-D）：将真正扫描源隐藏于一些欺骗的源IP地址中o假冒假冒IP攻击场景攻击场景n对付基于IP地址的身份认证机制o类Unix平台上的主机信任关系o防火墙或服务器中配置的特定IP访问许可n远程主机IP欺骗-盲攻击，较难成功利用利用Netwox进行进行IP源地址欺骗源地址欺骗IP源地址欺骗的防范措施源地址欺骗的防范措施o使用随机

6、化的初始序列号避免远程的盲攻击o使用网络层安全传输协议如IPsecn避免泄露高层协议可供利用的信息及传输内容o避免采用基于IP地址的信任策略n以基于加密算法的用户身份认证机制来替代o在路由器和网关上实施包检查和过滤n入站过滤机制（ingress filtering）n出站过滤机制（egress filtering）ARP欺骗（ARP Spoofing）oARP协议工作原理协议工作原理n将网络主机的IP地址解析成其MAC地址o每台主机设备上都拥有一个ARP缓存（ARP Cache）o检查自己的ARP缓存，有，直接映射，无，广播ARP请求包o检查数据包中的目标IP地址是否与自己的IP地址一致，如一

7、致，发送ARP响应，告知MAC地址o源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中oARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的ARP欺骗（ARP Spoofing）ARP欺骗攻击技术原理欺骗攻击技术原理网关网关ARP欺骗欺骗ARP欺骗技术的应用场景欺骗技术的应用场景o利用ARP欺骗进行交换网络中的嗅探oARP欺骗构造中间人攻击，从而实施TCP会话劫持oARP病毒oARP欺骗挂马利用利用Netwox进行进行ARP欺骗欺骗ARP欺骗攻击防范措施欺骗攻击防范措施o静态绑定关键主机的IP地址与M

8、AC地址映射关系n网关/关键服务器narp-s IP地址MAC地址类型o使用相应的ARP防范工具nARP防火墙o使用VLAN虚拟子网细分网络拓扑o加密传输数据以降低ARP欺骗攻击的危害后果ICMP路由重定向攻击路由重定向攻击oICMP路由重定向攻击n伪装成路由器发送虚假的ICMP路由路径控制报文n使受害主机选择攻击者指定的路由路径n攻击目的：嗅探或假冒攻击o技术原理n路由器告知主机：“应该使用的路由器IP地址”ICMP报文格式报文格式ICMP路由重定向攻击技术路由重定向攻击技术o攻击节点冒充网关IP，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点o被攻击节点接受报

9、文，选择攻击节点作为其新路由器（即网关）o攻击节点可以开启路由转发，实施中间人攻击o“谎言还是真话”？利用Netwox进行ICMP路由重定向攻击ICMP路由重定向攻击ICMP路由重定向攻击防范路由重定向攻击防范o根据类型过滤一些ICMP数据包o设置防火墙过滤o对于ICMP重定向报文判断是不是来自本地路由器提纲提纲oTCP/IP网络协议栈攻击概述o网络层协议攻击网络层协议攻击o传输层协议攻击传输层协议攻击oTCP/IP网络协议栈攻击防范措施o作业作业4TCP/IP协议栈重点协议的攻击实验TCP RST攻击o中断攻击o伪造TCP重置报文攻击（spoofed TCP reset packet）nTC

10、P重置报文将直接关闭掉一个TCP会话连接n限制条件：通讯目标方接受TCP包o通讯源IP地址及端口号一致o序列号（Seq）落入TCP窗口之内n嗅探监视通信双方的TCP连接，获得源、目标IP地址及端口n结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方o应用场景：恶意拒绝服务攻击、重置入侵连接、GFWnGFW:“net:ERR_CONNECTION_RESET”TCP RST攻击演示TCP RST攻击TCP会话劫持o结合嗅探、欺骗技术o中间人攻击：注射额外信息，暗中改变通信o计算出正确的seqackseq即可oTCP会话攻击工具nJuggernaut、Hunt、TTY watch

11、er、IP watcherTCP会话劫持攻击过程如何防止会话劫持如何防止会话劫持o避免攻击者成为通信双方的中间人n部署交换式网络，用交换机代替集线器n禁用主机上的源路由n采用静态绑定IP-MAC映射表以避免ARP欺n过滤ICMP重定向报文oTCP会话加密（IPsec协议）n避免了攻击者在得到传输层的端口及序列号等关键信息o防火墙配置n限制尽可能少量的外部许可连接的IP地址o检测nACK风暴：ACK包的数量明显增加TCP SYN Floodo拒绝服务攻击（DoS）n破坏可用性oTCP SYN FloodnSYN洪泛攻击n利用TCP三次握手协议的缺陷n大量的伪造源地址的SYN连接请求n消耗目标主机

12、的连接队列资源n不能够为正常用户提供服务TCP SYN Flood利用利用Netwox进行进行TCP SYN Flood攻击攻击SYN Flood攻击防范措施-SynCookieo弥补TCP连接建立过程资源分配这一缺陷o“无状态的三次握手”n服务器收到一个SYN报文后,不立即分配缓冲区n利用连接的信息生成一个cookie,作为SEQn客户端返回ACK中带着ACK=cookie+1n服务器端核对cookie,通过则建立连接，分配资源SYN Flood攻击防范措施防火墙地址状态监控技术防火墙地址状态监控技术o有状态防火墙n网络中的TCP连接进行状态监控和处理n维护TCP连接状态：NEW状态、GOO

13、D状态、BAD状态n“三次握手”代理防火墙地址状态监控技术防火墙地址状态监控技术UDP Flood攻击oUDP协议n无状态不可靠n仅仅是传输数据报oUDP Floodn带宽耗尽型拒绝服务攻击n分布式拒绝服务攻击（DDoS）n利用僵尸网络控制大量受控傀儡主机n通常会结合IP源地址欺骗技术UDP Flood攻击防范措施o禁用或过滤监控和响应服务o禁用或过滤其它的UDP 服务o网络关键位置使用防火墙和代理机制来过滤掉一些非预期的网络流量o遭遇带宽耗尽型拒绝服务攻击n终端无能为力n补救措施：网络扩容、转移服务器位置n事件响应：汇报给安全应急响应部门、追溯和处置n流量清洗解决方案：ISP为关键客户/服务

14、所提供提纲提纲oTCP/IP网络协议栈攻击概述o网络层协议攻击网络层协议攻击o传输层协议攻击传输层协议攻击oTCP/IP网络协议栈攻击防范措施o作业作业4TCP/IP协议栈重点协议的攻击实验监测、预防与安全加固监测、预防与安全加固o网络接口层主要安全威胁是网络嗅探n局域网中的监听点检测n网络设计上尽量细分和优化网络结构n关键路径上的网关、路由器等设备的严格安全防护n各类网络采用上层的加密通信协议o互联层n多种检测和过滤技术来发现和阻断网络中欺骗攻击n增强防火墙、路由器和网关设备的安全策略（egress filtering）n关键服务器使用静态绑定IP-MAC映射表、使用IPsec协议加密通讯等

15、预防机制监测、预防与安全加固监测、预防与安全加固o传输层n加密传输和安全控制机制（身份认证，访问控制）o应用层n加密，用户级身份认证，数字签名技术，授权和访问控制技术以及主机安全技术如审计、入侵检测网络安全协议网络安全协议o网络接口层n无线：WPA/WPA2n统一认证：802.1Xo网络互联层nIPsec协议簇nAH协议：完整性、认证、抗重放攻击nESP协议：机密性、数据源验证、抗重放、完整性o传输层nTLS/SSL:加密、可靠o应用层nHTTPS、S/MIME、SET网络安全协议网络安全协议下一代因特网协议下一代因特网协议o下一代因特网协议nIPv6为代表nICMPv6、DHCPv6n没有了

16、ARPoIPv6优势nIPv6具有更大的地址空间：主动扫描和主动传播受到抑制nIPv6使用更小的路由表nIPv6增加了增强的组播（Multicast）支持以及对流的支持（Flow Control）提升QoSnIPv6加入了对自动配置（Auto Configuration）的支持nIPv6具有更高的安全性：网络层的数据进行加密,提纲提纲oTCP/IP网络协议栈攻击概述o网络层协议攻击网络层协议攻击o传输层协议攻击传输层协议攻击oTCP/IP网络协议栈攻击防范措施o作业作业4TCP/IP协议栈重点协议的攻击实验作业：作业：TCP/IP协议栈重点协议的攻击实验o网络层攻击nARP缓存欺骗nICMP重定向攻击o传输层攻击nSYN flood攻击nTCP RST攻击nTCP会话劫持o提交详细实验报告odeadline:4月18日