網(wǎng)絡(luò)攻防技術(shù)課件第7章假消息攻擊(上篇)

1、第七章 假消息攻擊第七章 假消息攻擊2本章主要內(nèi)容7.1 假消息攻擊概述7.2 網(wǎng)絡(luò)嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊2本章主要內(nèi)容7.1 假消息攻擊概述3假消息攻擊概述所謂假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計(jì)中的安全缺陷，通過(guò)發(fā)送偽造的數(shù)據(jù)包達(dá)到欺騙目標(biāo)、從中獲利的目的。3假消息攻擊概述所謂假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計(jì)中的安全缺4假消息攻擊概述TCP/IP協(xié)議的設(shè)計(jì)缺陷缺乏有效的信息加密機(jī)制，通信內(nèi)容易被第三方截獲缺乏有效的身份鑒別和認(rèn)證機(jī)制，通信雙方無(wú)法確認(rèn)彼此的身份4假消息攻擊概述TCP/IP協(xié)議的設(shè)計(jì)缺陷

2、5假消息攻擊概述應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層DNS欺騙IP欺騙ICMP重定向ARP欺騙SSL中間人SYN FloodIP分片攻擊假消息攻擊的類型5假消息攻擊概述應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層DNS欺騙IP欺6本章主要內(nèi)容7.1 假消息攻擊概述7.2 網(wǎng)絡(luò)嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊6本章主要內(nèi)容7.1 假消息攻擊概述嗅探嗅探（Sniff）技術(shù)是網(wǎng)絡(luò)中的竊聽(tīng)嗅探程序（Sniffer）截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，并從中解析出其中的機(jī)密信息嗅探嗅探（Sniff）技術(shù)是網(wǎng)絡(luò)中的竊聽(tīng)攻擊者進(jìn)行嗅探的目的竊取各種用戶名和口

3、令竊取機(jī)密的信息如電子郵件正文及附件、網(wǎng)絡(luò)打印的文檔等 窺探底層的協(xié)議信息如DNS的IP地址、本機(jī)IP地址、本機(jī)MAC地址，遠(yuǎn)程主機(jī)的IP地址、網(wǎng)關(guān)的IP地址、一次TCP連接的Sequence Numbe中間人攻擊時(shí)篡改數(shù)據(jù)的基礎(chǔ)攻擊者進(jìn)行嗅探的目的竊取各種用戶名和口令嗅探的正當(dāng)用途解釋網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的含義為網(wǎng)絡(luò)診斷提供參考為網(wǎng)絡(luò)性能分析提供參考，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸 發(fā)現(xiàn)網(wǎng)絡(luò)入侵跡象，為入侵檢測(cè)提供參考將網(wǎng)絡(luò)事件記入日志嗅探的正當(dāng)用途解釋網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的含義嗅探范圍802.3以太網(wǎng)使用廣播信道的網(wǎng)絡(luò)，在以太網(wǎng)中所有通信都是廣播的目前的以太網(wǎng)分為共享式以太網(wǎng)和交換式以太網(wǎng)共享式以太網(wǎng)使用同軸電

4、纜或HUB連接交換式以太網(wǎng)使用交換機(jī)連接嗅探范圍802.3以太網(wǎng)共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB發(fā)送到C共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c主機(jī)接收數(shù)據(jù)以太網(wǎng)卡首先從網(wǎng)絡(luò)中接收數(shù)據(jù)，并在處理完成數(shù)據(jù)鏈路層的任務(wù)后向操作系統(tǒng)的傳遞。主機(jī)接收數(shù)據(jù)以太網(wǎng)卡首先從網(wǎng)絡(luò)中接收數(shù)據(jù)，并在處理完成數(shù)據(jù)鏈以太網(wǎng)卡的工作原理網(wǎng)卡接收到傳輸來(lái)的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序檢查數(shù)據(jù)幀的目的MAC地址，根據(jù)網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式?jīng)Q定是否接收若不應(yīng)接收就直接丟棄否則通過(guò)中斷的方

5、式通知操作系統(tǒng)以太網(wǎng)卡的工作原理網(wǎng)卡接收到傳輸來(lái)的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序檢以太網(wǎng)卡的偵聽(tīng)模式偵聽(tīng)模式是網(wǎng)絡(luò)適配器分析傳入幀的目標(biāo)MAC地址，以決定是否進(jìn)一步處理它們的方式。單播模式：接收單播和廣播數(shù)據(jù)幀組播模式：接收單播、廣播和組播數(shù)據(jù)幀混雜模式：接收所有數(shù)據(jù)幀以太網(wǎng)卡的偵聽(tīng)模式偵聽(tīng)模式是網(wǎng)絡(luò)適配器分析傳入幀的目標(biāo)MAC單播模式單播模式下，網(wǎng)卡只讓與目標(biāo)MAC地址與自己MAC地址相匹配的數(shù)據(jù)幀或者廣播數(shù)據(jù)幀通過(guò)，而過(guò)濾掉其它的幀。單播模式單播模式下，網(wǎng)卡只讓與目標(biāo)MAC地址與自己MAC地址混雜模式混雜（promiscuous）模式下工作的網(wǎng)卡能夠接收到一切通過(guò)它的數(shù)據(jù)，而不進(jìn)行數(shù)據(jù)的目的地址檢

6、查，即不再進(jìn)行硬件過(guò)濾?；祀s模式混雜（promiscuous）模式下工作的網(wǎng)卡能夠接交換式以太網(wǎng)交換式以太網(wǎng)是使用交換機(jī)組建的局域網(wǎng)交換機(jī)使用端口和MAC地址對(duì)應(yīng)表進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，根據(jù)數(shù)據(jù)包的目的MAC地址，選定目標(biāo)端口E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.4444交換式以太網(wǎng)交換式以太網(wǎng)是使用交換機(jī)組建的局域網(wǎng)E0: 0交換式以太網(wǎng)包轉(zhuǎn)發(fā)E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c

7、01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX交換式以太網(wǎng)包轉(zhuǎn)發(fā)E0: 0260.8c01.1111MA交換式以太網(wǎng)嗅探MAC洪泛 MAC洪泛是向交換機(jī)發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包，使交換機(jī)無(wú)法處理如此多的信息，致使交換機(jī)進(jìn)入了所謂的“打開(kāi)失效”模式，也就是開(kāi)始了類似于Hub的工作方式，向網(wǎng)絡(luò)上所有的機(jī)器廣播數(shù)據(jù)包。交換式以太網(wǎng)嗅探MAC洪泛 交換式以太網(wǎng)嗅探MAC欺騙 攻擊者通過(guò)將源MAC地址偽造為目標(biāo)主機(jī)的源MAC地址，并將這樣的數(shù)

8、據(jù)包通過(guò)交換機(jī)發(fā)送出去，這使得交換機(jī)不斷地更新它的MAC端口映射表，從而讓交換機(jī)相信攻擊者主機(jī)的MAC地址就是目標(biāo)主機(jī)的MAC地址，交換機(jī)就會(huì)把本應(yīng)發(fā)送給目標(biāo)主機(jī)的數(shù)據(jù)包發(fā)送給攻擊者。交換式以太網(wǎng)嗅探MAC欺騙 交換式以太網(wǎng)嗅探ARP欺騙 攻擊者通過(guò)對(duì)網(wǎng)關(guān)和目標(biāo)主機(jī)進(jìn)行ARP欺騙，就可以截取到兩者之間的通信數(shù)據(jù)，從而達(dá)到在交換式局域網(wǎng)中嗅探的目的。交換式以太網(wǎng)嗅探ARP欺騙 協(xié)議還原協(xié)議還原即是將離散的網(wǎng)絡(luò)數(shù)據(jù)根據(jù)協(xié)議規(guī)范重新還原成可讀的協(xié)議格式。 主機(jī)封包嗅探器抓包嗅探器組包協(xié)議還原協(xié)議還原即是將離散的網(wǎng)絡(luò)數(shù)據(jù)根據(jù)協(xié)議規(guī)范重新還原成可主機(jī)封包協(xié)議頭和協(xié)議層的對(duì)應(yīng)關(guān)系應(yīng)用層數(shù)據(jù)TCP包頭IP包頭MAC幀頭應(yīng)用層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層主機(jī)封包協(xié)議頭和協(xié)議層的對(duì)應(yīng)關(guān)系應(yīng)用層數(shù)據(jù)TCP包頭IP包頭主機(jī)封包處理實(shí)體協(xié)議層次協(xié)議 應(yīng)用程序應(yīng)用層協(xié)議HTTP / FTP / SMTP / SNMP / POP3操作系統(tǒng) 傳輸層協(xié)議TCP / UDP網(wǎng)絡(luò)層協(xié)議ICMP / IP 以太網(wǎng)卡數(shù)據(jù)鏈路層協(xié)議 802.3以太網(wǎng)協(xié)議物理層協(xié)議 主機(jī)封包處理實(shí)體協(xié)議層次協(xié)議 應(yīng)用程序應(yīng)用層協(xié)議HTTP /主機(jī)封包主機(jī)封包嗅探器組包嗅探器組包嗅探的檢測(cè)嗅探器的檢測(cè)比較困難商業(yè)嗅探器向外發(fā)送的數(shù)據(jù)包向主機(jī)