欺騙攻擊-ARP攻擊課件

第5章加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除EFS簡(jiǎn)介在獨(dú)立MicrosoftWindowsXP環(huán)境中實(shí)現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實(shí)現(xiàn)EFS實(shí)現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除EFS簡(jiǎn)介欺1欺騙攻擊（IP,ARP，DNS）純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見(jiàn) 1994.12.25，凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計(jì)算中心 1999年，RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年，臺(tái)灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術(shù)性2ARP欺騙攻擊ARP欺騙攻擊3ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計(jì)算機(jī)B的MAC地址是Hacker計(jì)算機(jī)的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計(jì)算機(jī)A的MAC地址是Hacker計(jì)算機(jī)的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過(guò)Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:4ARP欺騙攻擊ARP欺騙攻擊5ARP欺騙木馬局域網(wǎng)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序 ?會(huì)欺騙局域網(wǎng)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)， ?原來(lái)由路由器上網(wǎng)的計(jì)算機(jī)現(xiàn)在轉(zhuǎn)由病毒主機(jī)上網(wǎng)發(fā)作時(shí)，用戶會(huì)斷一次線?ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通訊擁塞，用戶會(huì)感覺(jué)到上網(wǎng)的速度越來(lái)越慢?當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線ARP欺騙木馬局域網(wǎng)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序6ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時(shí)斷時(shí)通；網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；頻繁提示IP地址沖突；硬件設(shè)備正常，局域網(wǎng)不通；特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；網(wǎng)頁(yè)被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時(shí)斷時(shí)通；7ARP欺騙攻擊的防范措施1安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機(jī)器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個(gè)批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊(cè)表項(xiàng)，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙8IP欺騙：基礎(chǔ)TCP協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè)32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)(ISN)在TCP握手時(shí)產(chǎn)生。攻擊者如果向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的ISN，再通過(guò)多次測(cè)量來(lái)回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來(lái)回時(shí)間RTT。利用ISN和RTT，就可以預(yù)測(cè)下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接，并預(yù)測(cè)到目標(biāo)主機(jī)的TCP序列號(hào)，攻擊者就能使用有害數(shù)據(jù)包，從而蒙騙目標(biāo)主機(jī)IP欺騙：基礎(chǔ)TCP協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，9IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）10IP欺騙攻擊過(guò)程IP欺騙攻擊過(guò)程11IP欺騙攻擊過(guò)程1、屏蔽主機(jī)B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號(hào)采樣和猜測(cè)。猜測(cè)ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機(jī)，發(fā)送SYN請(qǐng)求建立連接4、等待目標(biāo)主機(jī)發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機(jī)發(fā)送ACK，并帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+16、建立連接，通過(guò)其它已知漏洞獲得Root權(quán)限，安裝后門(mén)并清除LogIP欺騙攻擊過(guò)程1、屏蔽主機(jī)B。方法：Dos攻擊，如La12IP欺騙攻擊攻擊的難點(diǎn)：ISN的預(yù)測(cè)TCP使用32位計(jì)數(shù)器每一個(gè)連接選擇一個(gè)ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現(xiàn)連接增加64000無(wú)連接情況下每9.32小時(shí)復(fù)位一次IP欺騙攻擊攻擊的難點(diǎn)：ISN的預(yù)測(cè)13IP欺騙的防范措施安裝VPN網(wǎng)關(guān)，實(shí)現(xiàn)加密和身份認(rèn)證實(shí)施PKICA,實(shí)現(xiàn)身份認(rèn)證通信加密IP欺騙的防范措施安裝VPN網(wǎng)關(guān)，實(shí)現(xiàn)加密和身份認(rèn)證14DNS欺騙攻擊復(fù)雜，使用簡(jiǎn)單RSASecurity網(wǎng)站曾被成功攻擊DNS欺騙原理 IP與域名的關(guān)系 DNS的域名解析 RandPorttoDNSs53DNS’··DNS欺騙攻擊復(fù)雜，使用簡(jiǎn)單15DNS欺騙原理DNS欺騙原理16第5章加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除EFS簡(jiǎn)介在獨(dú)立MicrosoftWindowsXP環(huán)境中實(shí)現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實(shí)現(xiàn)EFS實(shí)現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除EFS簡(jiǎn)介欺17欺騙攻擊（IP,ARP，DNS）純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見(jiàn) 1994.12.25，凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計(jì)算中心 1999年，RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年，臺(tái)灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術(shù)性18ARP欺騙攻擊ARP欺騙攻擊19ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計(jì)算機(jī)B的MAC地址是Hacker計(jì)算機(jī)的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計(jì)算機(jī)A的MAC地址是Hacker計(jì)算機(jī)的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過(guò)Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:20ARP欺騙攻擊ARP欺騙攻擊21ARP欺騙木馬局域網(wǎng)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序 ?會(huì)欺騙局域網(wǎng)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)， ?原來(lái)由路由器上網(wǎng)的計(jì)算機(jī)現(xiàn)在轉(zhuǎn)由病毒主機(jī)上網(wǎng)發(fā)作時(shí)，用戶會(huì)斷一次線?ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通訊擁塞，用戶會(huì)感覺(jué)到上網(wǎng)的速度越來(lái)越慢?當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線ARP欺騙木馬局域網(wǎng)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序22ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時(shí)斷時(shí)通；網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；頻繁提示IP地址沖突；硬件設(shè)備正常，局域網(wǎng)不通；特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；網(wǎng)頁(yè)被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時(shí)斷時(shí)通；23ARP欺騙攻擊的防范措施1安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機(jī)器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個(gè)批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊(cè)表項(xiàng)，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測(cè)系統(tǒng)，檢測(cè)ARP欺騙24IP欺騙：基礎(chǔ)TCP協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè)32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)(ISN)在TCP握手時(shí)產(chǎn)生。攻擊者如果向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的ISN，再通過(guò)多次測(cè)量來(lái)回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來(lái)回時(shí)間RTT。利用ISN和RTT，就可以預(yù)測(cè)下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接，并預(yù)測(cè)到目標(biāo)主機(jī)的TCP序列號(hào)，攻擊者就能使用有害數(shù)據(jù)包，從而蒙騙目標(biāo)主機(jī)IP欺騙：基礎(chǔ)TCP協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，25IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）26IP欺騙攻擊過(guò)程IP欺騙攻擊過(guò)程27IP欺騙攻擊過(guò)程1、屏蔽主機(jī)B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號(hào)采樣和猜測(cè)。猜測(cè)ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機(jī)，發(fā)送SYN請(qǐng)求建立連接4、等待目標(biāo)主機(jī)發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機(jī)發(fā)送ACK，并帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+16、建立連接，通過(guò)其它已知漏洞獲得Root權(quán)限，安裝后門(mén)并清除LogIP欺騙攻擊過(guò)程1、屏蔽主機(jī)B。方法：Dos攻擊，如La28IP欺騙攻擊攻擊的難點(diǎn)：ISN的預(yù)測(cè)TCP使用32位計(jì)數(shù)器每一個(gè)連接選擇一個(gè)ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現(xiàn)連接增加64000無(wú)連接情況下每9.32小時(shí)復(fù)位一次IP欺騙攻擊攻擊的難點(diǎn)：ISN的預(yù)測(cè)