網(wǎng)絡(luò)安全-8-攻擊課件

隱蔽與欺騙IP欺騙TCP劫持攻擊域名欺騙攻擊下載安裝欺騙登錄界面欺騙2網(wǎng)絡(luò)上的隱蔽與欺騙在網(wǎng)絡(luò)上，攻擊者最忌諱的就是留下自己的真實痕跡，因此，對有關(guān)自己的任何線索都要設(shè)法加以隱蔽，其中最基本的，就是要對自己的IP地址進(jìn)行隱蔽在網(wǎng)絡(luò)上，即使沒有漏洞可利用，也可以通過一些不容易察覺的技術(shù)欺騙手段來完成一些相對復(fù)雜的攻擊IP欺騙Unix主機(jī)間可以定義一些信任關(guān)系，有了這些信任關(guān)系，就可以在一個小圈子里弱化安全策略，簡化訪問控制的手續(xù)IP欺騙攻擊就是利用了這種信任關(guān)系，采用技術(shù)欺騙手段達(dá)到攻擊的目的復(fù)習(xí)：握手過程B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)包，通知A需要建立TCP連接，并將TCP報頭中的發(fā)送序列號設(shè)置成自己本次連接的初始值ISN。A回傳給B一個帶有SYN+ACK標(biāo)志的數(shù)據(jù)包，告之自己的ISN，并確認(rèn)B發(fā)送來的第一個數(shù)據(jù)段，將確認(rèn)序列號設(shè)置成B的ISN+1。B確認(rèn)收到的A的數(shù)據(jù)包，將確認(rèn)序列號設(shè)置成A的ISN+1。TCP使用的序列號是一個32位的計數(shù)器，從0～4,294,967,295。SYNSYN/ACKACKBATCP報文格式BA保留URG源端口目的端口發(fā)送序號確認(rèn)序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFINSYN=1=ISN(B)TCP報文格式：AB保留URG源端口目的端口發(fā)送序號確認(rèn)序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFINSYN=1ACK=1=ISN(B)+1=ISN(A)TCP報文格式：BA保留URG源端口目的端口發(fā)送序號確認(rèn)序號首部長度緊急指針選項和填充窗口大小檢查和數(shù)據(jù)（可選）ACKPSHRSTSYNFIN=ISN(A)+1ACK=1ISN的生成和變化模式TCP為每一個連接選擇一個初始序號ISN，為了防止因為延遲、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法理解TCP如何分配ISN以及ISN隨時間變化的規(guī)律，對于IP欺騙攻擊十分重要ABCCC假設(shè)B信任C，A攻擊BA首先用拒絕服務(wù)攻擊把C打死然后，A冒充C，用rlogin向B的rlogind發(fā)起連接請求IP欺騙攻擊流程IP欺騙攻擊流程為此，A必須確定B當(dāng)前的ISN首先連向25端口(選擇這一端口是因為SMTP沒有安全校驗機(jī)制)，記錄B的ISN，以及A到B的大致的RTT(RoundTripTime)這個步驟要重復(fù)多次以便求出RTT的平均值現(xiàn)在A知道了B的ISN基值和增加規(guī)律，也知道了從A到B的單程時間平均是RTT/2可以動手了，否則在這之間有其他主機(jī)與B連接，ISN將發(fā)生意外變化ACBIP欺騙攻擊流程AB發(fā)送帶有SYN標(biāo)志的請求連接，但源IP地址改成了C，目的端口為513(rlogind默認(rèn)端口)B向C回送SYN+ACK包C死了無法響應(yīng)，C的TCP層丟棄A的回送包ACBIP欺騙攻擊流程A讓過B發(fā)送SYN+ACK的足夠時間（反正看不到）然后再次偽裝成C向B發(fā)送ACK，其中的確認(rèn)序列號ISN(B)+1帶有預(yù)測性質(zhì)如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始此后，由于A一直在偽裝C，所以B的回送數(shù)據(jù)都會發(fā)給已經(jīng)死了的CA的所有后續(xù)操作命令，都要在這種看不見回應(yīng)的“盲連接”狀態(tài)下完成，比如發(fā)送“cat++>>~/.rhosts”這樣的命令如果預(yù)測不準(zhǔn)確，B將發(fā)送一個帶有RST標(biāo)志的TCP包終止異常連接，A只有從頭再來ACB總結(jié)概括來說，IP攻擊可以歸納為以下五點：找出B與C的信任關(guān)系封死你要冒充的主機(jī)C，以免它對你攻擊B造成干擾連接到B主機(jī)的某個端口（比如25）來猜測ISN的變化規(guī)律與B主機(jī)建立虛假連接并騙取B的信任關(guān)系其它后續(xù)手段ACB危害通過騙取信任關(guān)系，取得對主機(jī)的控制控制一旦得手，高風(fēng)險的事件將會發(fā)生應(yīng)對刪除所有的/etc/hosts.equiv、/.rhosts文件或修改/etc/inetd.conf文件，刪除不必要的信任關(guān)系還可以殺掉portmapper，或是設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部IP的IP包（家賊難防）TCP的ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)律可循，可以修改與ISN相關(guān)的代碼，因此選擇好的算法，使得攻擊者難以找到規(guī)律，也是有效的防范手段（遙遠(yuǎn)）對攻擊的評價利用信任關(guān)系，打死一個，再冒充死者控制信任它的不設(shè)防主機(jī)，顯現(xiàn)出戰(zhàn)術(shù)組合思想，值得肯定Unix+信任關(guān)系設(shè)置，這種環(huán)境越來越少，攻擊成立的前提條件不夠普遍看不見回應(yīng)的“盲操作”具有一定難度對序列號的猜測不易達(dá)到很高的命中率，猜測錯誤可以作為入侵檢測的依據(jù)TCP劫持攻擊(TCPHijacking)在IP欺騙攻擊中，使用的是一個真實的IP地址，攻擊者必須留心那臺機(jī)器對攻擊造成干擾，把它打死換一下思路，我們可以首先控制一臺已經(jīng)和目標(biāo)主機(jī)建立起連接的機(jī)器，模仿它的序列號但把源地址替換成一個子虛烏有的IP地址，然后無縫地切換到自己的機(jī)器上，同時繼續(xù)保持剛才的假地址和序列號，做更多的事情這種攻擊叫做“TCP劫持攻擊”或“會話劫持攻擊”取得控制觀察連接已有連接假地址替換主機(jī)切換ABCTCP劫持圖解觀察誰在和目標(biāo)連接，選擇劫持對象假設(shè)確定了B在和C連接，C是目標(biāo)，B是劫持對象獲取B的某種權(quán)限，控制B獲取B與C當(dāng)前TCP連接的序列號從某一時刻起，將B向C發(fā)出的包的源IP地址改為預(yù)先設(shè)定的假地址，維持序列號從某一時刻起，將B主機(jī)與C的連接斷開，攻擊者利用假地址和真序列號將連接過渡到自己的機(jī)器與C之間做更多的事情……會話劫持攻擊程序JuggernautHuntTTY

WatcherIP

Watcher20危害：猝不及防假地址只是隱蔽性的問題破壞性主要是在主機(jī)切換這個環(huán)節(jié)C通常都會錯誤地以為A還是剛才的正常用戶B從而不會有什么戒備，而且此時往往是原來的正常用戶正在和服務(wù)器進(jìn)行交換信息或是進(jìn)行一些事件的時候，這時候用戶往往會有更大的權(quán)限能做更多的事情，從而為黑客提供了更加便利的條件防范比較困難A劫持了B后，B對于C來說和原來是沒有什么兩樣，它對A的訪問也都會被當(dāng)成正當(dāng)訪問處理，如果它自己換了一個IP地址也會很容易被當(dāng)真，況且這種情況屬于正常操作的也不是沒有因此，可以說正常的B和被劫持的B是非常難區(qū)分的防御重點還只能是B的被控制從攻擊角度的評價TCP劫持攻擊是一種比較高級的攻擊技術(shù)，它具有相當(dāng)?shù)碾[蔽性，不易被發(fā)現(xiàn)但可以造成很多機(jī)會TCP劫持攻擊的前提是對B機(jī)的控制，關(guān)鍵是保持正確序列號條件下的無縫的切換（真假IP地址和參加連接的主機(jī)），是一種綜合多種技術(shù)的、帶有一定戰(zhàn)術(shù)組合色彩的攻擊域名欺騙攻擊你是否遇到這樣的情況：本來想登錄網(wǎng)站甲，結(jié)果卻走進(jìn)了網(wǎng)站乙你以為網(wǎng)站甲被黑了，其實網(wǎng)站甲的數(shù)據(jù)完好無損，只不過你接收到的數(shù)據(jù)并不來自網(wǎng)站甲而是來自網(wǎng)站乙都是域名惹的禍——在域名解析這個環(huán)節(jié)，你被欺騙了，有人向你偽造了關(guān)于這個域名的IP地址的信息比喻：問路時被人告訴了一個錯誤的地址域名欺騙的實現(xiàn)途徑通過偽造的電子郵件注冊域名修改信息通過請求重定向通過偽造DNS應(yīng)答包通過控制DNS服務(wù)器……偽造注冊郵件攻擊者通過冒充原域名擁有者以E-MAIL方式注冊域名記錄,將域名轉(zhuǎn)讓到另一團(tuán)體,通過修改注冊信息所指定的DNS服務(wù)器加進(jìn)該域名記錄,讓原域名指向另一IP的服務(wù)器,通常那兩臺服務(wù)器都是攻擊者預(yù)先入侵控制的服務(wù)器,并不歸攻擊者所擁有域名解析請求重定向利用對某些路由器的控制權(quán)將域名解析請求重定向到私設(shè)的域名服務(wù)器，返回錯誤的解析結(jié)果發(fā)送偽造的DNS應(yīng)答包局域網(wǎng)通過監(jiān)聽手段獲取DNS請求，得到ID冒充DNS，設(shè)法搶先發(fā)送偽造的DNS應(yīng)答包廣域網(wǎng)在一定范圍內(nèi)猜測ID，廣種薄收控制DNS服務(wù)器控制DNS服務(wù)器一些過期的Bind版本存在緩沖區(qū)溢出漏洞，可以用來控制DNS服務(wù)器通過控制DNS服務(wù)器來實施DNS欺騙30/New-227.html防范升級或加固DNS服務(wù)器保護(hù)域名注冊管理員賬號保護(hù)各級路由器注意從網(wǎng)頁上識別被黑網(wǎng)頁和被劫持域名的網(wǎng)頁被黑的網(wǎng)頁在地址欄使用的是自己的（正確的）域名被劫持域名的網(wǎng)頁在地址欄使用的是別人的（錯誤的）域名從攻擊角度的評價攻擊DNS會使網(wǎng)絡(luò)出現(xiàn)命名混亂，給被劫持域名擁有者帶來損失，也給廣大使用者帶來不便對域名服務(wù)器的控制具有一定的戰(zhàn)略意義域名欺騙技術(shù)稍加改造，即可做成域名備份系統(tǒng)，在非常時期使用下載安裝欺騙一些免費軟件在下載安裝時要求Root權(quán)限在安裝軟件的同時，也順便以root權(quán)限做了一些別的事情，比如安裝后門，替換登錄程序等這種欺騙手法為進(jìn)一步控制目標(biāo)系統(tǒng)做好了準(zhǔn)備登錄界面欺騙利用一個機(jī)會（比如下載安裝欺騙），將登錄程序替換成偽裝的登錄程序從界面上看，它與正常的登錄程序沒什么兩樣，但是它做的事情卻很重要——截獲你的口令如果你信以為真，像往常一樣登錄你的用戶ID和口令，那就壞了——記錄下你的口令后，它可以執(zhí)行正常的登錄功能，也可以故意制造一次死機(jī)，當(dāng)然，你的口令已經(jīng)在攻擊者掌握之中了偽裝登錄界面login:password:總結(jié)欺騙攻擊危害很大，與正常的網(wǎng)絡(luò)使用較難區(qū)分，很難提煉攻擊特征，因此不容易防范一些欺騙攻擊具有一定的戰(zhàn)術(shù)組合味道，但距離真正的協(xié)同攻擊還有一定的差距關(guān)于攻擊的進(jìn)一步研究更強(qiáng)的隱蔽性進(jìn)程、代碼、通信的隱蔽更強(qiáng)的協(xié)同性主機(jī)-僚機(jī)的分工等更強(qiáng)的欺騙性針對防火墻、IDS的閾下攻擊更強(qiáng)的殺傷力借助病毒傳播手段大規(guī)模放大殺傷力關(guān)于攻擊的進(jìn)一步研究漏洞研究永無止境，我們還有機(jī)會停留在重復(fù)驗證水平是沒有出息的，也是沒有軍事價值的，要在學(xué)習(xí)的基礎(chǔ)上創(chuàng)新，拿出我們自己的殺手锏網(wǎng)絡(luò)攻擊在更大規(guī)模下的戰(zhàn)術(shù)/戰(zhàn)役協(xié)同是一個全新的課題，值得認(rèn)真研究漏洞的發(fā)現(xiàn)和攻擊的構(gòu)造還停留在原始手工階段，缺乏有深度的理論體系，有待時機(jī)成熟時從理論上做概括39關(guān)于攻擊的忠告不要急于表現(xiàn)自己不要過分意氣用事不要當(dāng)網(wǎng)上職業(yè)殺手和以攻擊為籌碼的勒索者要做俠之大者，虛懷若谷，不斷鉆研，德藝雙馨隔離公網(wǎng)內(nèi)網(wǎng)連接還是隔離，這是一個問題……隔離隔絕根據(jù)國家保密局2000年1月1日起頒布實施的《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條的規(guī)定，“涉及國家秘密的計算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離”44隔離的等級與狹義隔離A （不設(shè)防連接）網(wǎng)絡(luò)之間存在不受控的即時連接B （設(shè)防連接）網(wǎng)絡(luò)之間存在受控的即時連接C （邏輯隔離）網(wǎng)絡(luò)之間存在受控的延時數(shù)據(jù)交換D （物理隔離）網(wǎng)絡(luò)之間不存在任何數(shù)據(jù)交換安全域與廣義隔離安全策略上具有共性的網(wǎng)絡(luò)互聯(lián)而成的整體，叫做一個安全域不同的安全域之間，在安全策略上有所不同，需要一種技術(shù)措施來加以維持這種維持不同安全域之間不同安全策略“壓差”的技術(shù)措施，稱為廣義的“隔離”安全域劃分網(wǎng)絡(luò)1網(wǎng)絡(luò)3網(wǎng)絡(luò)4網(wǎng)絡(luò)2網(wǎng)絡(luò)5BCD等級B的安全域等級C的安全域等級D的安全域網(wǎng)絡(luò)6隔離的典型應(yīng)用一般政務(wù)網(wǎng)（政務(wù)外網(wǎng)）辦公環(huán)境：邏輯隔離（C級）內(nèi)部網(wǎng)獲取外部網(wǎng)的指定信息內(nèi)部網(wǎng)與外部網(wǎng)交換指定信息核心涉密網(wǎng)（政務(wù)內(nèi)網(wǎng)）辦公環(huán)境：物理隔離（D級）一個桌面容納兩個網(wǎng)的辦公環(huán)境，確保二者不發(fā)生數(shù)據(jù)交換雙機(jī)系統(tǒng)內(nèi)網(wǎng)外網(wǎng)雙機(jī)單終端系統(tǒng)內(nèi)網(wǎng)外網(wǎng)單機(jī)雙網(wǎng)系統(tǒng)內(nèi)網(wǎng)外網(wǎng)單機(jī)單線系統(tǒng)X內(nèi)網(wǎng)外網(wǎng)外網(wǎng)內(nèi)網(wǎng)網(wǎng)閘對進(jìn)出內(nèi)外網(wǎng)的信息進(jìn)行過濾問題和挑戰(zhàn)雙網(wǎng)/單網(wǎng)成本比：極限是多少？什么叫“受控”？外來病毒、木馬的過濾外來攻擊的過濾內(nèi)部涉密信息外泄的過濾內(nèi)外網(wǎng)之間的安全通信協(xié)議來自管理