網(wǎng)絡(luò)信息安全法概述(PPT48張)

TCP/IP網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第1頁。TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第2頁。網(wǎng)絡(luò)安全屬性網(wǎng)絡(luò)安全CIA屬性保密性(Confidentiality)完整性(Integrity)可用性(Availability)其他兩個補(bǔ)充屬性真實(shí)性(Authentication)不可抵賴性(Non-Repudiation)–可審查性(Accountability)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第3頁。網(wǎng)絡(luò)攻擊基本模式：

被動攻擊-竊聽

Interception網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第4頁。網(wǎng)絡(luò)攻擊基本模式：

被動攻擊–流量分析

TrafficAnalysis網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第5頁。網(wǎng)絡(luò)攻擊基本模式：

主動攻擊-偽裝

Masquerade

網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第6頁。網(wǎng)絡(luò)攻擊基本模式：

主動攻擊-

重放Replay網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第7頁。網(wǎng)絡(luò)攻擊基本模式：

主動攻擊-

篡改Modification網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第8頁。網(wǎng)絡(luò)攻擊基本模式：

主動攻擊:拒絕服務(wù)

DenialofService網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第9頁。對攻擊的一般處理原則被動攻擊–側(cè)重于阻止容易阻止難于檢測主動攻擊–側(cè)重于檢測與恢復(fù)難于阻止容易檢測網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第10頁。3、在理解課文時學(xué)生對曹沖想到的方法不太理解，我就讓學(xué)生親自觀察試驗(yàn)幫助理解課文內(nèi)容。25、愛一個人就是指幫助他回到自己，使他更是他自己?！窢柪铡と?2、沒有斗爭就沒有功績，沒有功績就沒有獎賞，而沒有行動就沒有生活。——別林斯基16、為了求戀愛成功而盡量隱藏自己的缺點(diǎn)的人，其實(shí)是愚蠢的。——傅雷8.正路并不一定就是一條平平坦坦的直路，難免有些曲折和崎嶇險阻，要繞一些彎，甚至難免誤入歧途。中間人攻擊(MITM攻擊)通信雙方Alice&Bob中間人Mallory與通信雙方建立起各自獨(dú)立的會話連接對雙方進(jìn)行身份欺騙進(jìn)行消息的雙向轉(zhuǎn)發(fā)必要前提：攔截通信雙方的全部通信(截獲)、轉(zhuǎn)發(fā)篡改消息(篡改)、雙方身份欺騙(偽造)現(xiàn)實(shí)世界中的中間人攻擊–國際象棋欺騙術(shù)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第11頁。TCP/IP網(wǎng)絡(luò)協(xié)議棧

安全缺陷與攻擊技術(shù)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第12頁。原始報文偽造技術(shù)及工具原始報文偽造技術(shù)偽造出特制的網(wǎng)絡(luò)數(shù)據(jù)報文并發(fā)送原始套接字(RawSocket)Netwox/Netwag超過200個不同功能的網(wǎng)絡(luò)報文生成與發(fā)送工具#netwoxnumber[parameters...]網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第13頁。Netwox工具使用演示Netwox:命令行Netwag:窗口,TCL支持Wireshark捕獲網(wǎng)絡(luò)包工具32：偽造以太網(wǎng)包網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第14頁。網(wǎng)絡(luò)層協(xié)議攻擊網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第15頁。IP源地址欺騙IP源地址欺騙偽造具有虛假源地址的IP數(shù)據(jù)包進(jìn)行發(fā)送目的：隱藏攻擊者身份、假冒其他計(jì)算機(jī)IP源地址欺騙原理路由轉(zhuǎn)發(fā)只是用目標(biāo)IP地址，不對源做驗(yàn)證現(xiàn)實(shí)世界中的平信通常情況：無法獲得響應(yīng)包攻擊者IP(A)服務(wù)器IP(B)其他用戶IP(C)Internet攻擊者數(shù)據(jù)包的源IP為IP(C)，目標(biāo)IP為IP(B)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第16頁。IP源地址欺騙–假冒IP攻擊可以嗅探響應(yīng)包的環(huán)境同一局域網(wǎng)ARP欺騙、重定向攻擊劫持響應(yīng)包盲攻擊(blindattack)RobertT.Morris在1985年提出KevinMitinick在1995年仍使用通過猜測TCP三次握手中所需的信息，假冒IP建立起TCP連接網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第17頁。盲攻擊過程攻擊者IP(A)目標(biāo)服務(wù)器CIP(C)受信任的主機(jī)BIP(B)1.進(jìn)行DoS攻擊使B喪失工作能力2.對ISN采樣猜測3.以IP(B)為源IP發(fā)送SYN包5.以IP(B)為源IP再發(fā)送ACK包(猜測的ISN+1)6.正式建立連接4.發(fā)送SYN+ACK但是B不會應(yīng)答網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第18頁。IP源地址欺騙技術(shù)的應(yīng)用場景普遍應(yīng)用場景拒絕服務(wù)攻擊：無需或不期望響應(yīng)包，節(jié)省帶寬，隱藏攻擊源網(wǎng)絡(luò)掃描(nmap-D)：將真正掃描源隱藏于一些欺騙的源IP地址中假冒IP攻擊場景對付基于IP地址的身份認(rèn)證機(jī)制類Unix平臺上的主機(jī)信任關(guān)系防火墻或服務(wù)器中配置的特定IP訪問許可遠(yuǎn)程主機(jī)IP欺騙-盲攻擊，較難成功網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第19頁。利用Netwox進(jìn)行IP源地址欺騙工具34/38網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第20頁。IP源地址欺騙的防范措施使用隨機(jī)化的初始序列號以避免遠(yuǎn)程的盲攻擊使用網(wǎng)絡(luò)層安全傳輸協(xié)議如IPsec避免泄露高層協(xié)議可供利用的信息及傳輸內(nèi)容避免采用基于IP地址的信任策略以基于加密算法的用戶身份認(rèn)證機(jī)制來替代在路由器和網(wǎng)關(guān)上實(shí)施包檢查和過濾入站過濾機(jī)制(ingressfiltering)出站過濾機(jī)制(egressfiltering)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第21頁。使用相應(yīng)的ARP防范工具SYNFlood攻擊防范措施-SynCookieAH協(xié)議：完整性、認(rèn)證、抗重放攻擊Usage:netwox78[-ddevice][-ffilter][-sspoofip][-iips]25、愛一個人就是指幫助他回到自己，使他更是他自己。IP源地址欺騙的防范措施②檢查自己的ARP緩存，有，直接映射，無，廣播ARP請求包限制條件：通訊目標(biāo)方接受TCP包netwox78-i"172.被攻擊節(jié)點(diǎn)接受報文，選擇攻擊節(jié)點(diǎn)作為其新路由器(即網(wǎng)關(guān))不能夠?yàn)檎Ｓ脩籼峁┓?wù)使用網(wǎng)絡(luò)層安全傳輸協(xié)議如IPsecARP欺騙(ARPSpoofing)ARP協(xié)議工作原理將網(wǎng)絡(luò)主機(jī)的IP地址解析成其MAC地址①每臺主機(jī)設(shè)備上都擁有一個ARP緩存(ARPCache)②檢查自己的ARP緩存，有，直接映射，無，廣播ARP請求包③檢查數(shù)據(jù)包中的目標(biāo)IP地址是否與自己的IP地址一致，如一致，發(fā)送ARP響應(yīng)，告知MAC地址④源節(jié)點(diǎn)在收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目標(biāo)主機(jī)IP地址和MAC地址對映射表項(xiàng)添加到自己的ARP緩存中1.ARP請求2.保存IP(A)/MAC(A)3.ARP應(yīng)答4.保存IP(B)/MAC(B)AB網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第22頁。ARP欺騙攻擊技術(shù)原理ARP欺騙：發(fā)送偽造ARP消息，對特定IP所對應(yīng)的MAC地址進(jìn)行假冒欺騙，從而達(dá)到惡意目的ACB其他機(jī)器1.廣播ARP請求B的MAC地址2不斷發(fā)送偽造ARP應(yīng)答包，映射IP(B)/MAC(C)3保存錯誤的映射IP(B)/MAC(C)4本應(yīng)發(fā)送至B的數(shù)據(jù)包5通過同樣的手段欺騙B1廣播ARP請求B的MAC地址2發(fā)送ARP應(yīng)答，映射IP(B)/MAC(B)1廣播ARP請求B的MAC地址2正常機(jī)器不會響應(yīng)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第23頁。網(wǎng)關(guān)ARP欺騙網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第24頁。ARP欺騙技術(shù)的應(yīng)用場景利用ARP欺騙進(jìn)行交換網(wǎng)絡(luò)中的嗅探ARP欺騙構(gòu)造中間人攻擊，從而實(shí)施TCP會話劫持ARP病毒ARP欺騙掛馬網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第25頁。利用Netwox進(jìn)行ARP欺騙工具33網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第26頁。ARP欺騙攻擊防范措施靜態(tài)綁定關(guān)鍵主機(jī)的IP地址與MAC地址映射關(guān)系網(wǎng)關(guān)/關(guān)鍵服務(wù)器"arp-sIP地址MAC地址類型"使用相應(yīng)的ARP防范工具ARP防火墻使用VLAN虛擬子網(wǎng)細(xì)分網(wǎng)絡(luò)拓?fù)浼用軅鬏敂?shù)據(jù)以降低ARP欺騙攻擊的危害后果網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第27頁。ICMP路由重定向攻擊ICMP路由重定向攻擊偽裝成路由器發(fā)送虛假的ICMP路由路徑控制報文使受害主機(jī)選擇攻擊者指定的路由路徑攻擊目的：嗅探或假冒攻擊技術(shù)原理路由器告知主機(jī)：“應(yīng)該使用的

路由器IP地址”網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第28頁。ICMP路由重定向攻擊技術(shù)攻擊節(jié)點(diǎn)冒充網(wǎng)關(guān)IP，向被攻擊節(jié)點(diǎn)發(fā)送ICMP重定向報文，并將指定的新路由器IP地址設(shè)置為攻擊節(jié)點(diǎn)被攻擊節(jié)點(diǎn)接受報文，選擇攻擊節(jié)點(diǎn)作為其新路由器(即網(wǎng)關(guān))攻擊節(jié)點(diǎn)可以開啟路由轉(zhuǎn)發(fā)，實(shí)施中間人攻擊“謊言還是真話”？網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第29頁。ICMP路由重定向攻擊防范根據(jù)類型過濾一些ICMP數(shù)據(jù)包設(shè)置防火墻過濾對于ICMP重定向報文判斷是不是來自本地路由器網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第30頁。傳輸層協(xié)議攻擊網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第31頁。TCPRST攻擊中斷攻擊偽造TCP重置報文攻擊(spoofedTCPresetpacket)TCP重置報文將直接關(guān)閉掉一個TCP會話連接限制條件：通訊目標(biāo)方接受TCP包通訊源IP地址及端口號一致序列號(Seq)落入TCP窗口之內(nèi)嗅探監(jiān)視通信雙方的TCP連接，獲得源、目標(biāo)IP地址及端口結(jié)合IP源地址欺騙技術(shù)偽裝成通信一方，發(fā)送TCP重置報文給通信另一方應(yīng)用場景：惡意拒絕服務(wù)攻擊、重置入侵連接、GFWGFW:“net::ERR_CONNECTION_RESET”網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第32頁。TCPRST攻擊演示Netwox#78toolReseteveryTCPpacketUsage:netwox78[-ddevice][-ffilter][-sspoofip][-iips]netwox78-i"172.*.*.188"網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第33頁。受信任的主機(jī)BIP(B)ARP欺騙(ARPSpoofing)網(wǎng)絡(luò)中的TCP連接進(jìn)行狀態(tài)監(jiān)控和處理不能夠?yàn)檎Ｓ脩籼峁┓?wù)ARP欺騙、重定向攻擊劫持響應(yīng)包路由器IP地址”使用相應(yīng)的ARP防范工具維護(hù)TCP連接狀態(tài)：NEW狀態(tài)、GOOD狀態(tài)、BAD狀態(tài)…以IP(B)為源IP發(fā)送SYN包盲攻擊(blindattack)避免攻擊者成為通信雙方的中間人TCP會話劫持攻擊過程①每臺主機(jī)設(shè)備上都擁有一個ARP緩存(ARPCache)使受害主機(jī)選擇攻擊者指定的路由路徑TCP會話劫持結(jié)合嗅探、欺騙技術(shù)中間人攻擊：注射額外信息，暗中改變通信計(jì)算出正確的seqackseq即可TCP會話攻擊工具Juggernaut、Hunt、TTYwatcher、IPwatcher網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第34頁。TCP會話劫持攻擊過程受害者攻擊者服務(wù)器連接請求ACK監(jiān)聽RST假冒受害者發(fā)送數(shù)據(jù)包認(rèn)證成功網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第35頁。Hunt工具介紹源碼開放的自由軟件，可運(yùn)行在Linux平臺上功能特點(diǎn)監(jiān)聽當(dāng)前網(wǎng)絡(luò)上的會話重置會話(resetasession)劫持會話在劫持之后，使連接繼續(xù)同步確定哪些主機(jī)在線四個守護(hù)進(jìn)程自動resetArp欺騙包的轉(zhuǎn)發(fā)收集MAC地址具有搜索功能的sniffer網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第36頁。如何防止會話劫持避免攻擊者成為通信雙方的中間人部署交換式網(wǎng)絡(luò)，用交換機(jī)代替集線器禁用主機(jī)上的源路由采用靜態(tài)綁定IP-MAC映射表以避免ARP欺過濾ICMP重定向報文TCP會話加密(IPsec協(xié)議)避免了攻擊者在得到傳輸層的端口及序列號等關(guān)鍵信息防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK風(fēng)暴：ACK包的數(shù)量明顯增加網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第37頁。TCPSYNFlood拒絕服務(wù)攻擊(DoS)破壞可用性TCPSYNFloodSYN洪泛攻擊利用TCP三次握手協(xié)議的缺陷大量的偽造源地址的SYN連接請求消耗目標(biāo)主機(jī)的連接隊(duì)列資源不能夠?yàn)檎Ｓ脩籼峁┓?wù)網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第38頁。TCPSYNFlood示意圖及效果網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第39頁。直接攻擊欺騙式攻擊分布式攻擊網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第40頁。利用Netwox進(jìn)行TCPSYNFlood工具76網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第41頁。SYNFlood攻擊防范措施-SynCookie彌補(bǔ)TCP連接建立過程資源分配這一缺陷無狀態(tài)的三次握手‖服務(wù)器收到一個SYN報文后,不立即分配緩沖區(qū)利用連接的信息生成一個cookie,作為SEQ客戶端返回ACK中帶著ACK=cookie+1服務(wù)器端核對cookie,通過則建立連接，分配資源網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第42頁。防火墻地址狀態(tài)監(jiān)控技術(shù)有狀態(tài)防火墻網(wǎng)絡(luò)中的TCP連接進(jìn)行狀態(tài)監(jiān)控和處理維護(hù)TCP連接狀態(tài)：NEW狀態(tài)、GOOD狀態(tài)、BAD狀態(tài)…三次握手‖代理網(wǎng)絡(luò)信息安全法概述(PPT48張)全文共48頁，當(dāng)前為第43頁。入站過濾機(jī)制(ingressfiltering)22、沒有斗爭就沒有功績，沒有功績就沒有獎賞，而沒有行動就沒有生活。網(wǎng)絡(luò)攻擊基本模式：

主動攻擊-篡改ModificationAlice&Bob原始套接字(RawSocket)遭遇帶寬耗盡型拒絕服務(wù)攻擊被攻擊節(jié)點(diǎn)接受報文，選擇攻擊節(jié)點(diǎn)作為其新路由器(即網(wǎng)關(guān))目的：隱藏攻擊者身份、假冒其他計(jì)算機(jī)靜態(tài)綁定關(guān)鍵主機(jī)的IP地址與MAC地址映射關(guān)系3保存錯誤的映射IP(B)/MAC(C)禁用或過濾監(jiān)控和響應(yīng)服務(wù)將網(wǎng)絡(luò)主機(jī)的IP地址解析成其MAC地址ARP欺騙(ARPSpoofing)IP(A)/MAC(A)UDPFlood攻擊UDP協(xié)議無狀態(tài)不可靠僅僅是傳輸數(shù)據(jù)報UDPFlood帶寬耗盡型拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊(DDoS)利用僵尸網(wǎng)絡(luò)控制大量受控傀儡主機(jī)通常會結(jié)合IP源地址欺騙技術(shù)網(wǎng)絡(luò)信息安全法