網絡信息安全法

TCP/IP網絡協(xié)議攻擊當前第1頁\共有48頁\編于星期五\13點TCP/IP網絡協(xié)議棧攻擊概述當前第2頁\共有48頁\編于星期五\13點網絡安全屬性網絡安全CIA屬性保密性(Confidentiality)完整性(Integrity)可用性(Availability)其他兩個補充屬性真實性(Authentication)不可抵賴性(Non-Repudiation)–可審查性(Accountability)當前第3頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

被動攻擊-竊聽

Interception當前第4頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

被動攻擊–流量分析

TrafficAnalysis當前第5頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

主動攻擊-偽裝

Masquerade

當前第6頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

主動攻擊-

重放

Replay當前第7頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

主動攻擊-

篡改Modification當前第8頁\共有48頁\編于星期五\13點網絡攻擊基本模式：

主動攻擊:拒絕服務

DenialofService當前第9頁\共有48頁\編于星期五\13點對攻擊的一般處理原則被動攻擊–側重于阻止容易阻止難于檢測主動攻擊–側重于檢測與恢復難于阻止容易檢測當前第10頁\共有48頁\編于星期五\13點中間人攻擊(MITM攻擊)通信雙方Alice&Bob中間人Mallory與通信雙方建立起各自獨立的會話連接對雙方進行身份欺騙進行消息的雙向轉發(fā)必要前提：攔截通信雙方的全部通信(截獲)、轉發(fā)篡改消息(篡改)、雙方身份欺騙(偽造)現(xiàn)實世界中的中間人攻擊–國際象棋欺騙術當前第11頁\共有48頁\編于星期五\13點TCP/IP網絡協(xié)議棧

安全缺陷與攻擊技術當前第12頁\共有48頁\編于星期五\13點原始報文偽造技術及工具原始報文偽造技術偽造出特制的網絡數據報文并發(fā)送原始套接字(RawSocket)Netwox/Netwag超過200個不同功能的網絡報文生成與發(fā)送工具#netwoxnumber[parameters...]當前第13頁\共有48頁\編于星期五\13點Netwox工具使用演示Netwox:命令行Netwag:窗口,TCL支持Wireshark捕獲網絡包工具32：偽造以太網包當前第14頁\共有48頁\編于星期五\13點網絡層協(xié)議攻擊當前第15頁\共有48頁\編于星期五\13點IP源地址欺騙IP源地址欺騙偽造具有虛假源地址的IP數據包進行發(fā)送目的：隱藏攻擊者身份、假冒其他計算機IP源地址欺騙原理路由轉發(fā)只是用目標IP地址，不對源做驗證現(xiàn)實世界中的平信通常情況：無法獲得響應包攻擊者IP(A)服務器IP(B)其他用戶IP(C)Internet攻擊者數據包的源IP為IP(C)，目標IP為IP(B)當前第16頁\共有48頁\編于星期五\13點IP源地址欺騙–假冒IP攻擊可以嗅探響應包的環(huán)境同一局域網ARP欺騙、重定向攻擊劫持響應包盲攻擊(blindattack)RobertT.Morris在1985年提出KevinMitinick在1995年仍使用通過猜測TCP三次握手中所需的信息，假冒IP建立起TCP連接當前第17頁\共有48頁\編于星期五\13點盲攻擊過程攻擊者IP(A)目標服務器CIP(C)受信任的主機BIP(B)1.進行DoS攻擊使B喪失工作能力2.對ISN采樣猜測3.以IP(B)為源IP發(fā)送SYN包5.以IP(B)為源IP再發(fā)送ACK包(猜測的ISN+1)6.正式建立連接4.發(fā)送SYN+ACK但是B不會應答當前第18頁\共有48頁\編于星期五\13點IP源地址欺騙技術的應用場景普遍應用場景拒絕服務攻擊：無需或不期望響應包，節(jié)省帶寬，隱藏攻擊源網絡掃描(nmap-D)：將真正掃描源隱藏于一些欺騙的源IP地址中假冒IP攻擊場景對付基于IP地址的身份認證機制類Unix平臺上的主機信任關系防火墻或服務器中配置的特定IP訪問許可遠程主機IP欺騙-盲攻擊，較難成功當前第19頁\共有48頁\編于星期五\13點利用Netwox進行IP源地址欺騙工具34/38當前第20頁\共有48頁\編于星期五\13點IP源地址欺騙的防范措施使用隨機化的初始序列號以避免遠程的盲攻擊使用網絡層安全傳輸協(xié)議如IPsec避免泄露高層協(xié)議可供利用的信息及傳輸內容避免采用基于IP地址的信任策略以基于加密算法的用戶身份認證機制來替代在路由器和網關上實施包檢查和過濾入站過濾機制(ingressfiltering)出站過濾機制(egressfiltering)當前第21頁\共有48頁\編于星期五\13點ARP欺騙(ARPSpoofing)ARP協(xié)議工作原理將網絡主機的IP地址解析成其MAC地址①每臺主機設備上都擁有一個ARP緩存(ARPCache)②檢查自己的ARP緩存，有，直接映射，無，廣播ARP請求包③檢查數據包中的目標IP地址是否與自己的IP地址一致，如一致，發(fā)送ARP響應，告知MAC地址④源節(jié)點在收到這個ARP響應數據包后，將得到的目標主機IP地址和MAC地址對映射表項添加到自己的ARP緩存中1.ARP請求2.保存IP(A)/MAC(A)3.ARP應答4.保存IP(B)/MAC(B)AB當前第22頁\共有48頁\編于星期五\13點ARP欺騙攻擊技術原理ARP欺騙：發(fā)送偽造ARP消息，對特定IP所對應的MAC地址進行假冒欺騙，從而達到惡意目的ACB其他機器1.廣播ARP請求B的MAC地址2不斷發(fā)送偽造ARP應答包，映射IP(B)/MAC(C)3保存錯誤的映射IP(B)/MAC(C)4本應發(fā)送至B的數據包5通過同樣的手段欺騙B1廣播ARP請求B的MAC地址2發(fā)送ARP應答，映射IP(B)/MAC(B)1廣播ARP請求B的MAC地址2正常機器不會響應當前第23頁\共有48頁\編于星期五\13點網關ARP欺騙當前第24頁\共有48頁\編于星期五\13點ARP欺騙技術的應用場景利用ARP欺騙進行交換網絡中的嗅探ARP欺騙構造中間人攻擊，從而實施TCP會話劫持ARP病毒ARP欺騙掛馬當前第25頁\共有48頁\編于星期五\13點利用Netwox進行ARP欺騙工具33當前第26頁\共有48頁\編于星期五\13點ARP欺騙攻擊防范措施靜態(tài)綁定關鍵主機的IP地址與MAC地址映射關系網關/關鍵服務器"arp-sIP地址MAC地址類型"使用相應的ARP防范工具ARP防火墻使用VLAN虛擬子網細分網絡拓撲加密傳輸數據以降低ARP欺騙攻擊的危害后果當前第27頁\共有48頁\編于星期五\13點ICMP路由重定向攻擊ICMP路由重定向攻擊偽裝成路由器發(fā)送虛假的ICMP路由路徑控制報文使受害主機選擇攻擊者指定的路由路徑攻擊目的：嗅探或假冒攻擊技術原理路由器告知主機：“應該使用的

路由器IP地址”當前第28頁\共有48頁\編于星期五\13點ICMP路由重定向攻擊技術攻擊節(jié)點冒充網關IP，向被攻擊節(jié)點發(fā)送ICMP重定向報文，并將指定的新路由器IP地址設置為攻擊節(jié)點被攻擊節(jié)點接受報文，選擇攻擊節(jié)點作為其新路由器(即網關)攻擊節(jié)點可以開啟路由轉發(fā)，實施中間人攻擊“謊言還是真話”？當前第29頁\共有48頁\編于星期五\13點ICMP路由重定向攻擊防范根據類型過濾一些ICMP數據包設置防火墻過濾對于ICMP重定向報文判斷是不是來自本地路由器當前第30頁\共有48頁\編于星期五\13點傳輸層協(xié)議攻擊當前第31頁\共有48頁\編于星期五\13點TCPRST攻擊中斷攻擊偽造TCP重置報文攻擊(spoofedTCPresetpacket)TCP重置報文將直接關閉掉一個TCP會話連接限制條件：通訊目標方接受TCP包通訊源IP地址及端口號一致序列號(Seq)落入TCP窗口之內嗅探監(jiān)視通信雙方的TCP連接，獲得源、目標IP地址及端口結合IP源地址欺騙技術偽裝成通信一方，發(fā)送TCP重置報文給通信另一方應用場景：惡意拒絕服務攻擊、重置入侵連接、GFWGFW:“net::ERR_CONNECTION_RESET”當前第32頁\共有48頁\編于星期五\13點TCPRST攻擊演示Netwox#78toolReseteveryTCPpacketUsage:netwox78[-ddevice][-ffilter][-sspoofip][-iips]netwox78-i"172.*.*.188"當前第33頁\共有48頁\編于星期五\13點TCP會話劫持結合嗅探、欺騙技術中間人攻擊：注射額外信息，暗中改變通信計算出正確的seqackseq即可TCP會話攻擊工具Juggernaut、Hunt、TTYwatcher、IPwatcher當前第34頁\共有48頁\編于星期五\13點TCP會話劫持攻擊過程受害者攻擊者服務器連接請求ACK監(jiān)聽RST假冒受害者發(fā)送數據包認證成功當前第35頁\共有48頁\編于星期五\13點Hunt工具介紹源碼開放的自由軟件，可運行在Linux平臺上功能特點監(jiān)聽當前網絡上的會話重置會話(resetasession)劫持會話在劫持之后，使連接繼續(xù)同步確定哪些主機在線四個守護進程自動resetArp欺騙包的轉發(fā)收集MAC地址具有搜索功能的sniffer當前第36頁\共有48頁\編于星期五\13點如何防止會話劫持避免攻擊者成為通信雙方的中間人部署交換式網絡，用交換機代替集線器禁用主機上的源路由采用靜態(tài)綁定IP-MAC映射表以避免ARP欺過濾ICMP重定向報文TCP會話加密(IPsec協(xié)議)避免了攻擊者在得到傳輸層的端口及序列號等關鍵信息防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK風暴：ACK包的數量明顯增加當前第37頁\共有48頁\編于星期五\13點TCPSYNFlood拒絕服務攻擊(DoS)破壞可用性TCPSYNFloodSYN洪泛攻擊利用TCP三次握手協(xié)議的缺陷大量的偽造源地址的SYN連接請求消耗目標主機的連接隊列資源不能夠為正常用戶提供服務當前第38頁\共有48頁\編于星期五\13點TCPSYNFlood示意圖及效果當前第39頁\共有48頁\編于星期五\13點直接攻擊欺騙式攻擊分布式攻擊當前第40頁\共有48頁\編于星期五\13點利用Netwox進行TCPSYNFlood工具76當前第41頁\共有48頁\編于星期五\13點SYNFlood攻擊防范措施-SynCookie彌補TCP連接建立過程資源分配這一缺陷無狀態(tài)的三次握手‖服務器收到一個SYN報文后,不立即分配緩沖區(qū)利用連接的信息生成一個cookie,作為SEQ客戶端返回ACK中帶著ACK=cookie+1服務器端核對cookie,通過則建立連接，分配資源當前第42頁\共有48頁\編于星期五\13點防火墻地址狀態(tài)監(jiān)控技術有狀態(tài)防火墻網絡中的TCP連接進行狀態(tài)監(jiān)控和處理維護TCP連接狀態(tài)：NEW狀態(tài)、GOOD狀態(tài)、BAD狀態(tài)…三次握手‖代理當前第43頁\共有48頁\編于星期五\13點UDPFlood攻擊UDP協(xié)議無狀態(tài)不可靠僅僅是傳輸數據報UDPFlood帶寬耗盡型拒絕服務攻擊分布式拒絕服務攻擊(DDoS)利用僵尸網絡控制大量受控傀儡主機通常會結合IP源地址欺騙技術當前第44頁\共有48頁\編于星期五\13點UDPFlood攻擊防范措施禁用或過濾監(jiān)控和響應服務禁用或過濾其它的UDP服務網絡關鍵位置使用防火墻和代理機制來過濾掉一些非預期的網絡流量遭遇帶寬耗盡型拒絕服務攻