《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-2.異常包攻擊

異常包攻擊原理

及入侵檢測(cè)配置常見報(bào)文攻擊畸形報(bào)文攻擊特殊報(bào)文攻擊Smurf攻擊Land攻擊Fraggle攻擊IP分片報(bào)文攻擊IP欺騙攻擊PingofDeath攻擊TCP報(bào)文標(biāo)志位攻擊Teardrop攻擊超大ICMP報(bào)文攻擊ICMP重定向報(bào)文攻擊ICMP不可達(dá)報(bào)文Tracert報(bào)文攻擊帶源路由選項(xiàng)的IP報(bào)文攻擊帶路由記錄項(xiàng)的IP報(bào)文攻擊帶時(shí)間戳選項(xiàng)的IP報(bào)文攻擊1畸形報(bào)文攻擊IP欺騙攻擊原理IP欺騙攻擊是一種常用的攻擊方法，同時(shí)也是其他攻擊方法的基礎(chǔ)。攻擊者通過向目標(biāo)主機(jī)發(fā)送源IP地址偽造的報(bào)文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問和控制權(quán)限。該攻擊危害目標(biāo)主機(jī)的資源，造成信息泄漏。服務(wù)器1192.168.1.1服務(wù)器2192.168.1.2服務(wù)器3192.168.1.3攻擊者外部網(wǎng)絡(luò)偽造源IP地址，發(fā)起攻擊，如偽造源IP地址為192.168.1.4。攻擊者可非法獲取權(quán)限，竊取企業(yè)機(jī)密信息。Router服務(wù)器4（真實(shí)源）192.168.1.4IP欺騙攻擊防范原理啟用IP欺騙攻擊防范后，設(shè)備對(duì)報(bào)文的源IP地址進(jìn)行路由表反查，檢查路由表中到源IP地址的出接口和報(bào)文的入接口是否一致。如果不一致，則視為IP欺騙攻擊，并根據(jù)配置的動(dòng)作處理該數(shù)據(jù)包。服務(wù)器1192.168.1.1服務(wù)器2192.168.1.2服務(wù)器3192.168.1.3攻擊者外部網(wǎng)絡(luò)IP欺騙攻擊Router防火墻GE0/0/1GE0/0/2防火墻對(duì)報(bào)文的源IP進(jìn)行路由表反查，假如攻擊者偽造的源IP為192.168.1.4，則防火墻查找到的報(bào)文出接口為GE0/0/2，但實(shí)際的入接口為GE0/0/1，防火墻視為IP欺騙攻擊，進(jìn)行相應(yīng)處理。服務(wù)器4（真實(shí)源）192.168.1.4Teardrop攻擊原理為滿足鏈路層MTU的要求，一些大的IP報(bào)文在傳送過程中需要進(jìn)行分片，被分片的報(bào)文在IP報(bào)頭中會(huì)攜帶分片標(biāo)志位和分片偏移量。如果攻擊者截取分片報(bào)文后，對(duì)其中的偏移量進(jìn)行修改，則數(shù)據(jù)接收端在收到分片報(bào)文后，無法組裝為完成的數(shù)據(jù)包。接收端會(huì)不斷進(jìn)行嘗試，消耗大量系統(tǒng)資源。攻擊者外部網(wǎng)絡(luò)Router服務(wù)器攻擊者截取合法的分片報(bào)文，修改偏移量。服務(wù)器收到分片報(bào)文，由于偏移量錯(cuò)誤，無法完成組裝，消耗大量系統(tǒng)資源。合法用戶Teardrop攻擊防范原理啟用Teardrop攻擊防范后，設(shè)備會(huì)對(duì)接收到的分片報(bào)文進(jìn)行分析，計(jì)算報(bào)文的偏移量是否有誤。如果有誤則直接丟棄該報(bào)文，并記錄攻擊日志。攻擊者外部網(wǎng)絡(luò)Router服務(wù)器攻擊者截取合法的分片報(bào)文，修改偏移量。防火墻對(duì)分片報(bào)文進(jìn)行分析，丟棄偏移量有誤的報(bào)文。合法用戶防火墻Smurf攻擊原理攻擊者并不直接攻擊目標(biāo)服務(wù)器，而是通過偽造大量ICMP請(qǐng)求報(bào)文來實(shí)施網(wǎng)絡(luò)攻擊。偽造報(bào)文的源地址是被攻擊服務(wù)器的地址，目的地址是某一個(gè)網(wǎng)絡(luò)的廣播地址，從而會(huì)造成大量主機(jī)向被攻擊服務(wù)器發(fā)送ICMP應(yīng)答報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源。此類攻擊稱為Smurf攻擊。攻擊者偽造ICMP

Request報(bào)文：源地址為10.1.2.99/24，目的地址為10.1.1.255/24。大量ICMPReply報(bào)文發(fā)送至服務(wù)器，占用帶寬，造成網(wǎng)絡(luò)擁塞。Router子網(wǎng)：10.1.1.0/24被攻擊服務(wù)器10.1.2.99/24交換機(jī)10.1.2.0/2410.1.1.8/24服務(wù)器需要處理大量ICMP報(bào)文，占用系統(tǒng)資源。Smurf攻擊防范原理啟用Smurf攻擊防范后，防火墻會(huì)檢查ICMP請(qǐng)求報(bào)文的目的地址是否為廣播地址（即主機(jī)位全1）或網(wǎng)絡(luò)地址（即主機(jī)位全0）。如果是則丟棄該報(bào)文，并記錄攻擊日志。攻擊者攻擊者偽造ICMP

Request報(bào)文：源地址：10.1.2.99目的地址：10.1.1.255Router子網(wǎng)：10.1.1.0/24被攻擊服務(wù)器10.1.2.99/24交換機(jī)10.1.2.0/2410.1.1.8/24防火墻發(fā)現(xiàn)ICMPRequest報(bào)文的目標(biāo)地址為廣播地址，丟棄此報(bào)文。Fraggle攻擊原理類似于Smurf攻擊，攻擊者通過偽造大量UDP請(qǐng)求報(bào)文（目的端口號(hào)為7或19）來實(shí)施網(wǎng)絡(luò)攻擊。偽造報(bào)文的源地址是被攻擊服務(wù)器地址，目的地址是某一個(gè)網(wǎng)絡(luò)的廣播地址，從而會(huì)造成大量主機(jī)向被攻擊服務(wù)器發(fā)送UDP應(yīng)答報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和服務(wù)器系統(tǒng)資源。此類攻擊稱為Fraggle攻擊。攻擊者偽造UDP請(qǐng)求報(bào)文（目的端口號(hào)為7或19）：源地址為10.1.2.99，目的地址為10.1.1.255。大量UDP應(yīng)答報(bào)文發(fā)送至服務(wù)器，占用帶寬，造成網(wǎng)絡(luò)擁塞。Router子網(wǎng)：10.1.1.0/24被攻擊服務(wù)器10.1.2.99/24Switch10.1.2.0/2410.1.1.8/24服務(wù)器需要處理大量UDP報(bào)文，占用系統(tǒng)資源。Fraggle攻擊防范原理啟用Fraggle攻擊防范后，設(shè)備會(huì)對(duì)收到的UDP報(bào)文進(jìn)行檢測(cè)。若目的端口號(hào)為7或19，設(shè)備拒絕該報(bào)文，并記錄攻擊日志。攻擊者攻擊者偽造UDP請(qǐng)求報(bào)文：源地址：10.1.2.99目的地址：10.1.1.255目的端口：7或19Router子網(wǎng)：10.1.1.0/24被攻擊服務(wù)器10.1.2.99/24交換機(jī)10.1.2.0/2410.1.1.8/24防火墻發(fā)現(xiàn)UDP報(bào)文的目的端口號(hào)為7或19，丟棄報(bào)文。Land攻擊原理攻擊者偽造TCPSYN數(shù)據(jù)包發(fā)送至被攻擊主機(jī)，偽造報(bào)文的源地址和目的地址相同，或者源地址為環(huán)回地址（即127.0.0.0/8），導(dǎo)致被攻擊主機(jī)向自己的地址發(fā)送SYN-ACK消息，產(chǎn)生大量的TCP空連接，消耗主機(jī)系統(tǒng)資源。此類攻擊稱為L(zhǎng)and攻擊，又稱為環(huán)回攻擊。攻擊者外部網(wǎng)絡(luò)Router被攻擊主機(jī)偽造TCPSYN報(bào)文：源地址：10.1.1.1或127.0.0.1目的地址：10.1.1.1被攻擊主機(jī)向自己建立TCP連接，生成大量空連接，消耗系統(tǒng)資源。10.1.1.1/24Land攻擊防范原理防火墻啟用環(huán)回攻擊防范后，設(shè)備會(huì)檢查TCP報(bào)文的源地址和目的地址是否相同，或者TCP報(bào)文的源地址是否為環(huán)回地址。如果是則丟棄該報(bào)文，并記錄攻擊日志。Router防火墻檢查TCP報(bào)文，若發(fā)現(xiàn)源目地址相同，或者源地址為環(huán)回地址，則丟棄該報(bào)文。防火墻被攻擊主機(jī)偽造TCPSYN報(bào)文：源地址：10.1.1.1或127.0.0.1目的地址：10.1.1.110.1.1.1/24攻擊者外部網(wǎng)絡(luò)PingofDeath攻擊原理IP報(bào)文的長(zhǎng)度字段為16位，即IP報(bào)文的最大長(zhǎng)度為65535字節(jié)。PingofDeath利用一些長(zhǎng)度超大的ICMP報(bào)文對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于某些網(wǎng)絡(luò)設(shè)備或主機(jī)系統(tǒng)，在接收到超大ICMP報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。無法處理超大ICMP報(bào)文，導(dǎo)致系統(tǒng)崩潰。向目標(biāo)發(fā)送超大ICMP報(bào)文。攻擊者外部網(wǎng)絡(luò)Router被攻擊主機(jī)PingofDeath攻擊防范原理防火墻啟用PingofDeath攻擊防范后，設(shè)備會(huì)檢測(cè)IP報(bào)文的大小是否大于65535字節(jié)，對(duì)大于65535字節(jié)的報(bào)文直接丟棄，并記錄攻擊日志。Router防火墻檢測(cè)IP報(bào)文是否超過65535字節(jié)，如果超出，則丟棄報(bào)文。防火墻被攻擊主機(jī)攻擊者外部網(wǎng)絡(luò)向目標(biāo)發(fā)送超大ICMP報(bào)文。2特殊報(bào)文攻擊ICMP不可達(dá)報(bào)文攻擊原理不同的系統(tǒng)對(duì)ICMP不可達(dá)報(bào)文的處理方式不同，有的系統(tǒng)在收到網(wǎng)絡(luò)或主機(jī)不可達(dá)的ICMP報(bào)文后，對(duì)后續(xù)發(fā)往此目的地址的報(bào)文直接認(rèn)為不可達(dá)，從而斷開正常的業(yè)務(wù)連接。攻擊者利用這一點(diǎn)，偽造不可達(dá)ICMP報(bào)文，切斷受害者與目的地的連接，造成攻擊。主機(jī)與服務(wù)器建立正常的業(yè)務(wù)連接攻擊者外部網(wǎng)絡(luò)Router被攻擊主機(jī)Web服務(wù)器攻擊者發(fā)送ICMP不可達(dá)報(bào)文，使主機(jī)誤認(rèn)為服務(wù)器不可達(dá)主機(jī)認(rèn)為服務(wù)器不可達(dá)，主動(dòng)斷開連接，業(yè)務(wù)中斷123ICMP不可達(dá)報(bào)文攻擊防范原理防火墻啟用ICMP不可達(dá)報(bào)文攻擊防范后，設(shè)備將直接丟棄ICMP不可達(dá)報(bào)文，并記錄攻擊日志。Router防火墻被攻擊主機(jī)攻擊者外部網(wǎng)絡(luò)Web服務(wù)器主機(jī)與服務(wù)器建立正常的業(yè)務(wù)連接攻擊者發(fā)送ICMP不可達(dá)報(bào)文123防火墻檢測(cè)到ICMP不可達(dá)報(bào)文，直接丟棄ICMP重定向報(bào)文攻擊原理網(wǎng)絡(luò)設(shè)備通常通過向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文來請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文發(fā)送。主機(jī)收到虛假的ICMP重定向報(bào)文，路由表被篡改，影響IP報(bào)文發(fā)送。攻擊者跨網(wǎng)段發(fā)送虛假的ICMP重定向報(bào)文，惡意改變主機(jī)路由表。攻擊者外部網(wǎng)絡(luò)Router被攻擊主機(jī)ICMP重定向報(bào)文攻擊防范原理啟用ICMP重定向報(bào)文攻擊防范后，防火墻將直接丟棄所有接收到的ICMP重定向報(bào)文，并記錄攻擊日志。Router防火墻直接丟棄ICMP重定向報(bào)文。防火墻被攻擊主機(jī)攻擊者外部網(wǎng)絡(luò)發(fā)送虛假ICMP重定向報(bào)文。Tracert攻擊原理Tracert攻擊是攻擊者利用TTL為0時(shí)返回的ICMP超時(shí)報(bào)文，以及到達(dá)目的地址時(shí)返回的ICMP端口不可達(dá)報(bào)文，來發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑，主要用于窺探目標(biāo)網(wǎng)絡(luò)的結(jié)構(gòu)。服務(wù)器中間網(wǎng)絡(luò)IP1IP2IP3IP4目的IP攻擊者啟動(dòng)Tracert探測(cè)攻擊者得到網(wǎng)絡(luò)結(jié)構(gòu)：攻擊者外部網(wǎng)絡(luò)Router1Router2Switch1Switch2ICMP超時(shí)報(bào)文ICMP超時(shí)報(bào)文ICMP超時(shí)報(bào)文ICMP超時(shí)報(bào)文ICMP目標(biāo)端口不可達(dá)報(bào)文IP1IP2IP3IP4目的IP攻擊者Tracert攻擊防范原理啟用Tracert攻擊防范后，防火墻將檢測(cè)到的超時(shí)的ICMP報(bào)文或UDP報(bào)文，或者目的端口不可達(dá)報(bào)文，直接丟棄，并記錄攻擊日志。服務(wù)器中間網(wǎng)絡(luò)IP1IP2IP3IP4目的IP攻擊者啟動(dòng)Tracert探測(cè)攻擊者外部網(wǎng)絡(luò)防火墻RouterSwitch1Switch2防火墻檢測(cè)到超時(shí)的ICMP或UDP報(bào)文，以及目的端口不可達(dá)報(bào)文，直接丟棄。ICMP超時(shí)報(bào)文ICMP目標(biāo)端口不可達(dá)報(bào)文ICMP超時(shí)報(bào)文ICMP超時(shí)報(bào)文ICMP超時(shí)報(bào)文3異常包攻擊檢測(cè)

配置實(shí)驗(yàn)異常包攻擊檢測(cè)配置實(shí)驗(yàn)關(guān)于本實(shí)驗(yàn)通過配置入侵檢測(cè)策略，實(shí)現(xiàn)異常包攻擊的檢測(cè)。實(shí)驗(yàn)?zāi)康睦斫猱惓０舻脑?，練?xí)入侵檢測(cè)策略的配置。實(shí)驗(yàn)背景Kali主機(jī)和靶機(jī)之間，通過防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)連接，防火墻將連接靶機(jī)的流量，通過端口鏡像引流到入侵檢測(cè)設(shè)備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24異常包攻擊檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置1、防火墻接口IP地址配置#啟動(dòng)“pikachu”

靶場(chǎng)，sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24異常包攻擊檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24異常包攻擊檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24異常包攻擊檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置4、防火墻配置一條全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24異常包攻擊檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置5、配置入侵檢測(cè)ge2接口為“旁路模式”，安全域?yàn)椤皍ntrust”。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻192.168.1.0/24172.16.1.0/24網(wǎng)絡(luò)掃描檢測(cè)配置實(shí)驗(yàn)-Smurf攻擊檢測(cè)漏洞攻擊入侵檢測(cè)配置1、配置Smurf攻擊防護(hù)ID