網(wǎng)絡(luò)信息安全課程ppt(推薦)

1、TCP/IP網(wǎng)絡(luò)協(xié)議攻擊TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊概述網(wǎng)絡(luò)安全屬性 網(wǎng)絡(luò)安全CIA屬性 保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 其他兩個(gè)補(bǔ)充屬性 真實(shí)性(Authentication) 不可抵賴性(Non-Repudiation) 可審查性(Accountability) 中間人攻擊(MITM攻擊) 通信雙方 Alice & Bob 中間人 Mallory 與通信雙方建立起各自獨(dú)立的會(huì)話連接 對(duì)雙方進(jìn)行身份欺騙 進(jìn)行消息的雙向轉(zhuǎn)發(fā) 必要前提：攔截通信雙方的全部通信(截獲)、轉(zhuǎn)發(fā)篡改消息(篡改)、雙方身份欺騙(偽造) 現(xiàn)

2、實(shí)世界中的中間人攻擊國(guó)際象棋欺騙術(shù)TCP/IP網(wǎng)絡(luò)協(xié)議棧安全缺陷與攻擊技術(shù)原始報(bào)文偽造技術(shù)及工具 原始報(bào)文偽造技術(shù) 偽造出特制的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文并發(fā)送 原始套接字(Raw Socket) Netwox/Netwag 超過200個(gè)不同功能的網(wǎng)絡(luò)報(bào)文生成與發(fā)送工具 #netwoxnumber parameters . Netwox工具使用演示 Netwox: 命令行 Netwag: 窗口, TCL支持 Wireshark捕獲網(wǎng)絡(luò)包 工具32：偽造以太網(wǎng)包網(wǎng)絡(luò)層協(xié)議攻擊IP源地址欺騙 IP源地址欺騙 偽造具有虛假源地址的IP數(shù)據(jù)包進(jìn)行發(fā)送 目的：隱藏攻擊者身份、假冒其他計(jì)算機(jī) IP源地址欺騙原理 路由轉(zhuǎn)

3、發(fā)只是用目標(biāo)IP地址，不對(duì)源做驗(yàn)證 現(xiàn)實(shí)世界中的平信 通常情況：無法獲得響應(yīng)包攻擊者IP(A)服務(wù)器IP(B)其他用戶IP(C)Internet攻擊者數(shù)據(jù)包的源IP為IP(C)，目標(biāo)IP為IP(B)IP源地址欺騙假冒IP攻擊 可以嗅探響應(yīng)包的環(huán)境 同一局域網(wǎng) ARP欺騙、重定向攻擊劫持響應(yīng)包 盲攻擊(blind attack) Robert T. Morris在1985年提出 Kevin Mitinick在1995年仍使用 通過猜測(cè)TCP三次握手中所需的信息，假冒IP建立起TCP連接盲攻擊過程攻擊者IP(A)目標(biāo)服務(wù)器CIP(C)受信任的主機(jī)BIP(B)1.進(jìn)行DoS攻擊使B喪失工作能力2.對(duì)

4、ISN采樣猜測(cè)3.以IP(B)為源IP發(fā)送SYN包5.以IP(B)為源IP再發(fā)送ACK包(猜測(cè)的ISN+1)6.正式建立連接4.發(fā)送SYN+ACK但是B不會(huì)應(yīng)答IP源地址欺騙技術(shù)的應(yīng)用場(chǎng)景 普遍應(yīng)用場(chǎng)景 拒絕服務(wù)攻擊：無需或不期望響應(yīng)包，節(jié)省帶寬，隱藏攻擊源 網(wǎng)絡(luò)掃描(nmap -D)：將真正掃描源隱藏于一些欺騙的源IP地址中 假冒IP攻擊場(chǎng)景 對(duì)付基于IP地址的身份認(rèn)證機(jī)制 類Unix平臺(tái)上的主機(jī)信任關(guān)系 防火墻或服務(wù)器中配置的特定IP訪問許可 遠(yuǎn)程主機(jī)IP欺騙-盲攻擊，較難成功利用Netwox進(jìn)行IP源地址欺騙 工具34/38IP源地址欺騙的防范措施 使用隨機(jī)化的初始序列號(hào)以避免遠(yuǎn)程的盲攻

5、擊 使用網(wǎng)絡(luò)層安全傳輸協(xié)議如IPsec 避免泄露高層協(xié)議可供利用的信息及傳輸內(nèi)容 避免采用基于IP地址的信任策略 以基于加密算法的用戶身份認(rèn)證機(jī)制來替代 在路由器和網(wǎng)關(guān)上實(shí)施包檢查和過濾 入站過濾機(jī)制(ingress filtering) 出站過濾機(jī)制(egress filtering)ARP欺騙(ARP Spoofing) ARP協(xié)議工作原理 將網(wǎng)絡(luò)主機(jī)的IP地址解析成其MAC地址 每臺(tái)主機(jī)設(shè)備上都擁有一個(gè)ARP緩存(ARP Cache) 檢查自己的ARP緩存，有，直接映射，無，廣播ARP請(qǐng)求包 檢查數(shù)據(jù)包中的目標(biāo)IP地址是否與自己的IP地址一致，如一致，發(fā)送ARP響應(yīng)，告知MAC地址 源節(jié)

6、點(diǎn)在收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目標(biāo)主機(jī)IP地址和MAC地址對(duì)映射表項(xiàng)添加到自己的ARP緩存中1.ARP請(qǐng)求2.保存IP(A)/MAC(A)3.ARP應(yīng)答4.保存IP(B)/MAC(B)ABARP欺騙攻擊技術(shù)原理 ARP欺騙：發(fā)送偽造ARP消息，對(duì)特定IP所對(duì)應(yīng)的MAC地址進(jìn)行假冒欺騙，從而達(dá)到惡意目的ACB其他機(jī)器1. 廣播ARP請(qǐng)求B的MAC地址2 不斷發(fā)送偽造ARP應(yīng)答包，映射IP(B)/MAC(C)3 保存錯(cuò)誤的映射IP(B)/MAC(C)4 本應(yīng)發(fā)送至B的數(shù)據(jù)包5 通過同樣的手段欺騙B1廣播ARP請(qǐng)求B的MAC地址2 發(fā)送ARP應(yīng)答，映射IP(B)/MAC(B)1 廣播ARP

7、請(qǐng)求B的MAC地址2 正常機(jī)器不會(huì)響應(yīng)網(wǎng)關(guān)ARP欺騙ARP欺騙技術(shù)的應(yīng)用場(chǎng)景 利用ARP欺騙進(jìn)行交換網(wǎng)絡(luò)中的嗅探 ARP欺騙構(gòu)造中間人攻擊，從而實(shí)施TCP會(huì)話劫持 ARP病毒 ARP欺騙掛馬利用Netwox進(jìn)行ARP欺騙 工具33ARP欺騙攻擊防范措施 靜態(tài)綁定關(guān)鍵主機(jī)的IP地址與MAC地址映射關(guān)系 網(wǎng)關(guān)/關(guān)鍵服務(wù)器 arp-s IP地址MAC地址類型 使用相應(yīng)的ARP防范工具 ARP防火墻 使用VLAN虛擬子網(wǎng)細(xì)分網(wǎng)絡(luò)拓?fù)?加密傳輸數(shù)據(jù)以降低ARP欺騙攻擊的危害后果ICMP路由重定向攻擊 ICMP路由重定向攻擊 偽裝成路由器發(fā)送虛假的ICMP路由路徑控制報(bào)文 使受害主機(jī)選擇攻擊者指定的路由路

8、徑 攻擊目的：嗅探或假冒攻擊 技術(shù)原理 路由器告知主機(jī)： “應(yīng)該使用的 路由器IP地址”ICMP路由重定向攻擊技術(shù) 攻擊節(jié)點(diǎn)冒充網(wǎng)關(guān)IP，向被攻擊節(jié)點(diǎn)發(fā)送ICMP重定向報(bào)文，并將指定的新路由器IP地址設(shè)置為攻擊節(jié)點(diǎn) 被攻擊節(jié)點(diǎn)接受報(bào)文，選擇攻擊節(jié)點(diǎn)作為其新路由器(即網(wǎng)關(guān)) 攻擊節(jié)點(diǎn)可以開啟路由轉(zhuǎn)發(fā)，實(shí)施中間人攻擊 “謊言還是真話”？ICMP路由重定向攻擊防范 根據(jù)類型過濾一些ICMP數(shù)據(jù)包 設(shè)置防火墻過濾 對(duì)于ICMP重定向報(bào)文判斷是不是來自本地路由器傳輸層協(xié)議攻擊TCP RST攻擊 中斷攻擊 偽造TCP重置報(bào)文攻擊(spoofed TCP reset packet) TCP重置報(bào)文將直接關(guān)閉

9、掉一個(gè)TCP會(huì)話連接 限制條件：通訊目標(biāo)方接受TCP包 通訊源IP地址及端口號(hào)一致 序列號(hào)(Seq)落入TCP窗口之內(nèi) 嗅探監(jiān)視通信雙方的TCP連接，獲得源、目標(biāo)IP地址及端口 結(jié)合IP源地址欺騙技術(shù)偽裝成通信一方，發(fā)送TCP重置報(bào)文給通信另一方 應(yīng)用場(chǎng)景：惡意拒絕服務(wù)攻擊、重置入侵連接、GFW GFW: “net:ERR_CONNECTION_RESET”TCP RST攻擊演示 Netwox#78 tool Reset every TCP packet Usage: netwox78 -d device -f filter -s spoofip -iips netwox78-i172.*.*

10、.188TCP會(huì)話劫持 結(jié)合嗅探、欺騙技術(shù) 中間人攻擊：注射額外信息，暗中改變通信 計(jì)算出正確的seqackseq即可 TCP會(huì)話攻擊工具 Juggernaut、Hunt、TTY watcher、IP watcherTCP會(huì)話劫持攻擊過程受害者 攻擊者服務(wù)器連接請(qǐng)求ACK監(jiān)聽 RST假冒受害者發(fā)送數(shù)據(jù)包認(rèn)證成功 Hunt工具介紹 源碼開放的自由軟件，可運(yùn)行在Linux平臺(tái)上 功能特點(diǎn) 監(jiān)聽當(dāng)前網(wǎng)絡(luò)上的會(huì)話 重置會(huì)話(reset a session) 劫持會(huì)話 在劫持之后，使連接繼續(xù)同步 確定哪些主機(jī)在線 四個(gè)守護(hù)進(jìn)程 自動(dòng)reset Arp欺騙包的轉(zhuǎn)發(fā) 收集MAC地址 具有搜索功能的sniff

11、er如何防止會(huì)話劫持 避免攻擊者成為通信雙方的中間人 部署交換式網(wǎng)絡(luò)，用交換機(jī)代替集線器 禁用主機(jī)上的源路由 采用靜態(tài)綁定IP-MAC映射表以避免ARP欺 過濾ICMP重定向報(bào)文 TCP會(huì)話加密(IPsec協(xié)議) 避免了攻擊者在得到傳輸層的端口及序列號(hào)等關(guān)鍵信息 防火墻配置 限制盡可能少量的外部許可連接的IP地址 檢測(cè) ACK風(fēng)暴：ACK包的數(shù)量明顯增加TCP SYN Flood 拒絕服務(wù)攻擊(DoS) 破壞可用性 TCP SYN Flood SYN洪泛攻擊 利用TCP三次握手協(xié)議的缺陷 大量的偽造源地址的SYN連接請(qǐng)求 消耗目標(biāo)主機(jī)的連接隊(duì)列資源 不能夠?yàn)檎Ｓ脩籼峁┓?wù)TCP SYN Fl

12、ood 示意圖及效果直接攻擊欺騙式攻擊分布式攻擊利用Netwox進(jìn)行TCP SYN Flood 工具76SYN Flood攻擊防范措施-SynCookie 彌補(bǔ)TCP連接建立過程資源分配這一缺陷 無狀態(tài)的三次握手 服務(wù)器收到一個(gè)SYN報(bào)文后,不立即分配緩沖區(qū) 利用連接的信息生成一個(gè)cookie, 作為SEQ 客戶端返回ACK中帶著ACK = cookie+1 服務(wù)器端核對(duì)cookie, 通過則建立連接，分配資源防火墻地址狀態(tài)監(jiān)控技術(shù) 有狀態(tài)防火墻 網(wǎng)絡(luò)中的TCP連接進(jìn)行狀態(tài)監(jiān)控和處理 維護(hù)TCP連接狀態(tài)：NEW狀態(tài)、GOOD狀態(tài)、BAD狀態(tài) 三次握手代理UDP Flood攻擊 UDP協(xié)議 無狀

13、態(tài)不可靠 僅僅是傳輸數(shù)據(jù)報(bào) UDP Flood 帶寬耗盡型拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊(DDoS) 利用僵尸網(wǎng)絡(luò)控制大量受控傀儡主機(jī) 通常會(huì)結(jié)合IP源地址欺騙技術(shù)UDP Flood攻擊防范措施 禁用或過濾監(jiān)控和響應(yīng)服務(wù) 禁用或過濾其它的UDP 服務(wù) 網(wǎng)絡(luò)關(guān)鍵位置使用防火墻和代理機(jī)制來過濾掉一些非預(yù)期的網(wǎng)絡(luò)流量 遭遇帶寬耗盡型拒絕服務(wù)攻擊 終端無能為力 補(bǔ)救措施：網(wǎng)絡(luò)擴(kuò)容、轉(zhuǎn)移服務(wù)器位置 事件響應(yīng)：匯報(bào)給安全應(yīng)急響應(yīng)部門、追溯和處置 流量清洗解決方案：ISP為關(guān)鍵客戶/服務(wù)所提供TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施監(jiān)測(cè)、預(yù)防與安全加固網(wǎng)絡(luò)接口層主要安全威脅是網(wǎng)絡(luò)嗅探 局域網(wǎng)中的監(jiān)聽點(diǎn)檢測(cè) 網(wǎng)絡(luò)設(shè)計(jì)上盡量細(xì)分和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu) 關(guān)鍵路徑上的網(wǎng)關(guān)、路由器等設(shè)備的嚴(yán)格安全防護(hù) 各類網(wǎng)絡(luò)采用上層的加密通信協(xié)議互聯(lián)層 多種檢測(cè)和過濾技術(shù)來發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)中欺騙攻擊 增強(qiáng)防火墻、路由器和網(wǎng)關(guān)設(shè)備的安全策略(egress filtering) 關(guān)鍵服務(wù)器使用靜態(tài)綁定IP-MAC映射表、使用IPsec協(xié)議加密