欺騙攻擊-ARP攻擊課件_第1頁
欺騙攻擊-ARP攻擊課件_第2頁
欺騙攻擊-ARP攻擊課件_第3頁
欺騙攻擊-ARP攻擊課件_第4頁
欺騙攻擊-ARP攻擊課件_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實現(xiàn)EFS實現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介欺1欺騙攻擊(IP,ARP,DNS)純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25,凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計算中心 1999年,RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年,臺灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊,造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型: ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊(IP,ARP,DNS)純技術(shù)性2ARP欺騙攻擊ARP欺騙攻擊3ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A,計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B,計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過Hacker,然后由Hacker進行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸(如用戶名和密碼)。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:4ARP欺騙攻擊ARP欺騙攻擊5ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網(wǎng)所有主機和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機, ?原來由路由器上網(wǎng)的計算機現(xiàn)在轉(zhuǎn)由病毒主機上網(wǎng)發(fā)作時,用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包,導(dǎo)致局域網(wǎng)通訊擁塞,用戶會感覺到上網(wǎng)的速度越來越慢?當ARP欺騙的木馬程序停止運行時,用戶會恢復(fù)從路由器上網(wǎng),切換過程中用戶會再斷一次線ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序6ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通;網(wǎng)絡(luò)中斷,重啟網(wǎng)關(guān)設(shè)備,網(wǎng)絡(luò)短暫連通;內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通;頻繁提示IP地址沖突;硬件設(shè)備正常,局域網(wǎng)不通;特定IP網(wǎng)絡(luò)不通,更換IP地址,網(wǎng)絡(luò)正常;禁用-啟用網(wǎng)卡,網(wǎng)絡(luò)短暫連通;網(wǎng)頁被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通;7ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng),檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項,如:regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng),檢測ARP欺騙8IP欺騙:基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流,用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生。攻擊者如果向目標主機發(fā)送一個連接請求,即可獲得上次連接的ISN,再通過多次測量來回傳輸路徑,得到進攻主機到目標主機之間數(shù)據(jù)包傳送的來回時間RTT。利用ISN和RTT,就可以預(yù)測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發(fā)出TCP連接,并預(yù)測到目標主機的TCP序列號,攻擊者就能使用有害數(shù)據(jù)包,從而蒙騙目標主機IP欺騙:基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流,9IPSpoofing(IP欺騙)IPSpoofing(IP欺騙)10IP欺騙攻擊過程IP欺騙攻擊過程11IP欺騙攻擊過程1、屏蔽主機B。方法:Dos攻擊,如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機,發(fā)送SYN請求建立連接4、等待目標主機發(fā)送SYN+ACK,黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機發(fā)送ACK,并帶有預(yù)測的目標機的ISN+16、建立連接,通過其它已知漏洞獲得Root權(quán)限,安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法:Dos攻擊,如La12IP欺騙攻擊攻擊的難點:ISN的預(yù)測TCP使用32位計數(shù)器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000,出現(xiàn)連接增加64000無連接情況下每9.32小時復(fù)位一次IP欺騙攻擊攻擊的難點:ISN的預(yù)測13IP欺騙的防范措施安裝VPN網(wǎng)關(guān),實現(xiàn)加密和身份認證實施PKICA,實現(xiàn)身份認證通信加密IP欺騙的防范措施安裝VPN網(wǎng)關(guān),實現(xiàn)加密和身份認證14DNS欺騙攻擊復(fù)雜,使用簡單RSASecurity網(wǎng)站曾被成功攻擊DNS欺騙原理 IP與域名的關(guān)系 DNS的域名解析 RandPorttoDNSs53DNS’··DNS欺騙攻擊復(fù)雜,使用簡單15DNS欺騙原理DNS欺騙原理16第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實現(xiàn)EFS實現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介欺17欺騙攻擊(IP,ARP,DNS)純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25,凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計算中心 1999年,RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年,臺灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊,造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型: ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊(IP,ARP,DNS)純技術(shù)性18ARP欺騙攻擊ARP欺騙攻擊19ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A,計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B,計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過Hacker,然后由Hacker進行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸(如用戶名和密碼)。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:20ARP欺騙攻擊ARP欺騙攻擊21ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網(wǎng)所有主機和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機, ?原來由路由器上網(wǎng)的計算機現(xiàn)在轉(zhuǎn)由病毒主機上網(wǎng)發(fā)作時,用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包,導(dǎo)致局域網(wǎng)通訊擁塞,用戶會感覺到上網(wǎng)的速度越來越慢?當ARP欺騙的木馬程序停止運行時,用戶會恢復(fù)從路由器上網(wǎng),切換過程中用戶會再斷一次線ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序22ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通;網(wǎng)絡(luò)中斷,重啟網(wǎng)關(guān)設(shè)備,網(wǎng)絡(luò)短暫連通;內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通;頻繁提示IP地址沖突;硬件設(shè)備正常,局域網(wǎng)不通;特定IP網(wǎng)絡(luò)不通,更換IP地址,網(wǎng)絡(luò)正常;禁用-啟用網(wǎng)卡,網(wǎng)絡(luò)短暫連通;網(wǎng)頁被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通;23ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng),檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項,如:regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng),檢測ARP欺騙24IP欺騙:基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流,用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生。攻擊者如果向目標主機發(fā)送一個連接請求,即可獲得上次連接的ISN,再通過多次測量來回傳輸路徑,得到進攻主機到目標主機之間數(shù)據(jù)包傳送的來回時間RTT。利用ISN和RTT,就可以預(yù)測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發(fā)出TCP連接,并預(yù)測到目標主機的TCP序列號,攻擊者就能使用有害數(shù)據(jù)包,從而蒙騙目標主機IP欺騙:基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流,25IPSpoofing(IP欺騙)IPSpoofing(IP欺騙)26IP欺騙攻擊過程IP欺騙攻擊過程27IP欺騙攻擊過程1、屏蔽主機B。方法:Dos攻擊,如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機,發(fā)送SYN請求建立連接4、等待目標主機發(fā)送SYN+ACK,黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機發(fā)送ACK,并帶有預(yù)測的目標機的ISN+16、建立連接,通過其它已知漏洞獲得Root權(quán)限,安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法:Dos攻擊,如La28IP欺騙攻擊攻擊的難點:ISN的預(yù)測TCP使用32位計數(shù)器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000,出現(xiàn)連接增加64000無連接情況下每9.32小時復(fù)位一次IP欺騙攻擊攻擊的難點:ISN的預(yù)測

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論