欺骗攻击-ARP攻击课件

第5章加密文件系统的规划、实现和故障排除EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除欺骗攻击第5章加密文件系统的规划、实现和故障排除EFS简介欺1欺骗攻击（IP,ARP，DNS）纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见 1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心 1999年，RSASecurity公司网站遭受DNS欺骗攻击 1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的 信用卡密码泄漏欺骗攻击的主要类型： ARP欺骗 IP欺骗攻击 Web欺骗攻击 DNS欺骗攻击欺骗攻击（IP,ARP，DNS）纯技术性2ARP欺骗攻击ARP欺骗攻击3ARP欺骗攻击Meet-in-Middle: Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。 Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。 这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。 这是一种典型的中间人攻击方法。ARP欺骗攻击Meet-in-Middle:4ARP欺骗攻击ARP欺骗攻击5ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序 •会欺骗局域网所有主机和路由器，让所有上网的流量必须经过病毒主机， •原来由路由器上网的计算机现在转由病毒主机上网发作时，用户会断一次线•ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通讯拥塞，用户会感觉到上网的速度越来越慢•当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序6ARP欺骗出现的症状网络时断时通；网络中断，重启网关设备，网络短暂连通；内网通讯正常、网关不通；频繁提示IP地址冲突；硬件设备正常，局域网不通；特定IP网络不通，更换IP地址，网络正常；禁用-启用网卡，网络短暂连通；网页被重定向。ARP欺骗出现的症状网络时断时通；7ARP欺骗攻击的防范措施1安装入侵检测系统，检测ARP欺骗攻击2MAC地址与IP地址双向绑定 所有机器上把网关的IP和MAC绑定一次 编个批处理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用户的IP地址和MAC绑定一次修改注册表项，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺骗木马 Antiarp nbtscan4划分VLANARP欺骗攻击的防范措施1安装入侵检测系统，检测ARP欺骗8IP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生。攻击者如果向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。利用ISN和RTT，就可以预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能使用有害数据包，从而蒙骗目标主机IP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，9IPSpoofing（IP欺骗）IPSpoofing（IP欺骗）10IP欺骗攻击过程IP欺骗攻击过程11IP欺骗攻击过程1、屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水2、序列号采样和猜测。猜测ISN的基值和增加规律3、将源地址伪装成被信任主机，发送SYN请求建立连接4、等待目标主机发送SYN+ACK，黑客看不到该数据包5、再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+16、建立连接，通过其它已知漏洞获得Root权限，安装后门并清除LogIP欺骗攻击过程1、屏蔽主机B。方法：Dos攻击，如La12IP欺骗攻击攻击的难点：ISN的预测TCP使用32位计数器每一个连接选择一个ISN不同的系统的ISN有不同的变化规律ISN每秒增加128000，出现连接增加64000无连接情况下每9.32小时复位一次IP欺骗攻击攻击的难点：ISN的预测13IP欺骗的防范措施安装VPN网关，实现加密和身份认证实施PKICA,实现身份认证通信加密IP欺骗的防范措施安装VPN网关，实现加密和身份认证14DNS欺骗攻击复杂，使用简单RSASecurity网站曾被成功攻击DNS欺骗原理 IP与域名的关系 DNS的域名解析 RandPorttoDNSs53DNS’··DNS欺骗攻击复杂，使用简单15DNS欺骗原理DNS欺骗原理16第5章加密文件系统的规划、实现和故障排除EFS简介在独立MicrosoftWindowsXP环境中实现EFS在使用PKI的域环境中规划和实现EFS实现EFS文件共享EFS故障排除欺骗攻击第5章加密文件系统的规划、实现和故障排除EFS简介欺17欺骗攻击（IP,ARP，DNS）纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见 1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心 1999年，RSASecurity公司网站遭受DNS欺骗攻击 1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的 信用卡密码泄漏欺骗攻击的主要类型： ARP欺骗 IP欺骗攻击 Web欺骗攻击 DNS欺骗攻击欺骗攻击（IP,ARP，DNS）纯技术性18ARP欺骗攻击ARP欺骗攻击19ARP欺骗攻击Meet-in-Middle: Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。 Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。 这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。 这是一种典型的中间人攻击方法。ARP欺骗攻击Meet-in-Middle:20ARP欺骗攻击ARP欺骗攻击21ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序 •会欺骗局域网所有主机和路由器，让所有上网的流量必须经过病毒主机， •原来由路由器上网的计算机现在转由病毒主机上网发作时，用户会断一次线•ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通讯拥塞，用户会感觉到上网的速度越来越慢•当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序22ARP欺骗出现的症状网络时断时通；网络中断，重启网关设备，网络短暂连通；内网通讯正常、网关不通；频繁提示IP地址冲突；硬件设备正常，局域网不通；特定IP网络不通，更换IP地址，网络正常；禁用-启用网卡，网络短暂连通；网页被重定向。ARP欺骗出现的症状网络时断时通；23ARP欺骗攻击的防范措施1安装入侵检测系统，检测ARP欺骗攻击2MAC地址与IP地址双向绑定 所有机器上把网关的IP和MAC绑定一次 编个批处理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用户的IP地址和MAC绑定一次修改注册表项，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺骗木马 Antiarp nbtscan4划分VLANARP欺骗攻击的防范措施1安装入侵检测系统，检测ARP欺骗24IP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生。攻击者如果向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。利用ISN和RTT，就可以预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能使用有害数据包，从而蒙骗目标主机IP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，25IPSpoofing（IP欺骗）IPSpoofing（IP欺骗）26IP欺骗攻击过程IP欺骗攻击过程27IP欺骗攻击过程1、屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水2、序列号采样和猜测。猜测ISN的基值和增加规律3、将源地址伪装成被信任主机，发送SYN请求建立连接4、等待目标主机发送SYN+ACK，黑客看不到该数据包5、再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+16、建立连接，通过其它已知漏洞获得Root权限，安装后门并清除LogIP欺骗攻击过程1、屏蔽主机B。方法：Dos攻击，如La28IP欺骗攻击攻击的难点：ISN的预测TCP使用32位计数器每一个连接选择一个ISN不同的系统的ISN有不同的变化规律ISN每秒增加128000，出现连接增加64000无连接情况下每9.32小时复位一次IP欺骗攻击攻击的难点：ISN的预测