网络信息安全法

TCP/IP网络协议攻击当前第1页\共有48页\编于星期五\13点TCP/IP网络协议栈攻击概述当前第2页\共有48页\编于星期五\13点网络安全属性网络安全CIA属性保密性(Confidentiality)完整性(Integrity)可用性(Availability)其他两个补充属性真实性(Authentication)不可抵赖性(Non-Repudiation)–可审查性(Accountability)当前第3页\共有48页\编于星期五\13点网络攻击基本模式：

被动攻击-窃听

Interception当前第4页\共有48页\编于星期五\13点网络攻击基本模式：

被动攻击–流量分析

TrafficAnalysis当前第5页\共有48页\编于星期五\13点网络攻击基本模式：

主动攻击-伪装

Masquerade

当前第6页\共有48页\编于星期五\13点网络攻击基本模式：

主动攻击-

重放

Replay当前第7页\共有48页\编于星期五\13点网络攻击基本模式：

主动攻击-

篡改Modification当前第8页\共有48页\编于星期五\13点网络攻击基本模式：

主动攻击:拒绝服务

DenialofService当前第9页\共有48页\编于星期五\13点对攻击的一般处理原则被动攻击–侧重于阻止容易阻止难于检测主动攻击–侧重于检测与恢复难于阻止容易检测当前第10页\共有48页\编于星期五\13点中间人攻击(MITM攻击)通信双方Alice&Bob中间人Mallory与通信双方建立起各自独立的会话连接对双方进行身份欺骗进行消息的双向转发必要前提：拦截通信双方的全部通信(截获)、转发篡改消息(篡改)、双方身份欺骗(伪造)现实世界中的中间人攻击–国际象棋欺骗术当前第11页\共有48页\编于星期五\13点TCP/IP网络协议栈

安全缺陷与攻击技术当前第12页\共有48页\编于星期五\13点原始报文伪造技术及工具原始报文伪造技术伪造出特制的网络数据报文并发送原始套接字(RawSocket)Netwox/Netwag超过200个不同功能的网络报文生成与发送工具#netwoxnumber[parameters...]当前第13页\共有48页\编于星期五\13点Netwox工具使用演示Netwox:命令行Netwag:窗口,TCL支持Wireshark捕获网络包工具32：伪造以太网包当前第14页\共有48页\编于星期五\13点网络层协议攻击当前第15页\共有48页\编于星期五\13点IP源地址欺骗IP源地址欺骗伪造具有虚假源地址的IP数据包进行发送目的：隐藏攻击者身份、假冒其他计算机IP源地址欺骗原理路由转发只是用目标IP地址，不对源做验证现实世界中的平信通常情况：无法获得响应包攻击者IP(A)服务器IP(B)其他用户IP(C)Internet攻击者数据包的源IP为IP(C)，目标IP为IP(B)当前第16页\共有48页\编于星期五\13点IP源地址欺骗–假冒IP攻击可以嗅探响应包的环境同一局域网ARP欺骗、重定向攻击劫持响应包盲攻击(blindattack)RobertT.Morris在1985年提出KevinMitinick在1995年仍使用通过猜测TCP三次握手中所需的信息，假冒IP建立起TCP连接当前第17页\共有48页\编于星期五\13点盲攻击过程攻击者IP(A)目标服务器CIP(C)受信任的主机BIP(B)1.进行DoS攻击使B丧失工作能力2.对ISN采样猜测3.以IP(B)为源IP发送SYN包5.以IP(B)为源IP再发送ACK包(猜测的ISN+1)6.正式建立连接4.发送SYN+ACK但是B不会应答当前第18页\共有48页\编于星期五\13点IP源地址欺骗技术的应用场景普遍应用场景拒绝服务攻击：无需或不期望响应包，节省带宽，隐藏攻击源网络扫描(nmap-D)：将真正扫描源隐藏于一些欺骗的源IP地址中假冒IP攻击场景对付基于IP地址的身份认证机制类Unix平台上的主机信任关系防火墙或服务器中配置的特定IP访问许可远程主机IP欺骗-盲攻击，较难成功当前第19页\共有48页\编于星期五\13点利用Netwox进行IP源地址欺骗工具34/38当前第20页\共有48页\编于星期五\13点IP源地址欺骗的防范措施使用随机化的初始序列号以避免远程的盲攻击使用网络层安全传输协议如IPsec避免泄露高层协议可供利用的信息及传输内容避免采用基于IP地址的信任策略以基于加密算法的用户身份认证机制来替代在路由器和网关上实施包检查和过滤入站过滤机制(ingressfiltering)出站过滤机制(egressfiltering)当前第21页\共有48页\编于星期五\13点ARP欺骗(ARPSpoofing)ARP协议工作原理将网络主机的IP地址解析成其MAC地址①每台主机设备上都拥有一个ARP缓存(ARPCache)②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中1.ARP请求2.保存IP(A)/MAC(A)3.ARP应答4.保存IP(B)/MAC(B)AB当前第22页\共有48页\编于星期五\13点ARP欺骗攻击技术原理ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的ACB其他机器1.广播ARP请求B的MAC地址2不断发送伪造ARP应答包，映射IP(B)/MAC(C)3保存错误的映射IP(B)/MAC(C)4本应发送至B的数据包5通过同样的手段欺骗B1广播ARP请求B的MAC地址2发送ARP应答，映射IP(B)/MAC(B)1广播ARP请求B的MAC地址2正常机器不会响应当前第23页\共有48页\编于星期五\13点网关ARP欺骗当前第24页\共有48页\编于星期五\13点ARP欺骗技术的应用场景利用ARP欺骗进行交换网络中的嗅探ARP欺骗构造中间人攻击，从而实施TCP会话劫持ARP病毒ARP欺骗挂马当前第25页\共有48页\编于星期五\13点利用Netwox进行ARP欺骗工具33当前第26页\共有48页\编于星期五\13点ARP欺骗攻击防范措施静态绑定关键主机的IP地址与MAC地址映射关系网关/关键服务器"arp-sIP地址MAC地址类型"使用相应的ARP防范工具ARP防火墙使用VLAN虚拟子网细分网络拓扑加密传输数据以降低ARP欺骗攻击的危害后果当前第27页\共有48页\编于星期五\13点ICMP路由重定向攻击ICMP路由重定向攻击伪装成路由器发送虚假的ICMP路由路径控制报文使受害主机选择攻击者指定的路由路径攻击目的：嗅探或假冒攻击技术原理路由器告知主机：“应该使用的

路由器IP地址”当前第28页\共有48页\编于星期五\13点ICMP路由重定向攻击技术攻击节点冒充网关IP，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点被攻击节点接受报文，选择攻击节点作为其新路由器(即网关)攻击节点可以开启路由转发，实施中间人攻击“谎言还是真话”？当前第29页\共有48页\编于星期五\13点ICMP路由重定向攻击防范根据类型过滤一些ICMP数据包设置防火墙过滤对于ICMP重定向报文判断是不是来自本地路由器当前第30页\共有48页\编于星期五\13点传输层协议攻击当前第31页\共有48页\编于星期五\13点TCPRST攻击中断攻击伪造TCP重置报文攻击(spoofedTCPresetpacket)TCP重置报文将直接关闭掉一个TCP会话连接限制条件：通讯目标方接受TCP包通讯源IP地址及端口号一致序列号(Seq)落入TCP窗口之内嗅探监视通信双方的TCP连接，获得源、目标IP地址及端口结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方应用场景：恶意拒绝服务攻击、重置入侵连接、GFWGFW:“net::ERR_CONNECTION_RESET”当前第32页\共有48页\编于星期五\13点TCPRST攻击演示Netwox#78toolReseteveryTCPpacketUsage:netwox78[-ddevice][-ffilter][-sspoofip][-iips]netwox78-i"172.*.*.188"当前第33页\共有48页\编于星期五\13点TCP会话劫持结合嗅探、欺骗技术中间人攻击：注射额外信息，暗中改变通信计算出正确的seqackseq即可TCP会话攻击工具Juggernaut、Hunt、TTYwatcher、IPwatcher当前第34页\共有48页\编于星期五\13点TCP会话劫持攻击过程受害者攻击者服务器连接请求ACK监听RST假冒受害者发送数据包认证成功当前第35页\共有48页\编于星期五\13点Hunt工具介绍源码开放的自由软件，可运行在Linux平台上功能特点监听当前网络上的会话重置会话(resetasession)劫持会话在劫持之后，使连接继续同步确定哪些主机在线四个守护进程自动resetArp欺骗包的转发收集MAC地址具有搜索功能的sniffer当前第36页\共有48页\编于星期五\13点如何防止会话劫持避免攻击者成为通信双方的中间人部署交换式网络，用交换机代替集线器禁用主机上的源路由采用静态绑定IP-MAC映射表以避免ARP欺过滤ICMP重定向报文TCP会话加密(IPsec协议)避免了攻击者在得到传输层的端口及序列号等关键信息防火墙配置限制尽可能少量的外部许可连接的IP地址检测ACK风暴：ACK包的数量明显增加当前第37页\共有48页\编于星期五\13点TCPSYNFlood拒绝服务攻击(DoS)破坏可用性TCPSYNFloodSYN洪泛攻击利用TCP三次握手协议的缺陷大量的伪造源地址的SYN连接请求消耗目标主机的连接队列资源不能够为正常用户提供服务当前第38页\共有48页\编于星期五\13点TCPSYNFlood示意图及效果当前第39页\共有48页\编于星期五\13点直接攻击欺骗式攻击分布式攻击当前第40页\共有48页\编于星期五\13点利用Netwox进行TCPSYNFlood工具76当前第41页\共有48页\编于星期五\13点SYNFlood攻击防范措施-SynCookie弥补TCP连接建立过程资源分配这一缺陷无状态的三次握手‖服务器收到一个SYN报文后,不立即分配缓冲区利用连接的信息生成一个cookie,作为SEQ客户端返回ACK中带着ACK=cookie+1服务器端核对cookie,通过则建立连接，分配资源当前第42页\共有48页\编于星期五\13点防火墙地址状态监控技术有状态防火墙网络中的TCP连接进行状态监控和处理维护TCP连接状态：NEW状态、GOOD状态、BAD状态…三次握手‖代理当前第43页\共有48页\编于星期五\13点UDPFlood攻击UDP协议无状态不可靠仅仅是传输数据报UDPFlood带宽耗尽型拒绝服务攻击分布式拒绝服务攻击(DDoS)利用僵尸网络控制大量受控傀儡主机通常会结合IP源地址欺骗技术当前第44页\共有48页\编于星期五\13点UDPFlood攻击防范措施禁用或过滤监控和响应服务禁用或过滤其它的UDP服务网络关键位置使用防火墙和代理机制来过滤掉一些非预期的网络流量遭遇带宽耗尽型拒绝服务攻