第二章網(wǎng)絡(luò)攻擊第二章網(wǎng)絡(luò)攻擊2.3欺騙攻擊2.2嗅探攻擊2.1網(wǎng)絡(luò)攻擊定義及分類2.6黑客入侵2.4拒絕服務(wù)攻擊2.5非法登錄2.1網(wǎng)絡(luò)攻擊的定義及分類網(wǎng)絡(luò)攻擊的定義網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷對網(wǎng)絡(luò)中的硬件、軟件及信息進(jìn)行的攻擊，其目的是破壞網(wǎng)絡(luò)中信息的保密性、完整性、可用性、可控制性和不可抵賴性，削弱甚至癱瘓網(wǎng)絡(luò)的服務(wù)功能。網(wǎng)絡(luò)攻擊的分類主動攻擊是指會改變網(wǎng)絡(luò)中的信息、狀態(tài)和信息流模式的攻擊行為。被動攻擊是指不會對經(jīng)過網(wǎng)絡(luò)傳輸?shù)男畔?、網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)信息流模式產(chǎn)生影響的攻擊行為。2.1網(wǎng)絡(luò)攻擊的定義及分類典型的主動攻擊包括篡改信息、欺騙攻擊、拒絕服務(wù)、重放攻擊等例：DNS欺騙又稱DNS緩存中毒，是指攻擊者通過篡改DNS中的記錄，將用戶原本意圖訪問的合法網(wǎng)站域名解析到攻擊者控制的惡意IP地址上，從而使用戶在毫不知情的情況下訪問偽造的網(wǎng)站，實(shí)現(xiàn)了對用戶流量的劫持與重定向。工作原理：攻擊者會在DNS查詢的傳輸路徑中插入虛假的DNS響應(yīng)。這些響應(yīng)會偽裝成合法的DNS服務(wù)器回復(fù)，欺騙用戶的DNS解析器將域名解析到錯誤的IP地址。后續(xù)對該域名的訪問都將被重定向至惡意網(wǎng)站。2.1網(wǎng)絡(luò)攻擊的定義及分類DNS欺騙的實(shí)施方式：1、中間人攻擊（MITM）：攻擊者攔截用戶與DNS服務(wù)器之間的通信，并冒充DNS服務(wù)器向用戶發(fā)送虛假的DNS響應(yīng)。2、DNS服務(wù)器妥協(xié)：攻擊者直接控制或劫持DNS服務(wù)器，修改其配置以返回惡意的IP地址。思考&討論：如何抵御DNS欺騙攻擊？DNS欺騙能夠?qū)嵤┑母驹蛟谟贒NS解析的分散性和無嚴(yán)格身份驗(yàn)證的特點(diǎn)。2.1網(wǎng)絡(luò)攻擊的定義及分類

針對DNS欺騙攻擊可采取的防范措施：1、使用DNSSEC：DNSSEC（域名系統(tǒng)安全擴(kuò)展）為DNS響應(yīng)添加數(shù)字簽名，確保DNS查詢的完整性和真實(shí)性。2、選擇可信賴的DNS服務(wù)器：使用經(jīng)過驗(yàn)證且安全性高的DNS服務(wù)器，減少被攻擊的風(fēng)險(xiǎn)。3、加密通信：使用HTTPS來保護(hù)用戶與DNS服務(wù)器之間的通信安全。4、定期系統(tǒng)更新：DNS服務(wù)器及時(shí)更新系統(tǒng)和DNS軟件，安裝最新的安全補(bǔ)丁，以抵御新出現(xiàn)的漏洞和攻擊手段。5、網(wǎng)絡(luò)監(jiān)控與異常檢測：通過監(jiān)視網(wǎng)絡(luò)流量，分析DNS請求模式，及時(shí)發(fā)現(xiàn)并阻止異常的DNS活動。2.1網(wǎng)絡(luò)攻擊的定義及分類典型的被動攻擊包括信息嗅探、非法訪問和數(shù)據(jù)流分析等非法訪問是指讀取主機(jī)中存儲的信息，但不對信息做任何改變。信息嗅探是指復(fù)制經(jīng)過網(wǎng)絡(luò)傳輸?shù)男畔ⅲ粫淖冃畔⒑托畔鬏斶^程。2.1網(wǎng)絡(luò)攻擊的定義及分類數(shù)據(jù)流分析是指對經(jīng)過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流進(jìn)行統(tǒng)計(jì)，通過分析統(tǒng)計(jì)結(jié)果得出網(wǎng)絡(luò)中的信息傳輸模式。例如：通過記錄每一個IP分組的源和目的地址及IP分組中凈荷字段的長度，可以得出每一對終端之間傳輸?shù)臄?shù)據(jù)量，并因此推導(dǎo)出終端之間的流量分布。2.2嗅探攻擊1.嗅探攻擊的原理終端A向B傳輸信息過程中，信息不僅沿著A至B的傳輸路徑傳輸，還沿著A至黑客的傳輸路徑傳輸，且A至黑客終端的傳輸路徑對A和B都是透明的。2.嗅探攻擊的后果破壞信息的保密性便于實(shí)現(xiàn)數(shù)據(jù)流分析實(shí)施重放攻擊2.2嗅探攻擊正常情況下，當(dāng)交換機(jī)的轉(zhuǎn)發(fā)表(MAC表)中存在某個終端對應(yīng)的轉(zhuǎn)發(fā)項(xiàng)時(shí)，交換機(jī)只從連接該終端的端口輸出MAC幀；如果交換機(jī)的轉(zhuǎn)發(fā)表中沒有地址為MACB的轉(zhuǎn)發(fā)項(xiàng)，則交換機(jī)采用與集線器相同的轉(zhuǎn)發(fā)機(jī)制，即向其它所有端口轉(zhuǎn)發(fā)來自終端A的MAC幀。1.交換機(jī)的數(shù)據(jù)幀轉(zhuǎn)發(fā)原理2.2嗅探攻擊2.利用MAC表溢出攻擊實(shí)施嗅探MAC表溢出攻擊實(shí)施過程黑客不斷發(fā)送源MAC地址變化的幀，如發(fā)送一系列源地址分別為MAC1、MAC2…MACn

的幀，使得交換機(jī)轉(zhuǎn)發(fā)表中添加地址分別為MAC1、MAC2…MACn

的轉(zhuǎn)發(fā)項(xiàng)，大量的轉(zhuǎn)發(fā)項(xiàng)將耗盡交換機(jī)轉(zhuǎn)發(fā)表的存儲空間。結(jié)果：當(dāng)交換機(jī)接收到終端B發(fā)送的幀時(shí)，由于轉(zhuǎn)發(fā)表的存儲空間耗盡，無法添加地址為MACB的新轉(zhuǎn)發(fā)項(xiàng)。此時(shí)，若終端A向終端B發(fā)送MAC幀，交換機(jī)就會以廣播方式完成MAC幀的傳輸，黑客終端完成了嗅探任務(wù)。2.2嗅探攻擊3.嗅探攻擊的防御機(jī)制對于通過交換機(jī)實(shí)現(xiàn)的嗅探攻擊，需要有防止黑客終端接入交換機(jī)的措施。交換機(jī)需要具備防御MAC表溢出攻擊的機(jī)制。對于無線通信過程，嗅探攻擊是無法避免的，因此需要對傳輸?shù)男畔⑦M(jìn)行加密。

2.3欺騙攻擊實(shí)際轉(zhuǎn)發(fā)路徑實(shí)際轉(zhuǎn)發(fā)路徑正常轉(zhuǎn)發(fā)路徑截獲攻擊的危害：冒充合法用戶進(jìn)行登錄和訪問；對于加密報(bào)文，可以進(jìn)行重放攻擊，導(dǎo)致系統(tǒng)數(shù)據(jù)異常。如何改變報(bào)文的轉(zhuǎn)發(fā)路徑，實(shí)現(xiàn)對報(bào)文的截獲呢？截獲攻擊：通過改變信息的傳輸路徑，使信息經(jīng)過黑客終端。黑客終端截獲A發(fā)往B的數(shù)據(jù)報(bào)文后，可以進(jìn)行如下操作：篡改信息，再轉(zhuǎn)發(fā)給終端B；保留信息一段時(shí)間后，再將信息轉(zhuǎn)發(fā)給終端B，或者將同一信息多次轉(zhuǎn)發(fā)給終端B；黑客終端只保留信息，不轉(zhuǎn)發(fā)給終端B。

2.3欺騙攻擊——MAC地址欺騙攻擊黑客終端實(shí)施MAC地址欺騙的步驟：黑客將自己的MAC地址修改為終端A的MAC地址；黑客發(fā)送以MACA為源地址，以廣播地址為目的地址的MAC幀結(jié)果：終端B發(fā)往終端A的數(shù)據(jù)幀都會被轉(zhuǎn)發(fā)到黑客終端。如何抵御MAC地址欺騙攻擊呢？2.3欺騙攻擊——DHCP欺騙攻擊動態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol，DHCP)：為終端接入網(wǎng)絡(luò)自動配置必要的網(wǎng)絡(luò)信息，如IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址和本地域名服務(wù)器地址等。DHCP欺騙攻擊的根本目的：讓目標(biāo)主機(jī)相信并接受來自偽造DHCP服務(wù)器的網(wǎng)絡(luò)配置信息，從而實(shí)現(xiàn)報(bào)文截獲。LAN1內(nèi)的終端通常先接收到偽造的DHCP服務(wù)器所發(fā)送的參數(shù)配置消息，因而會選擇偽造的DHCP服務(wù)器為其配置網(wǎng)絡(luò)參數(shù)。在LAN1內(nèi)連接一個偽造的DHCP服務(wù)器，其配置的子網(wǎng)掩碼和可分配的IP地址與正常的DHCP服務(wù)器相同，但默認(rèn)網(wǎng)關(guān)地址設(shè)置為黑客終端地址2.3欺騙攻擊——APR欺騙攻擊ARP協(xié)議本身存在的安全漏洞為實(shí)施ARP欺騙攻擊提供了可能。終端無法鑒別ARP請求/回復(fù)報(bào)文中IP地址與MAC地址綁定項(xiàng)的真實(shí)性。地址解析協(xié)議(AddressResolutionProtocol，ARP)：當(dāng)發(fā)送終端只知道接收終端的IP地址時(shí)，需要根據(jù)接收終端的IP地址解析出接收終端的MAC地址的報(bào)文交互過程。2.3欺騙攻擊——APR欺騙攻擊案例：黑客通過ARP欺騙來截獲發(fā)送給終端A的IP分組黑客首先廣播一個ARP請求報(bào)文，并在請求報(bào)文中將終端A的IP地址和自己的MAC地址MACC綁定在一起；當(dāng)路由器接收到ARP請求報(bào)文后，在ARP緩沖區(qū)中記錄IPA與MACC的綁定項(xiàng)。當(dāng)收到目的地址為IPA的分組時(shí)，將分組封裝成目的地址為MACC的幀，再將該MAC幀傳輸給黑客終端，黑客成功攔截了原本發(fā)送給終端A的IP分組；為了更穩(wěn)妥地?cái)r截發(fā)送給終端A的IP分組，黑客終端通常通過攻擊讓A癱瘓掉。2.3欺騙攻擊——生成樹欺騙攻擊

生成樹協(xié)議：為交換機(jī)設(shè)計(jì)一個存在冗余鏈路的網(wǎng)絡(luò)，通過阻塞某些端口使網(wǎng)絡(luò)沒有環(huán)路。當(dāng)某條鏈路或是某個交換機(jī)發(fā)生故障時(shí)，重新開通原來阻塞的端口使網(wǎng)絡(luò)依然保持連通性而又沒有形成環(huán)路；該協(xié)議既提高了網(wǎng)絡(luò)的可靠性，又消除了環(huán)路問題。2.3欺騙攻擊——生成樹欺騙攻擊

終端C終端A終端B終端B終端A終端C黑客終端連接到交換機(jī)S1，S2，然后運(yùn)行生成樹協(xié)議黑客終端偽裝成交換機(jī)并配置很小的交換機(jī)優(yōu)先級其他交換機(jī)運(yùn)行生成樹協(xié)議時(shí)將黑客終端作為根交換機(jī)2.3欺騙攻擊——路由項(xiàng)欺騙攻擊

案例：黑客通過路由項(xiàng)欺騙攻擊來截獲發(fā)送給終端B的IP分組黑客終端發(fā)送一個以組播地址為目的地址的路由消息，該路由消息偽造了一項(xiàng)黑客終端直接和LAN4連接的路由項(xiàng)；路由器R1接收到該路由消息后，生成錯誤的路由表項(xiàng)；路由器R1將連接在LAN1上的終端A發(fā)送給連接在LAN4上終端B的IP分組錯誤地轉(zhuǎn)發(fā)給黑客終端。2.3欺騙攻擊——源IP地址欺騙攻擊源IP地址欺騙：某個終端發(fā)送IP分組時(shí)，不是以該終端真實(shí)的IP地址作為源IP地址，而是用其他終端的IP地址，或者偽造一個本不存在的IP地址作為IP分組的源IP地址的行為。源IP地址欺騙主要用在以下兩種攻擊過程：拒絕服務(wù)攻擊SYN泛洪攻擊：黑客終端用不存在的IP地址請求建立TCP連接；Smurf攻擊：黑客終端用攻擊目標(biāo)的IP地址作為ICMPECHO請求報(bào)文的源IP地址。實(shí)施非法登錄有些服務(wù)器只允許特定IP地址的終端訪問，因此，黑客終端為了實(shí)施非法登錄，用授權(quán)終端的IP地址作為源IP地址。如何防御源IP地址欺騙攻擊？2.3欺騙攻擊——釣魚網(wǎng)站1.談?wù)勀銓︶烎~網(wǎng)站的了解釣魚網(wǎng)站是指黑客模仿某個著名網(wǎng)站的假網(wǎng)站，用戶雖然在瀏覽器地址欄中輸入該著名網(wǎng)站的域名，但實(shí)際訪問的是黑客模仿該著名網(wǎng)站的假網(wǎng)站。常見的釣魚網(wǎng)站類型2.3欺騙攻擊——釣魚網(wǎng)站2.釣魚網(wǎng)站的傳播方式有哪些？一是修改終端的hosts文件，也稱為hosts文件劫持，黑客入侵終端后經(jīng)常實(shí)施的攻擊行為。二是修改終端配置的本地域名服務(wù)器地址，用假域名服務(wù)器地址取代原來正確的本地域名服務(wù)器地址。黑客實(shí)施釣魚攻擊的手段社工學(xué)或者用戶操作不慎往往會登錄到釣魚網(wǎng)站2.3欺騙攻擊——釣魚網(wǎng)站3.抵御釣魚網(wǎng)站的機(jī)制有哪些？1主機(jī)應(yīng)當(dāng)具有防御黑客入侵的能力，使得黑客無法修改主機(jī)信息2交換機(jī)應(yīng)當(dāng)具有防止偽造DHCP服務(wù)器接入的能力，只允許經(jīng)過認(rèn)證的DHCP服務(wù)器接入以太網(wǎng)3終端要具備鑒別Web服務(wù)器的能力，只有驗(yàn)證Web服務(wù)器身份后，才允許對其進(jìn)行訪問。2.4拒絕服務(wù)攻擊拒絕服務(wù)攻擊就是用某種方法耗盡網(wǎng)絡(luò)設(shè)備、鏈路或服務(wù)器資源，使其不能正常提供服務(wù)的一種攻擊手段。案例1?：2024年，互聯(lián)網(wǎng)檔案館遭受了一系列DDoS攻擊，導(dǎo)致服務(wù)中斷，影響了超過3100萬用戶的訪問?。案例2：六安網(wǎng)安部門破獲了一起DDoS攻擊案件，犯罪嫌疑人姚某利用境外通聯(lián)軟件搭建自動化攻擊平臺提供DDoS服務(wù)。1SYN泛洪攻擊是一種通過耗盡服務(wù)器資源，使服務(wù)器不能正常提供服務(wù)的攻擊手段。2Smurf攻擊是一種通過耗盡網(wǎng)絡(luò)帶寬，使被攻擊終端不能和其他終端正常通信的攻擊手段。3分布式拒絕服務(wù)(DistributedDenialofService，DDoS)攻擊是目前最常見的拒絕服務(wù)攻擊形式。2.4拒絕服務(wù)攻擊基本原理：Web服務(wù)器在會話表中為每一個TCP連接創(chuàng)建一項(xiàng)連接項(xiàng)；由于會話表中的連接項(xiàng)是有限的，與服務(wù)器建立的TCP連接數(shù)量也有限。SYN泛洪攻擊通過快速消耗掉服務(wù)器TCP會話表中的連接項(xiàng)，使得正常的TCP連接無法建立的行為。黑客終端偽造多個不存在的IP地址，請求建立與Web服務(wù)器之間的TCP連接;服務(wù)器無法接收到來自客戶端的確認(rèn)報(bào)文，導(dǎo)致大量TCP連接處于半開放狀態(tài);當(dāng)會話表中的內(nèi)存被耗盡時(shí)，Web服務(wù)器無法為正常的TCP連接請求做出響應(yīng)。1.SYN泛洪攻擊SYN泛洪攻擊過程2.4拒絕服務(wù)攻擊黑客終端發(fā)送一個源IP地址為，目的IP地址為55的ICMPECHO請求報(bào)文；該IP分組在LAN3中以廣播方式傳輸，到達(dá)LAN3中的所有終端；LAN3中的終端生成以自身IP為源地址，為目的地址的ICMPECHO響應(yīng)報(bào)文，這些IP分組一起被發(fā)送到攻擊目標(biāo)；到達(dá)攻擊目標(biāo)的傳輸鏈路發(fā)生擁塞，導(dǎo)致其他終端無法和攻擊目標(biāo)正常通信。2.Smurf攻擊Smurf攻擊示例假定：攻擊目標(biāo)的IP地址為，LAN3和LAN4的網(wǎng)絡(luò)地址分別為/16和/16（a）偽裝（b）重播2.4拒絕服務(wù)攻擊1.3.2主動攻擊3.DDos攻擊由肉雞向其他正常主機(jī)發(fā)送大量無用的IP分組，分組經(jīng)過這些正常主機(jī)系統(tǒng)反射后，被送往攻擊目標(biāo)，使攻擊目標(biāo)喪失服務(wù)能力。追蹤間接DDoS攻擊源的難度更大。

直接攻擊間接攻擊通過控制已經(jīng)攻陷的主機(jī)直接向攻擊目標(biāo)發(fā)送大量無用的IP分組，使其喪失服務(wù)能力；2.4拒絕服務(wù)攻擊2022年，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)一個新的DDoS僵尸網(wǎng)絡(luò)Fodcha，其每日境內(nèi)上線肉雞數(shù)已超過1萬，且每日會針對超過100個攻擊目標(biāo)發(fā)起攻擊。Fodcha僵尸網(wǎng)絡(luò)位于境內(nèi)肉雞數(shù)按省份統(tǒng)計(jì)，排名前三位的分別為山東省(12.9%)、遼寧省(11.8%)和浙江省(9.9%)；按運(yùn)營商統(tǒng)計(jì)，聯(lián)通占59.9%，電信占39.4%，移動占0.5%。DDoS間接攻擊案例：攻擊者激活植入肉雞中的攻擊程序，程序隨機(jī)產(chǎn)生以攻擊目標(biāo)IP地址為源地址的ICMPECHO請求報(bào)文。當(dāng)請求報(bào)文到達(dá)目的端后，目的端產(chǎn)生大量ICMPECHO響應(yīng)報(bào)文發(fā)往攻擊目標(biāo)，使攻擊目標(biāo)的網(wǎng)絡(luò)鏈路發(fā)生過載，處理器資源消耗殆盡。2.4拒絕服務(wù)攻擊DDoS攻擊成功防御案例案例12016年，Cloudflare成功抵御了一次超過400Gbps的SYNFloodDDoS攻擊。其成功之處在于采用了全球分布式的網(wǎng)絡(luò)架構(gòu)，實(shí)時(shí)流量分析以及智能過濾算法，迅速識別并阻斷了惡意流量。案例2某大型商業(yè)銀行在其數(shù)據(jù)中心前端部署了多層次防御系統(tǒng)，包括邊界防火墻、流量清洗設(shè)備以及應(yīng)用層防護(hù)機(jī)制，有效抵御了多次針對性的DDoS攻擊，保障了線上金融服務(wù)的穩(wěn)定性。抵御DDoS攻擊的有效策略采用分布式架構(gòu)與全局流量調(diào)度能夠有效抵抗大規(guī)模DDoS攻擊；防御體系應(yīng)具備深度防御和動態(tài)響應(yīng)能力，涵蓋網(wǎng)絡(luò)層、傳輸層到應(yīng)用層的全方位防護(hù)；定期進(jìn)行風(fēng)險(xiǎn)評估與應(yīng)急演練，確保在真實(shí)攻擊來臨時(shí)快速做出響應(yīng)。非法登錄是指非授權(quán)用戶遠(yuǎn)程登錄（Telnet）網(wǎng)絡(luò)