1、tcp/ip網(wǎng)絡協(xié)議攻擊,tcp/ip網(wǎng)絡協(xié)議棧攻擊概述,網(wǎng)絡安全屬性,網(wǎng)絡安全cia屬性 保密性(confidentiality) 完整性(integrity) 可用性(availability) 其他兩個補充屬性 真實性(authentication) 不可抵賴性(non-repudiation) 可審查性(accountability),網(wǎng)絡攻擊基本模式：被動攻擊 - 竊聽 interception,網(wǎng)絡攻擊基本模式：被動攻擊 流量分析 traffic analysis,網(wǎng)絡攻擊基本模式：主動攻擊-偽裝 masquerade,網(wǎng)絡攻擊基本模式：主動攻擊- 重放 replay,網(wǎng)絡攻擊基本

2、模式：主動攻擊- 篡改 modification,網(wǎng)絡攻擊基本模式：主動攻擊: 拒絕服務 denial of service,對攻擊的一般處理原則,被動攻擊 側重于阻止 容易阻止 難于檢測 主動攻擊 側重于檢測與恢復 難于阻止 容易檢測,中間人攻擊(mitm攻擊),通信雙方 alice & bob 中間人 mallory 與通信雙方建立起各自獨立的會話連接 對雙方進行身份欺騙 進行消息的雙向轉發(fā) 必要前提：攔截通信雙方的全部通信(截獲)、轉發(fā)篡改消息(篡改)、雙方身份欺騙(偽造) 現(xiàn)實世界中的中間人攻擊國際象棋欺騙術,tcp/ip網(wǎng)絡協(xié)議棧安全缺陷與攻擊技術,原始報文偽造技術及工具,原始報文偽

3、造技術 偽造出特制的網(wǎng)絡數(shù)據(jù)報文并發(fā)送 原始套接字(raw socket) netwox/netwag 超過200個不同功能的網(wǎng)絡報文生成與發(fā)送工具 #netwoxnumber parameters . ,netwox工具使用演示,netwox: 命令行 netwag: 窗口, tcl支持 wireshark捕獲網(wǎng)絡包 工具32：偽造以太網(wǎng)包,網(wǎng)絡層協(xié)議攻擊,ip源地址欺騙,ip源地址欺騙 偽造具有虛假源地址的ip數(shù)據(jù)包進行發(fā)送 目的：隱藏攻擊者身份、假冒其他計算機 ip源地址欺騙原理 路由轉發(fā)只是用目標ip地址，不對源做驗證 現(xiàn)實世界中的平信 通常情況：無法獲得響應包,攻擊者ip(a),服務

4、器ip(b),其他用戶ip(c),internet,攻擊者數(shù)據(jù)包的源ip為ip(c)，目標ip為ip(b),ip源地址欺騙假冒ip攻擊,可以嗅探響應包的環(huán)境 同一局域網(wǎng) arp欺騙、重定向攻擊劫持響應包 盲攻擊(blind attack) robert t. morris在1985年提出 kevin mitinick在1995年仍使用 通過猜測tcp三次握手中所需的信息，假冒ip建立起tcp連接,盲攻擊過程,攻擊者ip(a),目標服務器cip(c),受信任的主機bip(b),1.進行dos攻擊 使b喪失工作能力,2.對isn采樣猜測,3.以ip(b)為源ip發(fā)送syn包,5.以ip(b)為源i

5、p再發(fā)送ack包(猜測的isn+1),6.正式建立連接,4.發(fā)送syn+ack 但是b不會應答,ip源地址欺騙技術的應用場景,普遍應用場景 拒絕服務攻擊：無需或不期望響應包，節(jié)省帶寬，隱藏攻擊源 網(wǎng)絡掃描(nmap -d)：將真正掃描源隱藏于一些欺騙的源ip地址中 假冒ip攻擊場景 對付基于ip地址的身份認證機制 類unix平臺上的主機信任關系 防火墻或服務器中配置的特定ip訪問許可 遠程主機ip欺騙-盲攻擊，較難成功,利用netwox進行ip源地址欺騙,工具34/38,ip源地址欺騙的防范措施,使用隨機化的初始序列號以避免遠程的盲攻擊 使用網(wǎng)絡層安全傳輸協(xié)議如ipsec 避免泄露高層協(xié)議可供

6、利用的信息及傳輸內容 避免采用基于ip地址的信任策略 以基于加密算法的用戶身份認證機制來替代 在路由器和網(wǎng)關上實施包檢查和過濾 入站過濾機制(ingress filtering) 出站過濾機制(egress filtering),arp欺騙(arp spoofing),arp協(xié)議工作原理 將網(wǎng)絡主機的ip地址解析成其mac地址 每臺主機設備上都擁有一個arp緩存(arp cache) 檢查自己的arp緩存，有，直接映射，無，廣播arp請求包 檢查數(shù)據(jù)包中的目標ip地址是否與自己的ip地址一致，如一致，發(fā)送arp響應，告知mac地址 源節(jié)點在收到這個arp響應數(shù)據(jù)包后，將得到的目標主機ip地址和

7、mac地址對映射表項添加到自己的arp緩存中,1.arp請求,2.保存 ip(a)/mac(a),3.arp應答,4.保存 ip(b)/mac(b),a,b,arp欺騙攻擊技術原理,arp欺騙：發(fā)送偽造arp消息，對特定ip所對應的mac地址進行假冒欺騙，從而達到惡意目的,a,c,b,其他機器,1. 廣播arp請求b的mac地址,2 不斷發(fā)送偽造arp應答包，映射ip(b)/mac(c),3 保存錯誤的映射ip(b)/mac(c),4 本應發(fā)送至b的數(shù)據(jù)包,5 通過同樣的手段欺騙b,1廣播arp請求b的mac地址,2 發(fā)送arp應答，映射ip(b)/mac(b),1 廣播arp請求b的mac地

8、址,2 正常機器不會響應,網(wǎng)關arp欺騙,arp欺騙技術的應用場景,利用arp欺騙進行交換網(wǎng)絡中的嗅探 arp欺騙構造中間人攻擊，從而實施tcp會話劫持 arp病毒 arp欺騙掛馬,利用netwox進行arp欺騙,工具33,arp欺騙攻擊防范措施,靜態(tài)綁定關鍵主機的ip地址與mac地址映射關系 網(wǎng)關/關鍵服務器 arp-s ip地址mac地址類型 使用相應的arp防范工具 arp防火墻 使用vlan虛擬子網(wǎng)細分網(wǎng)絡拓撲 加密傳輸數(shù)據(jù)以降低arp欺騙攻擊的危害后果,icmp路由重定向攻擊,icmp路由重定向攻擊 偽裝成路由器發(fā)送虛假的icmp路由路徑控制報文 使受害主機選擇攻擊者指定的路由路徑

9、攻擊目的：嗅探或假冒攻擊 技術原理 路由器告知主機： “應該使用的 路由器ip地址”,icmp路由重定向攻擊技術,攻擊節(jié)點冒充網(wǎng)關ip，向被攻擊節(jié)點發(fā)送icmp重定向報文，并將指定的新路由器ip地址設置為攻擊節(jié)點 被攻擊節(jié)點接受報文，選擇攻擊節(jié)點作為其新路由器(即網(wǎng)關) 攻擊節(jié)點可以開啟路由轉發(fā)，實施中間人攻擊 “謊言還是真話”？,icmp路由重定向攻擊防范,根據(jù)類型過濾一些icmp數(shù)據(jù)包 設置防火墻過濾 對于icmp重定向報文判斷是不是來自本地路由器,傳輸層協(xié)議攻擊,tcp rst攻擊,中斷攻擊 偽造tcp重置報文攻擊(spoofed tcp reset packet) tcp重置報文將直接

10、關閉掉一個tcp會話連接 限制條件：通訊目標方接受tcp包 通訊源ip地址及端口號一致 序列號(seq)落入tcp窗口之內 嗅探監(jiān)視通信雙方的tcp連接，獲得源、目標ip地址及端口 結合ip源地址欺騙技術偽裝成通信一方，發(fā)送tcp重置報文給通信另一方 應用場景：惡意拒絕服務攻擊、重置入侵連接、gfw gfw: “net:err_connection_reset”,tcp rst攻擊演示,netwox#78 tool reset every tcp packet usage: netwox78 -d device -f filter -s spoofip -iips netwox78-i172.

11、*.*.188,tcp會話劫持,結合嗅探、欺騙技術 中間人攻擊：注射額外信息，暗中改變通信 計算出正確的seqackseq即可 tcp會話攻擊工具 juggernaut、hunt、tty watcher、ip watcher,tcp會話劫持攻擊過程,受害者,攻擊者,服務器,連接請求,ack,監(jiān)聽,rst,假冒受害者發(fā)送數(shù)據(jù)包,認證成功,hunt工具介紹,源碼開放的自由軟件，可運行在linux平臺上 功能特點 監(jiān)聽當前網(wǎng)絡上的會話 重置會話(reset a session) 劫持會話 在劫持之后，使連接繼續(xù)同步 確定哪些主機在線 四個守護進程 自動reset arp欺騙包的轉發(fā) 收集mac地址

12、具有搜索功能的sniffer,如何防止會話劫持,避免攻擊者成為通信雙方的中間人 部署交換式網(wǎng)絡，用交換機代替集線器 禁用主機上的源路由 采用靜態(tài)綁定ip-mac映射表以避免arp欺 過濾icmp重定向報文 tcp會話加密(ipsec協(xié)議) 避免了攻擊者在得到傳輸層的端口及序列號等關鍵信息 防火墻配置 限制盡可能少量的外部許可連接的ip地址 檢測 ack風暴：ack包的數(shù)量明顯增加,tcp syn flood,拒絕服務攻擊(dos) 破壞可用性 tcp syn flood syn洪泛攻擊 利用tcp三次握手協(xié)議的缺陷 大量的偽造源地址的syn連接請求 消耗目標主機的連接隊列資源 不能夠為正常用戶

13、提供服務,tcp syn flood 示意圖及效果,直接攻擊,欺騙式攻擊,分布式攻擊,利用netwox進行tcp syn flood,工具76,syn flood攻擊防范措施-syncookie,彌補tcp連接建立過程資源分配這一缺陷 無狀態(tài)的三次握手 服務器收到一個syn報文后,不立即分配緩沖區(qū) 利用連接的信息生成一個cookie, 作為seq 客戶端返回ack中帶著ack = cookie+1 服務器端核對cookie, 通過則建立連接，分配資源,防火墻地址狀態(tài)監(jiān)控技術,有狀態(tài)防火墻 網(wǎng)絡中的tcp連接進行狀態(tài)監(jiān)控和處理 維護tcp連接狀態(tài)：new狀態(tài)、good狀態(tài)、bad狀態(tài) 三次握手代

14、理,udp flood攻擊,udp協(xié)議 無狀態(tài)不可靠 僅僅是傳輸數(shù)據(jù)報 udp flood 帶寬耗盡型拒絕服務攻擊 分布式拒絕服務攻擊(ddos) 利用僵尸網(wǎng)絡控制大量受控傀儡主機 通常會結合ip源地址欺騙技術,udp flood攻擊防范措施,禁用或過濾監(jiān)控和響應服務 禁用或過濾其它的udp 服務 網(wǎng)絡關鍵位置使用防火墻和代理機制來過濾掉一些非預期的網(wǎng)絡流量 遭遇帶寬耗盡型拒絕服務攻擊 終端無能為力 補救措施：網(wǎng)絡擴容、轉移服務器位置 事件響應：匯報給安全應急響應部門、追溯和處置 流量清洗解決方案：isp為關鍵客戶/服務所提供,tcp/ip網(wǎng)絡協(xié)議棧攻擊防范措施,監(jiān)測、預防與安全加固,網(wǎng)絡接口層主要安全威脅是網(wǎng)絡嗅探 局域網(wǎng)中的監(jiān)聽點檢測 網(wǎng)絡設計上盡量細分和優(yōu)化網(wǎng)絡結構 關鍵路徑上的網(wǎng)關、路由器等設備的嚴格安全防護 各類網(wǎng)絡采用上層的加密通信協(xié)議 互聯(lián)層 多種檢測和過濾技術來發(fā)現(xiàn)和阻斷網(wǎng)絡中欺騙攻擊 增強防火墻、路由器和網(wǎng)關設備的安全策略(egress filtering) 關鍵服務器使用靜態(tài)綁定ip-mac映射表