1、第七章 假消息攻击本章主要内容7.1 假消息攻击概述7.2 网络嗅探7.3 ARP 欺骗攻击7.4 ICMP重定向攻击7.5 IP欺骗攻击7.6 DNS欺骗攻击7.7 SSL中间人攻击假消息攻击概述 所谓假消息攻击是指利用网络协议设计中的安全缺陷,通过发送伪造的数据包达到欺骗目标、从中获利的目的。假消息攻击概述 TCP/IP协议的设计缺陷 缺乏有效的信息加密机制,通信内容易被第三方截获 缺乏有效的身份鉴别和认证机制,通信双方无法确认彼此的身份假消息攻击概述应用层应用层传输层传输层网络层网络层数据链路层数据链路层DNS欺骗欺骗IP欺骗欺骗ICMP重定向重定向ARP欺骗欺骗SSL中间人中间人SYN
2、 FloodIP分片攻击分片攻击 假消息攻击的类型本章主要内容7.1 假消息攻击概述7.2 网络嗅探7.3 ARP 欺骗攻击7.4 ICMP重定向攻击7.5 IP欺骗攻击7.6 DNS欺骗攻击7.7 SSL中间人攻击嗅探 嗅探(Sniff)技术是网络中的窃听 嗅探程序(Sniffer)截获网络中传输的数据,并从中解析出其中的机密信息攻击者进行嗅探的目的 窃取各种用户名和口令 窃取机密的信息 如电子邮件正文及附件、网络打印的文档等 窥探底层的协议信息 如DNS的IP地址、本机IP地址、本机MAC地址,远程主机的IP地址、网关的IP地址、一次TCP连接的Sequence Numbe 中间人攻击时篡
3、改数据的基础嗅探的正当用途 解释网络上传输的数据包的含义 为网络诊断提供参考 为网络性能分析提供参考,发现网络瓶颈 发现网络入侵迹象,为入侵检测提供参考 将网络事件记入日志嗅探范围 802.3以太网 使用广播信道的网络,在以太网中所有通信都是广播的 目前的以太网分为共享式以太网和交换式以太网 共享式以太网使用同轴电缆或HUB连接 交换式以太网使用交换机连接共享式以太网包转发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB发送到发送到C主机接收数据 以太网卡首先从网络中接收数据,并在处理完成数据链路层的任务后
4、向操作系统的传递。以太网卡的工作原理 网卡接收到传输来的数据,网卡内的单片程序检查数据帧的目的MAC地址,根据网卡驱动程序设置的接收模式决定是否接收 若不应接收就直接丢弃 否则通过中断的方式通知操作系统以太网卡的侦听模式 侦听模式是网络适配器分析传入帧的目标MAC地址,以决定是否进一步处理它们的方式。单播模式:接收单播和广播数据帧组播模式:接收单播、广播和组播数据帧混杂模式:接收所有数据帧单播模式 单播模式下,网卡只让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过,而过滤掉其它的帧。混杂模式 混杂(promiscuous)模式下工作的网卡能够接收到一切通过它的数据,而不进行数
5、据的目的地址检查,即不再进行硬件过滤。交换式以太网 交换式以太网是使用交换机组建的局域网 交换机使用端口和MAC地址对应表进行数据转发,根据数据包的目的MAC地址,选定目标端口E0:0260.8c01.1111MAC address tableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444交换式以太网包转发E0:0260.8c01.1111MAC address tableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.
6、8c01.33330260.8c01.4444E0E1E2E3DCABXX交换式以太网嗅探 MAC洪泛 MAC洪泛是向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机进入了所谓的“打开失效”模式,也就是开始了类似于Hub的工作方式,向网络上所有的机器广播数据包。交换式以太网嗅探 MAC欺骗 攻击者通过将源MAC地址伪造为目标主机的源MAC地址,并将这样的数据包通过交换机发送出去,这使得交换机不断地更新它的MAC端口映射表,从而让交换机相信攻击者主机的MAC地址就是目标主机的MAC地址,交换机就会把本应发送给目标主机的数据包发送给攻击者。交换式以太网嗅
7、探 ARP欺骗 攻击者通过对网关和目标主机进行ARP欺骗,就可以截取到两者之间的通信数据,从而达到在交换式局域网中嗅探的目的。协议还原 协议还原即是将离散的网络数据根据协议规范重新还原成可读的协议格式。主机封包 嗅探器抓包 嗅探器组包主机封包协议头和协议层的对应关系应用层数据应用层数据TCP包头包头IP包头包头MAC帧头帧头应用层应用层传输层传输层数据链路层数据链路层网络层网络层主机封包处理实体处理实体协议层次协议层次协议协议 应用程序应用程序应用层协议应用层协议HTTP/FTP/SMTP/SNMP/POP3操作系统操作系统 传输层协议传输层协议TCP/UDP网络层协议网络层协议ICMP/IP 以太网卡以太网卡数据链路层协议数据链路层协议 802.3以太网协议以太网协议物理层协议物理层协议 主机封包嗅探器组包嗅探的检测 嗅探器的检测比较困难 商业嗅探器向外发送的数据包 向主机发送可以触发操作系统作出响应,同时又不能通过硬件过滤的数据包,就可以检测主机网络接口的接收模式。实践中,这种数据包的应有特殊的目的MAC地址。嗅探的防范 网络分段 用交换机代替集线器划分VLAN 会话加密 使用安全协议 使用静态的ARP缓存
