信息安全管理第3章3.3TCPIP安全详解.pptx

主要内容 介绍攻击者利用TCP/IP的漏洞进行欺骗攻击，了解欺骗攻击的原理及采取的防范措施。 TCP/IP安全 一、网络层问题 二、传输层问题 三、应用层问题 一、网络层问题 1.1IP路由欺骗 1.2ARP欺骗 1.3Smurf 1.4死亡之ping 1.5Teardorp（泪滴） 二、传输层问题 2.1Land拒绝服务攻击 2.2TCP会话劫持 2.3SYN Flood（SYN 泛洪）攻击 2.4分布式拒绝服务攻击 三、应用层问题 3.1DNS安全问题 3.2HTTP安全问题 概述 在Internet上计算机之间相互进行的交流建立在两个前提之下： 认证（Authentication） 信任（Trust） 概述 认证: 认证是网络上的计算机用于相互间进行识别的一种鉴别过程，经过认证的过程，获准相互交流的计算机之间就会建立起相互信任的关系。 概述 信任: 信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。 概述 欺骗： 是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻击。 涉及到的三方 攻击者X 受害者B （被攻击者） A （被信任者） （可信任方） （被冒充者） 1.1IP欺骗 IP欺骗的基本概念 IP欺骗就是通过IP地址，使得某台主机能够伪装成另外一台主机，从而骗取对目标主机的访问权限，入侵目标主机的一种攻击。 1.1IP欺骗 简单的IP地址变化 源路由欺骗 简单的IP地址变化 攻击者将一台计算机的IP地址修改为其它主机的地址，以伪装冒充其它机器。 首先了解一个网络的具体配置及IP分布，然后改变自己的地址，以假冒身份发起与被攻击者的连接。这样做就可以使所有发送的数据包都带有假冒的源地址。 简单的IP地址变化 攻击者使用假冒的IP地址向一台机器发送数据包，但没有收到任何返回的数据包，这被称之为盲目飞行攻击（flying blind attack），或者叫做单向攻击（one-way attack）。因为只能向受害者发送数据包，而不会收到任何应答包。 源路由机制 简单的IP地址变化很致命的缺陷是攻击者无法接收到返回的信息流。为了得到从目的主机返回源地址主机的数据流，有两个方法： 一个方法是攻击者插入到正常情况下数据流经过的通路上； 另一种方法就是保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。 源路由机制 第一种方法其过程如图所示: 但实际中实现起来非常困难，互联网采用的是动态路由，即数据包从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。 源路由机制 第二种方法是使用源路由机制，保证数据包始终会经过一条给定的途径，而攻击者机器在该途径中。 IP 协议包含一个选项，叫作IP源路由选项(Source Routing)，可以用来指定一条源地址和目的地址之间的直接路径。 某些路由器对源路由包的反应是使用其指定的路由，并使用其反向路由来传送应答数据。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。 源路由机制 攻击者可以使用假冒地址A向受害者B发送数据包，并指定了路由选择，并把自己的IP地址X填入地址清单中。 当B在应答的时候，也应用同样的源路由，因此，数据包返回被假冒主机A的过程中必然会经过攻击者X。 这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。 IP源路由欺骗防范措施 关闭源路由选项功能 路由器配置参数的监控； 防火墙过滤措施 1.2ARP欺骗 ARP基础知识 ARP工作原理 局域网内通信 局域网间通信 ARP欺骗攻击原理 ARP欺骗攻击原理 ARP欺骗攻击的危害 ARP欺骗攻击的检测与防御 如何检测局域网中存在ARP欺骗攻击 如何发现正在进行ARP攻击的主机 ARP欺骗攻击的防范 ARP基础知识 ARP(Address Resolution Protocol)：地址解析协议，用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）。 在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。 ARP基础知识 ARP协议有两种数据包 ARP请求包：ARP工作时，送出一个含有目的IP地址的以太网广播数据包，这也就是ARP请求包。它表示：我想与目的IP通信，请告诉我此IP的MAC地址。ARP请求包格式如下： arp who-has tell ARP应答包：当目标主机