中科院《入侵检测技术》课件2：网络攻击1.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 其中query ID是一个16比特随机数，以便将受到的回应与请求相对应 响应中包含下一个NS服务器的IP地址 Bailiwick检查 用户完全信任DNS服务器返回的信息 但是，DNS请求可能会被劫持，DNS服务器可能会被控制（BGP攻击使得请求发送到虚假的DNS服务器） 导致DNS响应是错误的或者假冒的 计算机访问黑客网站，下载javascript脚本 user browser local DNS resolver Query: attacker IPaddr NS = A =attackerIP DNS缓存投毒 修改IP地址，使得访问某个URL被指引到一个假冒的网站 比钓鱼危害更大 不需要发邮件，更加隐蔽 2005年1月，一个大型纽约ISP panix的域名被劫持到一个澳大利亚的网站 2004年11月，google和Amazon的用户被劫持到一个在线卖药的网站 2003年3月， 一个Freedom Cyber Force Militia组织劫持访问Al-Jazeera 网站的用户，显示消息God Bless Our Troops 将PKI引入dns，增加源认证和消息完整性，简单来说就是DNS服务器对响应进行签名 美国联邦政府扩大了广泛使用DNSSEC的计划，现在所有联邦机构在2009年12月前必须使用DNSSEC Dnssec已经布置到.se, .bg, .gov 和部分的*.gov, .org和部分 *.org 拒绝服务攻击 DNS rebinding攻击 Read permitted: it’s the “same origin” Firewall web server DNS server 6 ? corporate web server 6 TTL = 0 iframe src= 4 4 1黑客注册一个域名例如 . 吸引用户来访问该网站 2. 当用户请求 IP地址时，黑客返回自己搭建的服务器的IP地址，例如6。该网站包含一个恶意javascript脚本 3. 在DNS回应中，TTL值会设为一个很小的值。恶意的javascript脚本会再次访问, 使用 JavaScript XMLHttpRequest 对象. 4. 利用上一个DNS回应的TTL值很小，所以用户会再次对进行域名解析，但这一次返回的结果是另一个IP地址（4），这是一个合法的被攻击服务器的IP地址。 5. 浏览器从4 获取网页，从浏览器角度看恶意javascript脚本（来源于6）和来源于4 的网页来源于同一个网站 6. 恶意javascript脚本可以与来源于4 的网页交互，它可以读取内容，发送GET/PUT请求，获得回应等等 不管TTL是多少，一律把DNS回应缓存下来，这样攻击者就无法实现IP地址的切换 * * * 两大标准体系OSI和Internet OSI（7层模型）由ITU-T和ISO共同提出 国际标准 Internet（TCP/IP，四层模型）由IETF提出 RFC文档，Internet草案 OSI体系标准制定程序更加严格，但是需要更多资源，所以应用范围没有Internet标准广 * * * * * * * * * * * * * * * 思想：用一个密钥和数据包中的信息产生服务器的SN 服务器接收到SYN包后，返回用户SYN-ACK数据包，其中SN采用如下的方法计算 T = 5-bit counter incremented every 64 secs. L = MACkey (SAddr, SPort, DAddr, DPort, SNC, T) [24 bits] key: picked at random during boot SNS = (T . mss . L) ( |L| = 24 bits ) 服务器不保存状态 合法的客户端返回ACK数据包（ AN=SNS , SN=SNC+1 ），服务器可以验证SNs的合法性，然后决定是否建立连接 Attack Packet Victim Response TCP SYN to open port TCP SYN/ACK TCP SYN to closed port TCP RST TCP ACK or TCP DATA TCP RST TCP RST No response TCP NULL TCP RST ICMP ECHO Request ICMP E