欺骗攻击-ARP攻击.pptx

第5章 加密文件系统的规划、实现和故障排除欺骗攻击EFS 简介在独立 Microsoft Windows XP 环境中实现 EFS在使用 PKI 的域环境中规划和实现 EFS实现 EFS 文件共享EFS 故障排除 欺骗攻击（IP,ARP，DNS）纯技术性利用了TCP/IP协议的缺陷不涉及系统漏洞较为罕见 1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了San Diego计算中心 ?? 1999年，RSA Security公司网站遭受DNS欺骗攻击?? 1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的 信用卡密码泄漏欺骗攻击的主要类型：?? ARP欺骗?? IP欺骗攻击?? Web欺骗攻击?? DNS欺骗攻击ARP欺骗攻击ARP欺骗攻击Meet-in-Middle: Hacker发送伪装的ARP Reply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。 Hacker发送伪装的ARP Reply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。 这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。 这是一种典型的中间人攻击方法。ARP欺骗攻击ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序 ?会欺骗局域网所有主机和路由器，让所有上网的流量必须经过病毒主机， ?原来由路由器上网的计算机现在转由病毒主机上网??发作时，用户会断一次线??? ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通讯拥塞，用户会感觉到上网的速度越来越慢???当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线ARP欺骗出现的症状网络时断时通；网络中断，重启网关设备，网络短暂连通；内网通讯正常、网关不通；频繁提示IP地址冲突；硬件设备正常，局域网不通；特定IP网络不通，更换IP地址，网络正常；禁用-启用网卡，网络短暂连通；网页被重定向。 ARP欺骗攻击的防范措施1 安装入侵检测系统，检测ARP欺骗攻击2 MAC地址与IP地址双向绑定?? 所有机器上把网关的IP和MAC绑定一次?? 编个批处理?? arp-d?? arp-s 192.168.1.1 00-0A-EB-DB-03-D2?? 路由器上再把用户的IP地址和MAC绑定一次修改注册表项，如：reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v StaticArp /d “arp –s 192.168.1.1 00-0a-eb-db-03-d2”3 查找ARP欺骗木马?? Antiarp?? nbtscan4 划分VLANIP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生。攻击者如果向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。利用ISN和RTT，就可以预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能使用有害数据包，从而蒙骗目标主机IP Spoofing （IP欺骗）IP欺骗攻击过程IP欺骗攻击过程??1、屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水??2、序列号采样和猜测。猜测ISN的基值和增加规律??3、将源地址伪装成被信任主机，发送SYN请求建立连接??4、等待目标主机发送SYN+ACK，黑客看不到该数据包??5、再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+1??6、建立连接，通过其它已知漏洞获得Root权限，安装后门并清除LogIP欺骗攻击??攻击的难点：ISN的预测??TCP使用32位计数器??每一个连接选择一个ISN??不同的系统的ISN有不同的变化规律??ISN每秒增加128000，出现连接增加64000??无连接情况下每9.32小时复位一次IP欺骗的防范措施 安装VPN网关，实现加密和身份认证 实施PKI CA,实现身份认证 通信加密DNS欺骗攻击复杂，使用简单 RSA Security 网站曾被成功攻击 DNS 欺骗原理 IP 与域名的关系 DNS 的域名解析 Rand Port to DNS s 53 DNS’· · DNS欺骗原理1、有时候读书是一种巧妙地避开思考的方法。2、阅读一切好书如同和过去最杰出的人谈话。3、越是没有本领的就越加自命不凡。4、越是无能的人，越喜欢挑剔别人的错儿。5、知人者智，自知者明。胜人者有力，自胜者强。6、意