协议欺骗攻击技术常见种类简析及防范.pdfVIP

IP 欺骗攻击 IP 欺骗技术就是通过伪造某台主机的 IP 地址骗取特权从而进行攻击的技术。 许多应用程序认为如果数据包能够使其自身沿着路由到达目的地 ,而且应答包也可 以回到源地 ,那么源 IP 地址一定是有效的 ,而这正是使源 IP 地址欺骗攻击成为可能 的前提。 假设同一网段内有两台主机 A 、B,另一网段内有主机 X 。B 授予 A 某些特权。 X 为获得与 A 相同的特权 ,所做欺骗攻击如下 :首先 ,X 冒充 A, 向主机 B 发送一个带 有随机序列号的 SYN 包。主机 B 响应 ,回送一个应答包给 A, 该应答号等于原序列 号加 1。然而 ,此时主机 A 已被主机 X 利用拒绝服务攻击 “淹没 ”了,导致主机 A 服务 失效。结果 ,主机 A 将 B 发来的包丢弃。为了完成三次握手 ,X 还需要向 B 回送一个 应答包 ,其应答号等于 B 向 A 发送数据包的序列号加 1。此时主机 X 并不能检测到 主机 B 的数据包 (因为不在同一网段 ,只有利用 TCP 顺序号估算法来预测应答包的顺 序号并将其发送给目标机 B 。如果猜测正确 , B 则认为收到的 ACK 是来自内部主机 A 。此时 ,X 即获得了主机 A 在主机 B 上所享有的特权 ,并开始对这些服务实施攻 击。 要防止源 IP 地址欺骗行为 ,可以采取以下措施来尽可能地保护系统免受这类攻 击 : 抛弃基于地址的信任策略· :阻止这类攻击的一种非常容易的办法就是放弃以地址 为基础的验证。不允许 r 类远程调用命令的使用 ;删除 .rhosts文件 ;清空 /etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段 ,如 telnet、ssh、 skey 等等。 使用加密方法· :在包发送到网络上之前 ,我们可以对它进行加密。虽然加密过程 要求适当改变目前的网络环境 ,但它将保证数据的完整性和真实性。 进行包过滤· :可以配置路由器使其能够拒绝网络外部与本网内具有相同 IP 地址 的连接请求。而且 ,当包的 IP 地址不在本网内时 ,路由器不应该把本网主机的包发送 出去。 有一点要注意 ,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它 们也是通过分析测试源地址来实现操作的。因此 ,它们仅能对声称是来自于内部网 络的外来包进行过滤 ,若你的网络存在外部可信任主机 ,那么路由器将无法防止别人 冒充这些主机进行 IP 欺骗。 ARP 欺骗攻击 在局域网中 ,通信前必须通过 ARP 协议来完成 IP 地址转换为第二层物理地址 (即 MAC 地址。 ARP 协议对网络安全具有重要的意义 ,但是当初 ARP 方式的设计没 有考虑到过多的安全问题 ,给 ARP 留下很多的隐患 ,ARP 欺骗就是其中一个例子。 而 ARP 欺骗攻击就是利用该协议漏洞 ,通过伪造 IP 地址和 MAC 地址实现 ARP 欺 骗的攻击技术。 我们假设有三台主机 A,B,C 位于同一个交换式局域网中 ,监听者处于主机 A, 而 主机 B,C 正在通信。现在 A 希望能嗅探到 B-C 的数据 ,于是 A 就可以伪装成 C 对 B 做 ARP 欺骗—— 向 B 发送伪造的 ARP 应答包 ,应答包中 IP 地址为 C 的 IP 地址而 MAC 地址为 A 的 MAC 地址。这个应答包会刷新