1、假消息攻击是指利用网络协议设计中的安全缺陷,通过发送伪装的数据包达到欺骗目标、从中获利的目的。
是一种内网渗透方法。
(1)TCP / IP协议的设计缺陷
① 缺乏有效的信息加密机制,通信内容容易被第三方截获。
② 缺乏有效的身份鉴别和认证机制,通信双方无法确认彼此的身份。
(2)假消息攻击的类型:
① 应用层 —— DNS欺骗、SMB中间人
② 传输层 —— IP欺骗,SYN Flood
③ 网络层 —— ICMP重定向、IP分片攻击
④ 数据链路层 —— ARP欺骗
2、ARP欺骗
(1)ARP:地址解析协议(IP地址得物理地址); RARP:反向地址解析协议
把我的IP告诉整个网络,询问**IP是谁,对应的回答,其他的缓存。最后四字节目的地址请求包是空的,响应包是填全的。
ARP缓存机制:ARP请求是一种广播包,为了避免网络中出现过多广播包,提高网络效率,每台主机使用一个数据结构保存最近使用过的MAC地址。
ARP缓存更新:① 收到ARP请求包时,会将发送者的 IP-MAC 映射信息更新至缓存。② 收到ARP应答包时,同样也会更新发送者的IP-MAC映射信息。③ 为保证缓存的有效性,ARP缓存定时清空。
(2)ARP欺骗
在APR请求、应答中伪造发送者 IP-MAC 映射。让网管认为我(C)激素是B,那么网管就会把B的信息发给我。
(3)ARP欺骗的危害:① 拒绝服务攻击:ARP扫描;② 嗅探;③ zh9nogjianren攻击
使服务器ARP缓存达到上限,就会拒绝新的服务。
嗅探(另一个主机的包由我转发,就相当于截获)只是看看;进一步篡改,中间人攻击。
(4)ARP欺骗的防范:
① 主机中建立静态IP/MAC对应关系 —— 永久建立,再欺骗,不更新。但是不够灵活,换个主机就得通知所有人给更新下缓存。
② 局域网中建立 MAC数据库
③ 局域网监听ARP数据包 —— 虽然C说 IpB-MacC,但是B也在发生,只是被C大量的包淹没了,发现B的包,一会B、一会C,就知道ARP欺骗。
3、ICMP重定向攻击
ICMP报文:差错报告报文、查询报文
(1)ICMP重定向报文
主机在启动时具有一定的路由信息,但不一定是最优的。路由器检测到IP数据报经非优路由传输,就通知主机去往该目的地的最优路径。
功能:保证主机拥有动态的、既小且优的路由表
※ 重定向报文由当前路由器发送
(发包告诉原机器,下次给那个目的地址发时,不要走我这,而是去哪哪哪,然后原机器就会更新他的路由表)
(2)ICMP重定向的危害:① 改变对方的路由表;② 与ARP欺骗类似,ICMP重定向攻击也可以用来做拒绝服务、嗅探或中间人攻击等。
(3)ICMP重定向的限制:① ICMP重定向攻击一次只能指定一个目的地址。② 新路由必须是直达的。③ 重定向包必须来自去往目标的当前路由 。
② :让被攻击者认为我是路由,然后欺骗他。因为直达 --> 是一个网络的,不能经过转发。
③ :重定向报文必须当前路由发送,所以想重定向攻击,要把源IP地址伪造成原来那个路由器,不然发了人家也不收。
(4)ICMP重定向攻击的防范:① 配置防火墙,拒绝接收ICMP重定向报文;② 在Windows里可修改注册表; ③ 通过route print命令来查看本机的路由表。
4、IP欺骗
最初IP欺骗用来对基于源IP地址信任的应用进行攻击。IP欺骗需要伪造IP头部和源IP地址。
ACK = 收到的SYN+1。两次的SYN是随机的。
IP欺骗的难点在于得到TCP的ACK初始序列号。
攻击者与受害者在同一局域网内,可以结合嗅探的手段直接获取该序列号。否则只能通过猜测的方法(截获其他的SYN值,来缩减猜测范围)。
IP欺骗的危害:① 以可信任的身份与服务器建立链接;② 伪造源IP地址,隐藏攻击者身份,消除攻击痕迹。(能查到的只是那台受害机)
IP欺骗的防范:① 抛弃基于地址的的信任策略;(可以加验证码、注册账号等,eg:微信要关注后才能投票)② 进行包过滤,只信任内部主机;③ 利用路由器屏蔽掉所有外部希望向内部发出的链接请求;④ 使用随机化的出事序列号,使TCP序列号难以猜测。
5、SYN Flood攻击
(1)原理
等待 --> 会一直占用服务器资源:
① 分配的缓冲区。三次握手中,服务器分配缓冲区的时机是在第三次握手过来、链接建立前就分好的,一直占用他的资源,使他无法为真正的请求分配,越来越慢。
② 链接数量达到上限,无法建立新的链接。
③ 除了内存、链接数,资源还有CPU、磁盘空间、打印机等等,均可占用达到攻击效果。
(2)SYN Flood攻击的危害:服务过载而导致拒绝服务。
拒绝服务攻击:一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户可用。
拒绝服务攻击的发展趋势 --> DDOS(分布式拒绝服务攻击)
(3)SYN Flood攻击的防范:① 缩短SYN Timeout时间;② SYN Cookie
两个作用:得到ACK之后再分配资源、建立连接 —— 是资源尽可能靠后分配;用cookie校验 —— 确认源IP书否真实。
这里cookie类似hash,没有服务器返回的SYN+ACK的cookie,攻击者即使命中SYN,伪造源IP发过去,cookie也过不了。
6、DNS欺骗
DNS的作用:实现域名解析,将域名对应到相应的地址。
若没有,向上一级继续去咨询。
(1)DNS欺骗的原理:客户端以特定的标识ID向DNS服务器发送域名查询数据包,DNS服务器查询之后以同样的ID返回给客户端响应数据包,攻击者拦截该响应数据包,并修改其内容,返回客户端。
一般用于钓鱼,使其解析到特定的IP中。
难点:如何获取标志号ID --> 可以结合ARP欺骗或ICMP重定向等手段,采用嗅探的方法得到。(要将外网攻击转化为内网攻击,在内网假设,截获标识ID)
(2)DNS欺骗的原因:① UDP协议是无状态、不可靠的协议;② DNS协议本身没有好的身份认证机制
(3)DNS欺骗的危害:① 将用户访问的合法网址重定向到另一个网址; 使用户在不知情的情况下访问恶意网站。② 可能导致断网的现象。
(4)DNS欺骗额防范
构造静态的域名-IP映射,eg:Windows系统的hosts文件直接用IP地址链接服务器。
7、SMB中间人攻击(MTM攻击)
间接的入侵攻击。
SMB协议:用于不同计算机之间共享文件、打印机、通信对象等各种计算机资源的协议。
早起SMB协议使用明文口令进行身份验证 --> LM --> NTLM
(1)SMB重放攻击
通过对NTLM认证过程中的挑战/响应机制的重放,主机A能够在不知道主机B密码的情况下通过主机B的密码验证。
A不知道密码散列值,所以通过连接2来套B的密码,双方密码散列值相同。
(2)SMB中间人攻击
假设攻击者已经利用ARP欺骗或者ICMP重定向等手段将客户端与服务器之间的所有通信拦截下来,那么攻击者可以在NTLM认证的第二步将客户端的数据篡改,申明自身只支持明文密码传送,那么接下来的密码传送就会是明文的。
中间人攻击的关键是攻击者处于客户端和服务器通信的中间,可以嗅探或任意篡改通信数据,并且不会中断他们的链接。
网友评论