利用网络协议设计中的缺陷,通过发送伪造的数据包达到欺骗目标、从中获利的目的。
假消息攻击的分类:
- 应用层:DNS欺骗,SMB中间人攻击
- 传输层:SYN Flood攻击,IP欺骗
- 网络层:ICMP重定向攻击,IP分片攻击
- 数据连接层:ARP欺骗
ARP欺骗
ARP 协议的作用:IP地址----》地址解析协议(ARP)----》物理地址
ARP协议的效率:响应ARP请求的主机将请求者的IP-MAC映射缓存;主动的ARP应答会被视为有效的信息接收。
欺骗过程:
- 攻击者在局域网段发送虚假的IP/MAC对应信息,篡改网关的MAC地址,使自己成为假网关
- 受害者将数据包发送给假网关(攻击者)
- (攻击者)假网关将分析接收到的数据包,把有价值的数据包记录下来(比如QQ以及邮箱登录数据包)
- 假网关再包数据包转换为真正的网关
欺骗产生的原因:
- ARP协议设计之初没有考虑安全性问题,所以任何计算机都可以发送虚假的ARP数据包
- ARP协议无状态性。响应数据包和请求数据包之间没有什么关系,如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求
- ARP缓存需要定时更新,给攻击者可乘之机
ARP欺骗产生危害:
- 嗅探
- 拒绝服务攻击
- 中间人攻击
ARP欺骗的防范:
- 网关建立静态IP/MAC对应关系,各主机建立MAC数据库
- 建立DHCP服务器
- IDS监听网络安全
ICMP重定向攻击
ICMP重定向报文:
- 当路由器检测到主机在启动时具有一定的路由信息,但不一定是最优的。
- 路由器检测到IP数据报经非优路由传输,就通知主机去往该目的地的最优路径
功能:保证主机拥有动态的、既小且优的路由表
限制:ICMP重定向机制只能在同一网络的路由器和主机之间使用
ICMP重定向攻击的危害
- 改变对方的路由表
- 也可用作嗅探,中间人攻击,拒绝服务攻击
ICMP重定向攻击的局限性
- ICMP重定向攻击一次只能指定一个目的地址
- 新路由必须是直达的
- 重定向包必须来自去往目标的当前路由
- 重定向包不能通知主机用自己做路由
- 被改变的路由必须是一条间接路由
重定向攻击的防范
- 修改系统和防火墙配制,拒绝接受ICMP重定向包
- 在Windows2000里可以修改注册表
- 通过Route Print命令来查看本机路由
IP欺骗
利用主机之间的正常信任关心发动的攻击
IP欺骗过程:
- 得到TCP 的ACK初始序列号
- 如果攻击者与受害者主机在同一局域网内,则可以结合嗅探的手段直接获取该序列号;否则只能通过猜测的方法
IP欺骗的危害:
- 可以信任的身份与服务器建立连接
- 伪造源IP地址,隐藏攻击者身份,消除攻击痕迹
IP欺骗的防范:
- 抛弃基于地址的信任策略
- 进行包过滤,只信任内部主机
- 利用路由器屏蔽掉所有外部希望向内部发出的连接请求
- 使用加密传输和验证的方法(重点记忆)
- 使用随机化的初始序列号,使得TCP序列号难以猜测
网友评论