入侵检测技术课件：2-9 假消息攻击

假消息攻击——对网络协议弱点的利用

网络攻防技术本章要求了解假消息攻击的分类掌握ARP欺骗的原理、应用与防范领会ICMP路由重定向的原理掌握DNS欺骗的原理、应用与防范熟悉IP欺骗和SMB中间人攻击原理网络攻防技术本章主要内容1假消息攻击的分类2ARP欺骗3ICMP重定向攻击4IP欺骗5DNS欺骗6SMB中间人攻击网络攻防技术1假消息攻击的概念假消息攻击利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的哪些协议设计有缺陷，是容易受到攻击的呢？网络攻防技术TCP/IP协议栈应用层OSI模型表示层会话层传输层网络层数据链路层物理层TCP/IP模型应用层传输层网络层网络接口层应用程序操作系统网络设备网络攻防技术TCP/IP协议TCP/IP协议中每一个网络层次中的网络协议都存在一定的安全问题或设计缺陷。最为明显的是，设计者们假设TCP/IP协议被应用于一个可信的网络环境中，而没有充分考虑到数据传输过程中可能存在伪造身份的问题。因此有些协议可能非常容易被欺骗，从而被用来在欺骗者与被欺骗者之间建立可信的链接。一个应用层的例子用户浏览器浏览Web服务器的过程首先用户输入URL请求；该请求将以数据的形式发送到网络上，而发送的网络数据不仅仅包含URL请求，还有包括正确的TCP包头、正确的IP包头和正确的MAC帧头。那么这些信息是如何加上去，并最终将用户的请求发送出去的呢？1假消息攻击的分类分类与网络协议各层次的关系应用层传输层网络层数据链路层DNS欺骗，SMB中间人攻击SYNFlood攻击，TCP序号猜测ICMP重定向攻击，IP分片攻击ARP欺骗物理层网络攻防技术2数据链路层的攻击---ARP欺骗1、ARP欺骗被用于许多攻击方式中，如交换式网络环境中的嗅探、中间人回话劫持攻击。2、所有的操作系统都提供了查询本机MAC地址的命令，如Windows9x下的winipcfg、WindowsNT下的ipconfig、Linux下的ifconfig和Solaris下的arp或者netstat-p3、IP数据包通过以太网传输时，以太网设备并不识别32位IP地址，而是以48位MAC地址传输以太网数据包。2数据链路层的攻击---ARP欺骗ARP协议网络攻防技术2ARP欺骗ARP数据包的格式RecipientIPAddressRecipientHardwareAddressSenderIPAddressSenderHardwareAddressOperationCode(16bits)ProtocolAddressLengthHardwareAddressLengthProtocolType(16bits)HardwareType(16bits)网络攻防技术ARP工作过程ARP协议提高效率的设计事实上，并不是每次对IP地址的解析都是通过ARP请求和应答来完成的。为了提高效率，在每个主机中通常缓存着本网络ARP表。为了避免在局域网中发送过多的ARP广播包，ARP协议还采取了另外两个措施来提高网络效率。响应ARP请求的主机将请求者的IP－MAC映射缓存。主动的ARP应答会被视为有效信息接受网络攻防技术ARP缓存的污染两种行为都将使接收到ARP包的主机自动更新ARP缓存表，记录错误的MAC-IP地址映射。发送错误发送者MAC地址的ARP请求发送错误发送者MAC地址的ARP应答网络攻防技术2ARP欺骗的实现ARP欺骗的攻击过程攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关受害者将数据包发送给假网关（攻击者）假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包）假网关再把数据包转发给真正的网关网络攻防技术2ARP欺骗0260.8c01.22220260.8c01.3333AB网关0260.8c01.1111攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关受害者将数据包发送给假网关（攻击者）假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包）假网关再把数据包转发给真正的网关网络攻防技术2ARP欺骗ARP欺骗问题的原因：ARP协议设计之初没有考虑安全问题，所以任何计算机都可以发送虚假的ARP数据包。ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系，如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。ARP缓存需要定时更新，给攻击者以可乘之机。网络攻防技术2ARP欺骗ARP欺骗的危害嗅探拒绝服务攻击中间人攻击网络攻防技术2ARP欺骗ARP欺骗的局限性ARP欺骗只能被用于局域网（黑客必须已经获得局域网中某台机器的访问权）。网络攻防技术2ARP欺骗ARP欺骗的防范网关建立静态IP/MAC对应关系,各主机建立MAC数据库每个MAC和IP、地理位置统统装入数据库，以便及时查询备案；建立DHCP服务器：每个主机的IP地址及其相关的主机信息只能从网关获得；给每个网卡绑定固定的IP地址，保持网内的主机IP/MAC一一对应的关系。IDS监听网络安全对局域网内的ARP包进行分析；网络攻防技术静态表的建立用ARP-SIPMAC.执行"arp-s400-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.C:\DocumentsandSettings\cnqing>arp-aInterface:1onInterface0x1000003InternetAddressPhysicalAddressType400-03-6b-7f-ed-02static此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的，从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.ICMP重定向报文是ICMP控制报文中的一种。在特定情况下，当路由器检测到一台计算机使用非优化路由时，它会向该主机发送一个ICMP重定向报文，请求主机改变路由，路由器也会把初始数据报向它的目的地转发。3网络层的攻击-ICMP重定向攻击3ICMP重定向攻击ABR2A→B最佳路由是R1路由器，A将数据包送到R2路由器

R3R4R1R2路由器会发现这个问题，并用ICMP信息包通知数据包的来源端设备，称为重定向之后A通过R1向B发送数据包网络攻防技术3ICMP重定向攻击ICMP重定向报文：当路由器检测到主机在启动时具有一定的路由信息，但不一定是最优的路由器检测到IP数据报经非优路由传输，就通知主机去往该目的地的最优路径功能：保证主机拥有动态的、既小且优的路由表限制：ICMP重定向机制只能在同一网络的路由器与主机之间使用网络攻防技术ICMP重定向报文Type5Code1Checksum路由器IP地址重定向包的包头，以及荷载的前8个Bytes网络攻防技术3网络层的攻击-ICMP重定向攻击ICMP的报文类型差错报告报文查询报文源站抑制超时参数问题改变路由回送请求和应答时间戳请求和应答地址掩码请求和应答目的不可达路由器询问和通告ICMP报文网络攻防技术3ICMP重定向攻击ICMP重定向攻击的危害ICMP重定向报文没有设置身份认证，任何主机都可以假冒路由器发送该报文，使得ICMP重定向攻击非常容易实现。改变对方的路由表与ARP欺骗类似，ICMP重定向攻击也可以用来做嗅探、拒绝服务或中间人攻击等网络攻防技术3ICMP重定向攻击ICMP重定向攻击的局限性ICMP重定向攻击一次只能指定一个目的地址新路由必须是直达的重定向包必须来自去往目标的当前路由重定向包不能通知主机用自己做路由被改变的路由必须是一条间接路由网络攻防技术3ICMP重定向攻击ICMP重定向攻击的防范修改系统和防火墙配置，拒绝接收ICMP重定向报文在Windows2000里可修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirectsREG_DWORD0x0(默认值为0x1)通过routeprint命令来查看本机的路由表网络攻防技术4 传输层的攻击---IP欺骗IP欺骗的原理利用主机之间的正常信任关系发动的攻击网络攻防技术4 IP欺骗（TCP序号猜测攻击）A客户机B服务器(1)TCPSYN（伪造的源IP地址）(2)TCPSYN+ACK=?分配资源等待回复连接建立猜测或嗅探得到SYN+ACK的值(3)TCPACK（伪造的源IP地址）网络攻防技术4 IP欺骗IP欺骗的难点在于得到TCP的ACK初始序列号。如果攻击者与受害者主机在同一局域网内，则可以结合嗅探的手段直接获取该序列号；否则，只能通过猜测的方法。网络攻防技术4 IP欺骗IP欺骗的危害以可信任的身份与服务器建立连接伪造源IP地址，隐藏攻击者身份，消除攻击痕迹网络攻防技术4 IP欺骗IP欺骗的防范抛弃基于地址的信任策略进行包过滤，只信任内部主机利用路由器屏蔽掉所有外部希望向内部发出的连接请求使用加密传输和验证的方法使用随机化的初始序列号，使得TCP序列号难以猜测网络攻防技术5 应用层的攻击---DNS欺骗

网络通讯大部分是基于TCP/IP的，而TCP/IP是基于IP地址的，所以计算机在网络上进行通讯时只能识别如“33”之类的IP地址，而不能认识域名。我们无法记住10个以上IP地址的网站。访问网站时，更多的是在浏览器地址栏中输入域名，就能看到所需要的页面，这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出IP地址所对应的网页。5 应用层的攻击---DNS欺骗DNS的作用DNS(DomainNameSystem)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统。实现域名解析，也就是将域名对应到相应的IP地址如

域名所对应的IP地址是54网络攻防技术DNS查询当DNS客户机需要查询程序中使用的名称时，它会查询本地DNS服务器来解析该名称。客户机发送的每条查询消息都包括2部分内容，以指定服务器应回答的问题。●指定的DNS域名，表示为完全合格的域名。●指定的查询类型。

DNS查询DNS查询以各种不同的方式进行解析。客户机有时也可通过使用从以前查询获得的缓存信息就地应答查询。DNS服务器可使用其自身的资源记录信息缓存来应答查询；DNS服务器通过查询或联系其他DNS服务器，以完全解析该名称，并随后将应答返回至客户机。这个过程称为递归。客户机通过DNS服务器提供的地址直接尝试向其他DNS服务器提出查询请求，这种查询方式称为反复（迭代）查询5 DNS欺骗DNS欺骗的原理客户端以特定的标识ID向DNS服务器发送域名查询数据包DNS服务器查询之后以同样的ID返回给客户端响应数据包客户端会将受到的DNS响应数据包ID和自己发送的查询数据包ID相比较，如果不匹配则丢弃。网络攻防技术如果用户主机能够伪装成DNS服务器提前向客户端发送响应数据包，那么客户端的DNS缓存里所对应的IP就是用户自定义的IP。这样，客户端在访问期望的域名时就被重定向到用户自定义的IP地址所对应的主机了。实施这种DNS欺骗的条件只有一个：攻击者发送的ID匹配的DNS响应数据包在DNS服务器发送的响应数据包之前到达客户端。现有的大多数DNS服务实现存在两个比较“好”的性质：其一是当DNS服务器收到一个合法的DNS应答信息时，它会接受这一返回包中的信息，并将其存入缓存中；当DNS服务器发送查询包时，它在包内有一项是查询ID,返回的应答信息只在查询ID及IP都对时才能被服务器所接受，而这个ID每次加一，所以可以通过第一次向要欺骗的DNS服务器发一个查询并监听到ID5 DNS欺骗难点在于如何获得标识号ID可以结合ARP欺骗或ICMP重定向等手段，采用嗅探的方法得到网络攻防技术5 DNS欺骗UPD协议是无状态、不可靠的协议DNS协议本身没有好的身份认证机制

造成DNS欺骗问题的根源是：网络攻防技术5 DNS欺骗DNS欺骗的危害在于：将用户访问的合法网址重定向到另一个网址篡改合法网页的内容，使用户在不知情的情况下访问非法网站网络攻防技术5 DNS欺骗DNS欺骗的防范构建静态的域名-IP映射，如Windows系统的hosts文件直接用IP地址连接服务器用加密的连接访问服务器，如SSL网络攻防技术6SMB中间人攻击中间人攻击中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击。A客户机B客户机C攻击者正常的通信攻击者介入正常的通信中对客户机是透明的对客户机是透明的网络攻防技术6SMB中间人攻击SMB协议SMB协议（ServerMessageBlock）是一个用于不同计算机之间共享文件、打印机、通信对象等各种计算机资源的协议。各种操作系统基本上都对SMB协议进行了实现，在Linux中使用Samba，在Windows系统中使用NetBIOS。网络攻防技术6SMB中间人攻击早期SMB协议使用明文口令进行身份验证LANManagerChallengeResponse机制（LM）Windo