网络安全-8-攻击课件

隐蔽与欺骗IP欺骗TCP劫持攻击域名欺骗攻击下载安装欺骗登录界面欺骗2网络上的隐蔽与欺骗在网络上，攻击者最忌讳的就是留下自己的真实痕迹，因此，对有关自己的任何线索都要设法加以隐蔽，其中最基本的，就是要对自己的IP地址进行隐蔽在网络上，即使没有漏洞可利用，也可以通过一些不容易察觉的技术欺骗手段来完成一些相对复杂的攻击IP欺骗Unix主机间可以定义一些信任关系，有了这些信任关系，就可以在一个小圈子里弱化安全策略，简化访问控制的手续IP欺骗攻击就是利用了这种信任关系，采用技术欺骗手段达到攻击的目的复习：握手过程B发送带有SYN标志的数据包，通知A需要建立TCP连接，并将TCP报头中的发送序列号设置成自己本次连接的初始值ISN。A回传给B一个带有SYN+ACK标志的数据包，告之自己的ISN，并确认B发送来的第一个数据段，将确认序列号设置成B的ISN+1。B确认收到的A的数据包，将确认序列号设置成A的ISN+1。TCP使用的序列号是一个32位的计数器，从0～4,294,967,295。SYNSYN/ACKACKBATCP报文格式BA保留URG源端口目的端口发送序号确认序号首部长度紧急指针选项和填充窗口大小检查和数据（可选）ACKPSHRSTSYNFINSYN=1=ISN(B)TCP报文格式：AB保留URG源端口目的端口发送序号确认序号首部长度紧急指针选项和填充窗口大小检查和数据（可选）ACKPSHRSTSYNFINSYN=1ACK=1=ISN(B)+1=ISN(A)TCP报文格式：BA保留URG源端口目的端口发送序号确认序号首部长度紧急指针选项和填充窗口大小检查和数据（可选）ACKPSHRSTSYNFIN=ISN(A)+1ACK=1ISN的生成和变化模式TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法理解TCP如何分配ISN以及ISN随时间变化的规律，对于IP欺骗攻击十分重要ABCCC假设B信任C，A攻击BA首先用拒绝服务攻击把C打死然后，A冒充C，用rlogin向B的rlogind发起连接请求IP欺骗攻击流程IP欺骗攻击流程为此，A必须确定B当前的ISN首先连向25端口(选择这一端口是因为SMTP没有安全校验机制)，记录B的ISN，以及A到B的大致的RTT(RoundTripTime)这个步骤要重复多次以便求出RTT的平均值现在A知道了B的ISN基值和增加规律，也知道了从A到B的单程时间平均是RTT/2可以动手了，否则在这之间有其他主机与B连接，ISN将发生意外变化ACBIP欺骗攻击流程AB发送带有SYN标志的请求连接，但源IP地址改成了C，目的端口为513(rlogind默认端口)B向C回送SYN+ACK包C死了无法响应，C的TCP层丢弃A的回送包ACBIP欺骗攻击流程A让过B发送SYN+ACK的足够时间（反正看不到）然后再次伪装成C向B发送ACK，其中的确认序列号ISN(B)+1带有预测性质如果预测准确，连接建立，数据传送开始此后，由于A一直在伪装C，所以B的回送数据都会发给已经死了的CA的所有后续操作命令，都要在这种看不见回应的“盲连接”状态下完成，比如发送“cat++>>~/.rhosts”这样的命令如果预测不准确，B将发送一个带有RST标志的TCP包终止异常连接，A只有从头再来ACB总结概括来说，IP攻击可以归纳为以下五点：找出B与C的信任关系封死你要冒充的主机C，以免它对你攻击B造成干扰连接到B主机的某个端口（比如25）来猜测ISN的变化规律与B主机建立虚假连接并骗取B的信任关系其它后续手段ACB危害通过骗取信任关系，取得对主机的控制控制一旦得手，高风险的事件将会发生应对删除所有的/etc/hosts.equiv、/.rhosts文件或修改/etc/inetd.conf文件，删除不必要的信任关系还可以杀掉portmapper，或是设置路由器，过滤来自外部而信源地址却是内部IP的IP包（家贼难防）TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规律可循，可以修改与ISN相关的代码，因此选择好的算法，使得攻击者难以找到规律，也是有效的防范手段（遥远）对攻击的评价利用信任关系，打死一个，再冒充死者控制信任它的不设防主机，显现出战术组合思想，值得肯定Unix+信任关系设置，这种环境越来越少，攻击成立的前提条件不够普遍看不见回应的“盲操作”具有一定难度对序列号的猜测不易达到很高的命中率，猜测错误可以作为入侵检测的依据TCP劫持攻击(TCPHijacking)在IP欺骗攻击中，使用的是一个真实的IP地址，攻击者必须留心那台机器对攻击造成干扰，把它打死换一下思路，我们可以首先控制一台已经和目标主机建立起连接的机器，模仿它的序列号但把源地址替换成一个子虚乌有的IP地址，然后无缝地切换到自己的机器上，同时继续保持刚才的假地址和序列号，做更多的事情这种攻击叫做“TCP劫持攻击”或“会话劫持攻击”取得控制观察连接已有连接假地址替换主机切换ABCTCP劫持图解观察谁在和目标连接，选择劫持对象假设确定了B在和C连接，C是目标，B是劫持对象获取B的某种权限，控制B获取B与C当前TCP连接的序列号从某一时刻起，将B向C发出的包的源IP地址改为预先设定的假地址，维持序列号从某一时刻起，将B主机与C的连接断开，攻击者利用假地址和真序列号将连接过渡到自己的机器与C之间做更多的事情……会话劫持攻击程序JuggernautHuntTTY

WatcherIP

Watcher20危害：猝不及防假地址只是隐蔽性的问题破坏性主要是在主机切换这个环节C通常都会错误地以为A还是刚才的正常用户B从而不会有什么戒备，而且此时往往是原来的正常用户正在和服务器进行交换信息或是进行一些事件的时候，这时候用户往往会有更大的权限能做更多的事情，从而为黑客提供了更加便利的条件防范比较困难A劫持了B后，B对于C来说和原来是没有什么两样，它对A的访问也都会被当成正当访问处理，如果它自己换了一个IP地址也会很容易被当真，况且这种情况属于正常操作的也不是没有因此，可以说正常的B和被劫持的B是非常难区分的防御重点还只能是B的被控制从攻击角度的评价TCP劫持攻击是一种比较高级的攻击技术，它具有相当的隐蔽性，不易被发现但可以造成很多机会TCP劫持攻击的前提是对B机的控制，关键是保持正确序列号条件下的无缝的切换（真假IP地址和参加连接的主机），是一种综合多种技术的、带有一定战术组合色彩的攻击域名欺骗攻击你是否遇到这样的情况：本来想登录网站甲，结果却走进了网站乙你以为网站甲被黑了，其实网站甲的数据完好无损，只不过你接收到的数据并不来自网站甲而是来自网站乙都是域名惹的祸——在域名解析这个环节，你被欺骗了，有人向你伪造了关于这个域名的IP地址的信息比喻：问路时被人告诉了一个错误的地址域名欺骗的实现途径通过伪造的电子邮件注册域名修改信息通过请求重定向通过伪造DNS应答包通过控制DNS服务器……伪造注册邮件攻击者通过冒充原域名拥有者以E-MAIL方式注册域名记录,将域名转让到另一团体,通过修改注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有域名解析请求重定向利用对某些路由器的控制权将域名解析请求重定向到私设的域名服务器，返回错误的解析结果发送伪造的DNS应答包局域网通过监听手段获取DNS请求，得到ID冒充DNS，设法抢先发送伪造的DNS应答包广域网在一定范围内猜测ID，广种薄收控制DNS服务器控制DNS服务器一些过期的Bind版本存在缓冲区溢出漏洞，可以用来控制DNS服务器通过控制DNS服务器来实施DNS欺骗30/New-227.html防范升级或加固DNS服务器保护域名注册管理员账号保护各级路由器注意从网页上识别被黑网页和被劫持域名的网页被黑的网页在地址栏使用的是自己的（正确的）域名被劫持域名的网页在地址栏使用的是别人的（错误的）域名从攻击角度的评价攻击DNS会使网络出现命名混乱，给被劫持域名拥有者带来损失，也给广大使用者带来不便对域名服务器的控制具有一定的战略意义域名欺骗技术稍加改造，即可做成域名备份系统，在非常时期使用下载安装欺骗一些免费软件在下载安装时要求Root权限在安装软件的同时，也顺便以root权限做了一些别的事情，比如安装后门，替换登录程序等这种欺骗手法为进一步控制目标系统做好了准备登录界面欺骗利用一个机会（比如下载安装欺骗），将登录程序替换成伪装的登录程序从界面上看，它与正常的登录程序没什么两样，但是它做的事情却很重要——截获你的口令如果你信以为真，像往常一样登录你的用户ID和口令，那就坏了——记录下你的口令后，它可以执行正常的登录功能，也可以故意制造一次死机，当然，你的口令已经在攻击者掌握之中了伪装登录界面login:password:总结欺骗攻击危害很大，与正常的网络使用较难区分，很难提炼攻击特征，因此不容易防范一些欺骗攻击具有一定的战术组合味道，但距离真正的协同攻击还有一定的差距关于攻击的进一步研究更强的隐蔽性进程、代码、通信的隐蔽更强的协同性主机-僚机的分工等更强的欺骗性针对防火墙、IDS的阈下攻击更强的杀伤力借助病毒传播手段大规模放大杀伤力关于攻击的进一步研究漏洞研究永无止境，我们还有机会停留在重复验证水平是没有出息的，也是没有军事价值的，要在学习的基础上创新，拿出我们自己的杀手锏网络攻击在更大规模下的战术/战役协同是一个全新的课题，值得认真研究漏洞的发现和攻击的构造还停留在原始手工阶段，缺乏有深度的理论体系，有待时机成熟时从理论上做概括39关于攻击的忠告不要急于表现自己不要过分意气用事不要当网上职业杀手和以攻击为筹码的勒索者要做侠之大者，虚怀若谷，不断钻研，德艺双馨隔离公网内网连接还是隔离，这是一个问题……隔离隔绝根据国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”44隔离的等级与狭义隔离A （不设防连接）网络之间存在不受控的即时连接B （设防连接）网络之间存在受控的即时连接C （逻辑隔离）网络之间存在受控的延时数据交换D （物理隔离）网络之间不存在任何数据交换安全域与广义隔离安全策略上具有共性的网络互联而成的整体，叫做一个安全域不同的安全域之间，在安全策略上有所不同，需要一种技术措施来加以维持这种维持不同安全域之间不同安全策略“压差”的技术措施，称为广义的“隔离”安全域划分网络1网络3网络4网络2网络5BCD等级B的安全域等级C的安全域等级D的安全域网络6隔离的典型应用一般政务网（政务外网）办公环境：逻辑隔离（C级）内部网获取外部网的指定信息内部网与外部网交换指定信息核心涉密网（政务内网）办公环境：物理隔离（D级）一个桌面容纳两个网的办公环境，确保二者不发生数据交换双机系统内网外网双机单终端系统内网外网单机双网系统内网外网单机单线系统X内网外网外网内网网闸对进出内外网的信息进行过滤问题和挑战双网/单网成本比：极限是多少？什么叫“受控”？外来病毒、木马的过滤外来攻击的过滤内部涉密信息外泄的过滤内外网之间的安全通信协议来自管理