网络安全理论与技术 课件 第2章 网络攻击

第二章网络攻击第二章网络攻击2.3欺骗攻击2.2嗅探攻击2.1网络攻击定义及分类2.6黑客入侵2.4拒绝服务攻击2.5非法登录2.1网络攻击的定义及分类网络攻击的定义网络攻击是指利用网络中存在的漏洞和安全缺陷对网络中的硬件、软件及信息进行的攻击，其目的是破坏网络中信息的保密性、完整性、可用性、可控制性和不可抵赖性，削弱甚至瘫痪网络的服务功能。网络攻击的分类主动攻击是指会改变网络中的信息、状态和信息流模式的攻击行为。被动攻击是指不会对经过网络传输的信息、网络状态和网络信息流模式产生影响的攻击行为。2.1网络攻击的定义及分类典型的主动攻击包括篡改信息、欺骗攻击、拒绝服务、重放攻击等例：DNS欺骗又称DNS缓存中毒，是指攻击者通过篡改DNS中的记录，将用户原本意图访问的合法网站域名解析到攻击者控制的恶意IP地址上，从而使用户在毫不知情的情况下访问伪造的网站，实现了对用户流量的劫持与重定向。工作原理：攻击者会在DNS查询的传输路径中插入虚假的DNS响应。这些响应会伪装成合法的DNS服务器回复，欺骗用户的DNS解析器将域名解析到错误的IP地址。后续对该域名的访问都将被重定向至恶意网站。2.1网络攻击的定义及分类DNS欺骗的实施方式：1、中间人攻击（MITM）：攻击者拦截用户与DNS服务器之间的通信，并冒充DNS服务器向用户发送虚假的DNS响应。2、DNS服务器妥协：攻击者直接控制或劫持DNS服务器，修改其配置以返回恶意的IP地址。思考&讨论：如何抵御DNS欺骗攻击？DNS欺骗能够实施的根本原因在于DNS解析的分散性和无严格身份验证的特点。2.1网络攻击的定义及分类

针对DNS欺骗攻击可采取的防范措施：1、使用DNSSEC：DNSSEC（域名系统安全扩展）为DNS响应添加数字签名，确保DNS查询的完整性和真实性。2、选择可信赖的DNS服务器：使用经过验证且安全性高的DNS服务器，减少被攻击的风险。3、加密通信：使用HTTPS来保护用户与DNS服务器之间的通信安全。4、定期系统更新：DNS服务器及时更新系统和DNS软件，安装最新的安全补丁，以抵御新出现的漏洞和攻击手段。5、网络监控与异常检测：通过监视网络流量，分析DNS请求模式，及时发现并阻止异常的DNS活动。2.1网络攻击的定义及分类典型的被动攻击包括信息嗅探、非法访问和数据流分析等非法访问是指读取主机中存储的信息，但不对信息做任何改变。信息嗅探是指复制经过网络传输的信息，但不会改变信息和信息传输过程。2.1网络攻击的定义及分类数据流分析是指对经过网络传输的数据流进行统计，通过分析统计结果得出网络中的信息传输模式。例如：通过记录每一个IP分组的源和目的地址及IP分组中净荷字段的长度，可以得出每一对终端之间传输的数据量，并因此推导出终端之间的流量分布。2.2嗅探攻击1.嗅探攻击的原理终端A向B传输信息过程中，信息不仅沿着A至B的传输路径传输，还沿着A至黑客的传输路径传输，且A至黑客终端的传输路径对A和B都是透明的。2.嗅探攻击的后果破坏信息的保密性便于实现数据流分析实施重放攻击2.2嗅探攻击正常情况下，当交换机的转发表(MAC表)中存在某个终端对应的转发项时，交换机只从连接该终端的端口输出MAC帧；如果交换机的转发表中没有地址为MACB的转发项，则交换机采用与集线器相同的转发机制，即向其它所有端口转发来自终端A的MAC帧。1.交换机的数据帧转发原理2.2嗅探攻击2.利用MAC表溢出攻击实施嗅探MAC表溢出攻击实施过程黑客不断发送源MAC地址变化的帧，如发送一系列源地址分别为MAC1、MAC2…MACn

的帧，使得交换机转发表中添加地址分别为MAC1、MAC2…MACn

的转发项，大量的转发项将耗尽交换机转发表的存储空间。结果：当交换机接收到终端B发送的帧时，由于转发表的存储空间耗尽，无法添加地址为MACB的新转发项。此时，若终端A向终端B发送MAC帧，交换机就会以广播方式完成MAC帧的传输，黑客终端完成了嗅探任务。2.2嗅探攻击3.嗅探攻击的防御机制对于通过交换机实现的嗅探攻击，需要有防止黑客终端接入交换机的措施。交换机需要具备防御MAC表溢出攻击的机制。对于无线通信过程，嗅探攻击是无法避免的，因此需要对传输的信息进行加密。

2.3欺骗攻击实际转发路径实际转发路径正常转发路径截获攻击的危害：冒充合法用户进行登录和访问；对于加密报文，可以进行重放攻击，导致系统数据异常。如何改变报文的转发路径，实现对报文的截获呢？截获攻击：通过改变信息的传输路径，使信息经过黑客终端。黑客终端截获A发往B的数据报文后，可以进行如下操作：篡改信息，再转发给终端B；保留信息一段时间后，再将信息转发给终端B，或者将同一信息多次转发给终端B；黑客终端只保留信息，不转发给终端B。

2.3欺骗攻击——MAC地址欺骗攻击黑客终端实施MAC地址欺骗的步骤：黑客将自己的MAC地址修改为终端A的MAC地址；黑客发送以MACA为源地址，以广播地址为目的地址的MAC帧结果：终端B发往终端A的数据帧都会被转发到黑客终端。如何抵御MAC地址欺骗攻击呢？2.3欺骗攻击——DHCP欺骗攻击动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)：为终端接入网络自动配置必要的网络信息，如IP地址、子网掩码、默认网关地址和本地域名服务器地址等。DHCP欺骗攻击的根本目的：让目标主机相信并接受来自伪造DHCP服务器的网络配置信息，从而实现报文截获。LAN1内的终端通常先接收到伪造的DHCP服务器所发送的参数配置消息，因而会选择伪造的DHCP服务器为其配置网络参数。在LAN1内连接一个伪造的DHCP服务器，其配置的子网掩码和可分配的IP地址与正常的DHCP服务器相同，但默认网关地址设置为黑客终端地址2.3欺骗攻击——APR欺骗攻击ARP协议本身存在的安全漏洞为实施ARP欺骗攻击提供了可能。终端无法鉴别ARP请求/回复报文中IP地址与MAC地址绑定项的真实性。地址解析协议(AddressResolutionProtocol，ARP)：当发送终端只知道接收终端的IP地址时，需要根据接收终端的IP地址解析出接收终端的MAC地址的报文交互过程。2.3欺骗攻击——APR欺骗攻击案例：黑客通过ARP欺骗来截获发送给终端A的IP分组黑客首先广播一个ARP请求报文，并在请求报文中将终端A的IP地址和自己的MAC地址MACC绑定在一起；当路由器接收到ARP请求报文后，在ARP缓冲区中记录IPA与MACC的绑定项。当收到目的地址为IPA的分组时，将分组封装成目的地址为MACC的帧，再将该MAC帧传输给黑客终端，黑客成功拦截了原本发送给终端A的IP分组；为了更稳妥地拦截发送给终端A的IP分组，黑客终端通常通过攻击让A瘫痪掉。2.3欺骗攻击——生成树欺骗攻击

生成树协议：为交换机设计一个存在冗余链路的网络，通过阻塞某些端口使网络没有环路。当某条链路或是某个交换机发生故障时，重新开通原来阻塞的端口使网络依然保持连通性而又没有形成环路；该协议既提高了网络的可靠性，又消除了环路问题。2.3欺骗攻击——生成树欺骗攻击

终端C终端A终端B终端B终端A终端C黑客终端连接到交换机S1，S2，然后运行生成树协议黑客终端伪装成交换机并配置很小的交换机优先级其他交换机运行生成树协议时将黑客终端作为根交换机2.3欺骗攻击——路由项欺骗攻击

案例：黑客通过路由项欺骗攻击来截获发送给终端B的IP分组黑客终端发送一个以组播地址为目的地址的路由消息，该路由消息伪造了一项黑客终端直接和LAN4连接的路由项；路由器R1接收到该路由消息后，生成错误的路由表项；路由器R1将连接在LAN1上的终端A发送给连接在LAN4上终端B的IP分组错误地转发给黑客终端。2.3欺骗攻击——源IP地址欺骗攻击源IP地址欺骗：某个终端发送IP分组时，不是以该终端真实的IP地址作为源IP地址，而是用其他终端的IP地址，或者伪造一个本不存在的IP地址作为IP分组的源IP地址的行为。源IP地址欺骗主要用在以下两种攻击过程：拒绝服务攻击SYN泛洪攻击：黑客终端用不存在的IP地址请求建立TCP连接；Smurf攻击：黑客终端用攻击目标的IP地址作为ICMPECHO请求报文的源IP地址。实施非法登录有些服务器只允许特定IP地址的终端访问，因此，黑客终端为了实施非法登录，用授权终端的IP地址作为源IP地址。如何防御源IP地址欺骗攻击？2.3欺骗攻击——钓鱼网站1.谈谈你对钓鱼网站的了解钓鱼网站是指黑客模仿某个著名网站的假网站，用户虽然在浏览器地址栏中输入该著名网站的域名，但实际访问的是黑客模仿该著名网站的假网站。常见的钓鱼网站类型2.3欺骗攻击——钓鱼网站2.钓鱼网站的传播方式有哪些？一是修改终端的hosts文件，也称为hosts文件劫持，黑客入侵终端后经常实施的攻击行为。二是修改终端配置的本地域名服务器地址，用假域名服务器地址取代原来正确的本地域名服务器地址。黑客实施钓鱼攻击的手段社工学或者用户操作不慎往往会登录到钓鱼网站2.3欺骗攻击——钓鱼网站3.抵御钓鱼网站的机制有哪些？1主机应当具有防御黑客入侵的能力，使得黑客无法修改主机信息2交换机应当具有防止伪造DHCP服务器接入的能力，只允许经过认证的DHCP服务器接入以太网3终端要具备鉴别Web服务器的能力，只有验证Web服务器身份后，才允许对其进行访问。2.4拒绝服务攻击拒绝服务攻击就是用某种方法耗尽网络设备、链路或服务器资源，使其不能正常提供服务的一种攻击手段。案例1‌：2024年，互联网档案馆遭受了一系列DDoS攻击，导致服务中断，影响了超过3100万用户的访问‌。案例2：六安网安部门破获了一起DDoS攻击案件，犯罪嫌疑人姚某利用境外通联软件搭建自动化攻击平台提供DDoS服务。1SYN泛洪攻击是一种通过耗尽服务器资源，使服务器不能正常提供服务的攻击手段。2Smurf攻击是一种通过耗尽网络带宽，使被攻击终端不能和其他终端正常通信的攻击手段。3分布式拒绝服务(DistributedDenialofService，DDoS)攻击是目前最常见的拒绝服务攻击形式。2.4拒绝服务攻击基本原理：Web服务器在会话表中为每一个TCP连接创建一项连接项；由于会话表中的连接项是有限的，与服务器建立的TCP连接数量也有限。SYN泛洪攻击通过快速消耗掉服务器TCP会话表中的连接项，使得正常的TCP连接无法建立的行为。黑客终端伪造多个不存在的IP地址，请求建立与Web服务器之间的TCP连接;服务器无法接收到来自客户端的确认报文，导致大量TCP连接处于半开放状态;当会话表中的内存被耗尽时，Web服务器无法为正常的TCP连接请求做出响应。1.SYN泛洪攻击SYN泛洪攻击过程2.4拒绝服务攻击黑客终端发送一个源IP地址为，目的IP地址为55的ICMPECHO请求报文；该IP分组在LAN3中以广播方式传输，到达LAN3中的所有终端；LAN3中的终端生成以自身IP为源地址，为目的地址的ICMPECHO响应报文，这些IP分组一起被发送到攻击目标；到达攻击目标的传输链路发生拥塞，导致其他终端无法和攻击目标正常通信。2.Smurf攻击Smurf攻击示例假定：攻击目标的IP地址为，LAN3和LAN4的网络地址分别为/16和/16（a）伪装（b）重播2.4拒绝服务攻击1.3.2主动攻击3.DDos攻击由肉鸡向其他正常主机发送大量无用的IP分组，分组经过这些正常主机系统反射后，被送往攻击目标，使攻击目标丧失服务能力。追踪间接DDoS攻击源的难度更大。

直接攻击间接攻击通过控制已经攻陷的主机直接向攻击目标发送大量无用的IP分组，使其丧失服务能力；2.4拒绝服务攻击2022年，国家互联网应急中心发现一个新的DDoS僵尸网络Fodcha，其每日境内上线肉鸡数已超过1万，且每日会针对超过100个攻击目标发起攻击。Fodcha僵尸网络位于境内肉鸡数按省份统计，排名前三位的分别为山东省(12.9%)、辽宁省(11.8%)和浙江省(9.9%)；按运营商统计，联通占59.9%，电信占39.4%，移动占0.5%。DDoS间接攻击案例：攻击者激活植入肉鸡中的攻击程序，程序随机产生以攻击目标IP地址为源地址的ICMPECHO请求报文。当请求报文到达目的端后，目的端产生大量ICMPECHO响应报文发往攻击目标，使攻击目标的网络链路发生过载，处理器资源消耗殆尽。2.4拒绝服务攻击DDoS攻击成功防御案例案例12016年，Cloudflare成功抵御了一次超过400Gbps的SYNFloodDDoS攻击。其成功之处在于采用了全球分布式的网络架构，实时流量分析以及智能过滤算法，迅速识别并阻断了恶意流量。案例2某大型商业银行在其数据中心前端部署了多层次防御系统，包括边界防火墙、流量清洗设备以及应用层防护机制，有效抵御了多次针对性的DDoS攻击，保障了线上金融服务的稳定性。抵御DDoS攻击的有效策略采用分布式架构与全局流量调度能够有效抵抗大规模DDoS攻击；防御体系应具备深度防御和动态响应能力，涵盖网络层、传输层到应用层的全方位防护；定期进行风险评估与应急演练，确保在真实攻击来临时快速做出响应。非法登录是指非授权用户远程登录（Telnet）网络