DOSDDOS原理及攻击防御方法浅谈
DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。广义的DOS 攻击是指:“任何导致被攻击的服务器不能正常提供服务的攻击方式”。DoS
攻击和其他类型的攻击不大一样攻击者并不是去寻找进入内部网络的入口
而是去阻止合法的用户访问资源或路由器。
DOS攻击的基本原理是设法使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时攻击的效果就更明显。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这些变化都使得目标计算机有足够的资源来应付这些DoS攻击报文,这使得DoS攻击的困难程度加大,效果减小。
在这种情况下,DDoS攻击方法就应运而生,DDoS是英文Distributed Denial of Service的缩写,即“分布式拒绝服务”,它是一种基于DoS的特殊形式的拒绝服务攻击。前面已经提到了,当今的计算机和网络速度都普遍比较快,尤其是大型服务器和数据中心,那数据处理能力和网络速度简直令人叹为观止,因此传统的基于一对一的DoS攻击效果已不再那么明显。
于是,我们伟大的IT高手们秉承“办法总比困难多”的励志理念,汲取街头打架斗殴场景中的精髓,既然一个人打不过,那就来群殴。
DDoS攻击便是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令,即使性能再高的服务器也无法应付,因此产生的破坏性极大。主要目标是较大的站点,像商业公司、搜索引擎和政府部门的站点。
DDoS攻击的4个组成部分:
1).攻击者
攻击者所用的主机,也称为攻击主控台;
2).主控端
攻击者侵入并控制的一些主机,分别控制大量代理攻击主机;
3).代理攻击端
攻击者侵入并控制的一批主机,其上面运行攻击程序,接收和运行主控端发来的命令,代理攻击端俗称“肉鸡”;
4).受害者
被攻击的目标主机。
DDoS攻击示意图如下:
上图为DDoS直接攻击方式,另外还有一种威力更大、更隐蔽的DDoS间接攻击方式,其原理是攻击者伪造源地址为受害者地址的SYN连接请求包发送给大量服务器,随后,服务器群会向源IP(也就是受害者)发出大量的SYN+ACK 或RST包来进行响应,大量服务器的响应数据包最终在受害者处汇集为洪水,使受害者网络瘫痪,甚至死机,此攻击方式隐蔽性非常强,受害方很难找到攻击来源。其攻击示意图如下所示。
?DDoS攻击步骤
1).搜集攻击目标信息。包括目标主机的地址、配置、性能、带宽等。并根据目标主机的相关参数设计合理的攻击强度,做到知己知彼,百战不殆;
2).占领傀儡机。攻击者通过工具扫描互联网上那些有漏洞的机器,随后就是尝试攻击。攻击成功后,就可以占领和控制被攻击的主机,即“肉鸡”。攻击者可以利用FTP/TFTP等协议把DDoS攻击用的程序上传到“肉鸡”中。“肉鸡”包括主控端和代理端主机,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。
不过,攻击者如果想省事的话,可以直接从网络上购买“肉鸡”,一般是几角钱一只,量多优惠。这些“肉鸡”就是被黑客成功控制的计算机,并用于出售目的。
3). 实施攻击。攻击者登录到作为控制台的“肉鸡”中,向所有做为代理端主机的“肉鸡”发出命令,这时候埋伏在“肉鸡”中的DDoS攻击程序就会响应
控制台的命令,同时向受害主机以高速度发送大量的数据包,导致受害主机死机或是无法响应正常的请求。
在《DOS/DDOS原理及攻击防御方法浅谈(一)》中我们已经了解了DOS/DDOS 攻击的原理及步骤,下面我们接着介绍DOS/DDOS的常用攻击方法及防御手段。
Dos攻击种类有很多,主要有:IP Spoofing攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、SYN Flood攻击、ICMP Flood攻击、UDP Flood 攻击、ICMP-Redirect攻击及ICMP-Unreachable攻击等。
1). IP Spoofing攻击
IP Spoofing也叫IP欺骗,其原理是攻击者机器A利用软件构造一个虚假不存在的IP地址,并以此不存在地址为源IP地址向受害者机器B发送SYN报文,请求建立TCP/IP连接。目标机器B接收到这个SYN报文后,会将收到的SYN 报文中的源IP地址提取出来,并将此IP作为目的IP,回复一个ACK/SYN确认报文给B,并等待接收来自B的确认报文。由于这个目的IP是攻击者A伪造的,实际网络中根本不存在,所以这个ACK/SYN确认报文也就无法到达,B也就不可能接收到它的确认报文。
但是,根据TCP/IP协议规范,受害者B必须一直等待接收A回复的确认报文,直到受害者B内部的定时器超时才放弃等待。这就是一次IP Spoofing攻击,假如攻击者A使用软件以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文,那么受害者机器B上就会产生大量的TCP/IP半连接,并且都要等待这些半连接超时(在等待的时候要专心,不能干别的事情的,呵呵),从而使系统资源耗尽,不能及时响应正常的服务请求。
如果攻击者A控制几百几千台乃至几万台机器同时使用软件分别以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文,这样,受害者B所建立的TCP/IP半连接数量会呈指数上升,即使B的处理能力再强,网络带宽再宽,系统也会在瞬间崩溃,这就是DDoS攻击。
为了大家更好的理解IP Spoofing攻击方法,这里再补充介绍下TCP链接的建立过程。大家都知道,目前网络中的绝大部分上层应用程序都是基于TCP协议的。
TCP是Transmission Control Protocol的缩写,即传输控制协议。TCP是一种面向连接的高可靠性协议,它的建立过程包括三个过程,简称“三次握手”。如下图所示。
如上图所示,客户A想要从服务器B取得服务,首先需要向B发送一个SYN 报文,请求建立TCP链接,这就是“第一次握手”。服务器B收到SYN报文后,会将SYN的源IP地址提取出来作为目的IP地址,回复一个SYN/ACK报文给客户A,这就是“第二次握手”。客户A收到来自服务器B的SYN/ACK报文后,再将此报文的源IP地址提取出来作为目的IP地址,回复一个ACK确认报文给服务器B,这就是“第三次握手”。服务器B收到这个ACK报文后,立即启动对客户A的相应服务。
上面介绍的IP Spoofing就是因为A伪造了自己的IP,使得“第二次握手”的SYN/ACK报文不能到达A,A也不会发ACK报文进行“第三次握手”,但是B 却一直在苦苦等待“第三次握手”报文ACK的到来。
在网络安全设备中,是通过如下方法来防御IP Spoofing攻击的:检测每个接口流入的IP报文的源IP地址和目的IP地址,并对报文的源IP地址反查路由表,如果该IP报文的的入接口与以该地址为目的地址的最佳出接口不相同的话,则视为IP Spoofing攻击报文,将禁止其通过,并进行攻击日志记录。
2). Land攻击
Land攻击其实是IP Spoofing攻击的一个变种。其原理是攻击者机器A向受害者机器B发送一个伪造的SYN报文,此SYN报文的源IP地址和目的IP地址都被设成受害者机器B的IP地址,源端口号和目的端口号也相同。
受害者机器B接收到此SYN报文后,提取报文的源IP地址(其实是B机器自己的IP地址),并将其作为目的IP地址发送一个SYN/ACK 报文(其实是向它自己发送了一个SYN/ACK报文),结果这个地址又发回ACK确认报文,从而创建了一个空连接,每一个这样的空连接都将保留到内部定时器超时后才释放,从而消耗掉大量的系统资源。对于Land 攻击,各种操作系统的反应也有所不同,UNIX 系统将会崩溃,而NT 系统将变的极其缓慢,时间大约持续五分钟。
在网络安全设备中,是通过如下方法来防御Land攻击的:检测每个接口流入的IP报文的源IP地址和目的IP地址,阻止那些源IP地址落在所保护网络IP地址段内的报文进入。但是,此方法也具有局限性,即不能防御那些从所保护网络内部发起的Land攻击。
3). SYN Flood攻击
SYN Flood 是当前最流行的DoS/与DDoS攻击方式之一,其原理原理跟上面介绍过的IP Spoofing攻击是一样的,都是利用TCP协议的缺陷,伪造不存在的源IP向受害者发送SYN报文,使得受害者机器建立大量TCP半连接,每个半连接差不多等待30秒~2分钟后才超时释放。“Flood”的中文意思是“洪水”,顾名思义,SYN Flood攻击时,无数伪造的SYN攻击报文就像洪水一样涌向受害者机器,如果受害者机器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出而使系统崩溃,即使其系统足够强大,也会因忙于处理伪造的SYN报文而无法响应客户的正常请求,此时从正常客户的角度看来,服务器失去响应。
针对SYN Flood攻击,一种有效的防御方法是限制系统TCP半连接的数量,并且在TCP半连接超过一定数量后,在防火墙端启动TCP代理功能。所谓TCP
代理功能,就是在客户发起TCP连接时,防火墙不把SYN报文发给目标机器,而是自己伪装成目标机器对SYN报文做出SYN/ACK应答。
4). UDP Flood攻击
为了更好的介绍UDP Flood攻击,我们先来看一下UDP协议与TCP协议的区别。
TCP(Transmission Control Protocol) 是一种面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。
UDP(User Datagram Protocol,用户数据报协议)是一个简单的面向数据报的运输层协议。UDP不提供可靠性,它只是把应用程序传给IP层的数据报发送出去,但是并不能保证它们能到达目的地。由于UDP在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快。
从专业的角度说,TCP的可靠保证,是它的三次握手机制,这一机制保证校验了数据,保证了他的可靠性。而UDP就没有了,所以不可靠。不过UDP的速度是TCP比不了的,而且UDP的反应速度更快,QQ就是用UDP协议传输的,HTTP是用TCP协议传输的。
UDP Flood攻击的原理是攻击者机器A伪造一个并不存在的IP地址,并以此为源IP地址向受害者机器B发送一个UDP报文,B收到UDP报文后,发现上层没有任何应用程序在等待UDP端口,于是B就会生成一个ICMP报文发给该伪造的源IP地址,告诉对方刚才所发的UDP报文无法连接。如果A向B发送的足够多的UPD报文,受害者B将忙于处理这些无用的UDP报文,造成系统资源耗尽,导致瘫痪。
5). ICMP Flood攻击
ICMP是Internet Control Message Protocol的缩写,即因特网控制消息协议的意思。ICMP协议是TCP/IP协议族的一个子协议,它是一种面向连接的网络层协议,用于传输出错报告控制信息,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们经常用来检测网络通不通的“Ping”命令就是使用ICMP协议。
ICMP Flood攻击的原理就在在较短时间内向受害者机器发送大量的ICMP 请求报文,使受害者机器忙于向外发送ICMP应答报文,造成系统资源耗尽,导致瘫痪。
在《DOS/DDOS原理及攻击防御方法浅谈(二)》中,我们已经介绍了IP Spoofing、Land、SYN Flood、UDP Flood、ICMP Flood五中常用的DOS/DDOS攻击方法及防御手段,下面我们继续介绍剩下的五中DOS/DDOS攻击方法及防御手段。
6). Smurf攻击
Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。同ICMP Flood攻击一样,Smurf攻击也是利用了ICMP协议的漏洞。其原理是攻击者A 向广播地址发送ICMP请求广播报文,不过该广播报文的源IP地址不是攻击者A本身,而是伪造成受害者B的IP地址,这样,广播域内所有收到该ICMP请求报文的机器都会给受害者B回复ICMP应答报文,因而产生大量的通信业务,从而导致受害者B的网络拥塞及系统瘫痪。对于Smurf攻击,广播域内的机器数量越多,攻击效果就越明显。
在网络安全设备中,是通过如下方法来防御Smurf攻击的:对通过设备的所有ICMP请求报文的目的地址进行检查,如果是子网广播地址或者子网的网络地址,则认为是Smurf攻击,直接拒绝通过。
7). Fraggle攻击
Fraggle 攻击的原理与Smurf 攻击的原理类似,不过,Fraggle 攻击发送的是UDP 报文而非ICMP 报文。因为发送的是UDP 报文,Fraggle 攻击可以穿过一些阻止ICMP 报文进入的防火墙。
Fraggle攻击的原理是攻击者A向广播地址发送UDP报文,目的端口号为7(ECHO)或19(Chargen),报文的源IP地址伪装成受害者B的IP地址。这样,广播域中所有启用了此功能的计算机都会向受害者B发送回应报文,从而产生大量的流量,导致受害网络的阻塞或受害主机崩溃。如果广播域中的主机没有启动这些功能,这些主机将产生一个ICMP 不可达消息发给B,仍然消耗带宽。Fraggle攻击时,也可将源端口改为端口19(Chargen),目的端口为7(ECHO),这样会自动不停地产生回应报文,其危害性更大。
防御方法:关闭路由器或防火墙的广播地址特性,并在防火墙上过滤掉UDP 报文,阻止所有目的端口或源端口号为7或19的UDP报文通过。
补充下计算机端口方便的知识,大家都知道通信网络的上层应用程序都是通过端口号来识别传输层协议的,比如常用的HTTP协议就使用了80端口,用于邮件的SMTP协议使用的是25端口。比如某传输层报文的端口号标识位为“80”,那么计算机收到报文后一看端口号就知道该报文是给HTTP协议的,直接转交给它处理。同样的,TCP/UDP协议是IP的上层协议,IP可能会被系统中多个应用程序应用,如何来区分多个应用程序呢?答案是TCP/UDP端口号。 TCP和UDP的端口号的编号都是独立的,都是0~65535。例如DNS,可以是TCP的53号端口,也可以是UDP的53号端口。端口号只具有本地意义,是拿来标识程序的。只有0~1023是公认的系统占用,其他在通信过程中是随机生成,此次传输完成即撤消。在UDP的这些端口中,有两个很特殊的端口7和19。UDP 的7号端口收到报文后,会象ICMP Echo Reply一样回应收到的内容,而19号端口在收到报文后,会产生一串字符流。
8). WinNuke攻击
WinNuke攻击是以最初发动这种攻击的程序名“WinNuke”来命名的。其攻击原理是利用了WINDOWS 操作系统的一个漏洞,向139 端口发送一些携
带TCP 带外(OOB)数据报文,但这些攻击报文与正常携带OOB 数据报文不同的是,其指针字段与数据的实际位置不符,即存在重叠,WINDOWS 操作
系统在处理这些数据的时候,就会崩溃。还有一种是IGMP(Internet Group Management Protocol)分片报文,一般情况下,IGMP 报文是不会分片的,所以,不少系统对IGMP 分片报文的处理有问题。如果收到IGMP 分片报文,则基本可判定受到了攻击。
NetBIOS 作为一种基本的网络资源访问接口,广泛的应用于文件共享,打
印共享,进程间通信(IPC),以及不同操作系统之间的数据交换。一般情况下,NetBIOS 是运行在LLC2 链路协议之上的,是一种基于组播的网络访问接口。为了在TCP/IP 协议栈上实现NetBIOS,RFC 规定了一系列交互标准,以及几个常用的TCP/UDP 端口,如下。
A). 139:NetBIOS 会话服务的TCP 端口;
B). 137:NetBIOS 名字服务的UDP 端口;
C). 136:NetBIOS 数据报服务的UDP 端口。
Windows 操作系统实现了NetBIOS over TCP/IP 功能,并开放了139 端口。WinNuke 攻击就是利用了WINDOWS 操作系统的一个漏洞,向这个139 端口发送一些携带TCP 带外(OOB)数据报文,但这些攻击报文与正常携带OOB 数据报文不同的是,其指针字段与数据的实际位置不符,即存在重叠,WINDOWS 操作系统在处理这些数据的时候,就会崩溃。还有一种是IGMP(Internet Group Management Protocol)分片报文,一般情况下,IGMP 报文是不会分片的,所以,不少系统对IGMP 分片报文的处理有问题。如果收到IGMP 分片报文,则基本可判定受到了攻击。
补充下NetBIOS协议方面的知识:NETBIOS协议是由IBM公司开发,主要
用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为
它占用系统资源少、传输效率高,所以几乎所有的局域网都是在NetBIOS协议的基础上工作的。
防御方法:防火墙设备会扫描所有进入的“Microsoft NetBIOS 会话服务”(端口139)封包。如果防火墙设备发现某个封包上设置了TCP URG 代码位,就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生OOB 错误。然后让经过修正的封包通过,并在“事件警报”日志中创建一个WinNuke 攻击日志条目。
9). ICMP-Unreachable攻击
ICMP-Unreachable即ICMP报文报文不可到达的意思。ICMP-Unreachable 攻击原理是:某些系统在收到网络(代码为0)或主机(代码为1)不可达的ICMP 报文后,对于后续发往此目的地的报文直接认为不可达。攻击者A利用这种机制,向受害者B发送虚假的ICMP-Unreachable 报文,干扰了受害者B的路由信息,影响了报文发送。
10). ICMP-Redirect攻击
ICMP-Redirect 攻击和ICMP-Unreachable 攻击类似。ICMP-Redirect攻击原理是:网络设备可以向同一个子网的主机发送ICMP 重定向报文,请求主机修改路由。攻击者利用这个原理,跨越网段向另外一个网络的目标主机发送虚假的重定向报文,以改变目标主机的路由表。这种攻击干扰了目标主机的路由信息,影响了报文发送。
计算机网络攻击常见手法及防范措施
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
中间人攻击之DNS欺骗
在前面的文章(中间人攻击-ARP毒化)中,我们讨论了黑客危险的攻击和实用的ARP中毒原理。在本文中,我将首先探讨检测和防止ARP中毒(或ARP欺骗)攻击,然后我将回顾其他的中间人攻击-DNS欺骗。 ARP缓存攻击是一项非常危险的攻击,重要的是在用户中创建安全的意识和分析有效的工具和策略。如果你操作的是小型网络,那么就很容易维护ARP。但是在大型的网络,维护ARP是很困难和费事的。在前一篇文章的最后我们讨论了工具和技术,能够被用来检测ARP缓存中毒攻击。让我们来回顾下每一步: 静态ARP 你可以在网络ARP表中手动的添加一些信息,一旦信息插入,你就有了静态ARP映射。输入数据的过程也是非常简单,在你的终端/CMS中,只需输入:“arp -s” 例子: 你现在的ARP表: root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:22:93:cf:eb:6d C eth0 让我们假设一下,我想添加一个新的主机在我的ARP缓存表中,我输入如下命令: arp -s IP MAC root@bt:~# arp -s 00:50:FC:A8:36:F5 root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:50:fc:a8:36:f5 CM eth0 ether 00:22:93:cf:eb:6d C eth0 root@bt:~# 需要注意的是,手动添加ARP表只适用于当前的会话。当你重新启动计算机,将更新表。如果你想要使用这种方法,那么你可以创建一个批处理文件/BASH文件,并将它们添加到启动项。 ARPwatch (ps:监听ARP记录) 这是一个不错的实用程序,已经被用来监测ARP网络,它能够探测并记录发生更改的网络,同时还发送邮箱详细说明各自的变化。安装过程也是非常简单的。 对于Ubuntu用户: # apt-get install arpwatch root@bt:~# arpwatch -h Version usage: arpwatch [-dN] [-f datafile] [-i interface] [-n net[/width]] [-r file] [-s sendmail_path] [-p] [-a] [-m addr] [-u username] [-R seconds ] [-Q] [-z ignorenet/ignoremask]
ARP欺骗 -攻击原理和防范
ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,
网络攻击与防御实验报告全解
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
ARP欺骗在网络中的应用及防范
ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议(Address Resolution Protocol,ARP)是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用,其主要用于将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI的第二层)的MAC地址。 首先,每台主机都会在自己的ARP缓冲区中建立一个ARP映射表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中,如果ARP映射表中已经存在该IP的信息,则将其覆盖,然后以单播的形式给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点: 1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信,甚至可以做“中间人”。 3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP 应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射表,并以此更新目标主机缓存。设在
几种常见的网络黑客攻击手段原理分析
常见网络攻击手段原理分析 1.1TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Rep1y报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。 1.3UDP洪水 原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。 1.4端口扫描
网络攻击与防御复习题
《网络攻击与防御》复习题 一、判断题 1.防火墙构架于内部网与外部网之间,是一套独立的硬件系统。(×) 2.非法访问一旦突破数据包过滤型防火墙,即可对主机上的软件和配置漏洞进行攻击。(×) 3. GIF和JPG格式的文件不会感染病毒。(×) 4.发现木马,首先要在计算机的后台关掉其程序的运行。(√) 5.公钥证书是不能在网络上公开的,否则其他人可能假冒身份或伪造数字签名。(×) 6.复合型防火墙防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用,同时也常结合过滤器的功能。(√) 7.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。(×) 8.入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,仅提供对外部攻击的实时保护。(×) 二、单选题 1.黑客窃听属于(B)风险。 A.信息存储安全 B.信息传输安全 C.信息访问安全 D.以上都不正确 2.通过非直接技术攻击称作(B)攻击手法 A.会话劫持 B.社会工程学 C.特权提升 D.应用层攻击 3.拒绝服务攻击(A)。 A.用超出被攻击目标处理能力的海量数据包水泵可用系统、带宽资源等方法的攻击 B.全称是Distributed Denial of Service C.拒绝来自一个服务器所发送回应请求的指令 D.入侵控制一个服务器后远程关机 4.下列叙述中正确的是(D)。 A.计算机病毒只感染可执行文件 B.计算机病毒只感染文本文件 C.计算机病毒只能通过软件复制的方式进行传播 D.计算机病毒可以通过读写磁盘或网络等方式进行传播 5.数字签名技术是公开密钥算法的一个典型应用,在发送端,采用(B)对要发送的信息进行数字签名。 A.发送者的公钥 B.发送者的私钥 C.接收者的公钥 D.接收者的私钥 6.数字证书采用公钥体制时,每个用户庙宇一把公钥,由本人公开,用其进行(A)。 A.加密和验证签名 B.解密和签名 C.加密 D.解密 7.对企业网络最大的威胁是( D )。 A. 黑客攻击 B. 外国政府 C. 竞争对手 D. 内部员工的恶意攻击
无线传感器网络攻击与防范_刘勇
本栏目责任编辑:冯蕾无线传感器网络攻击与防范 刘勇,侯荣旭 (沈阳工程学院计算中心,辽宁沈阳110136) 摘要:无线传感器网络安全机制的研究一直是传感器网络的研究热点,该文主要介绍了无线传感器网络各层的攻击方式以及各个攻击方式的防范措施。 关键词:无线传感器网络;安全;攻击;防范 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2013)35-7927-02 Wireless Sensor Network Attack and Prevention LIU Yong,HOU Rong-xu (Computer Center,Shenyang Institute of Engineering,Shenyang 110136,China) Abstract:The security mechanism research of wireless sensor network has been a hot research topic of sensor networks,this pa?per mainly introduces the wireless sensor network attack means of each layer and the preventive measures against various attacks. Key words:Wireless Sensor Networks;security;attack;prevention 无线传感器网络(wireless sensor networks)是结合传感器技术、计算和通信的产物,并作为一种全新的信息获取和处理技术在国际上备受关注。由于现代科学的通讯技术和微型制造技术的不断提高,致使传感器不但具有感应外界环境的能力,而且还有独立处理信息和无线通讯的能力,外观上也变得越来越小。无线传感器网络属于自组织多跳式的网络,它可以在一定范围内自行组建网络,一个终端节点可以通过多条路径把信息传送到另一个节点。无线传感器网络通常适用于通讯距离较短和功率较低的通信技术上,但由于传感器网络自身的一些特性,致使其更容易遭受到各种形式的攻击。因此,无线传感器网络的安全面临着巨大挑战。 1无线传感器网络攻击与防范 无线传感器网络要想进入实际应用,安全因素是必须要考虑的,这样就需要可行的安全机制。作为一种特殊的Ad-hoc 网络,无线传感器网络又具有自组网络的多跳性、无中心性和自组织性等独特的特征,所以现有的网络安全机制没有办法用到本领域上。鉴于无线传感器网络面临的诸多威胁,并针对网络安全性能要求,下面我们将对无线传感器网络进行分层分析。 1.1物理层的攻击与防范 物理层的攻击包括物理破坏、信息泄露和拥塞攻击。由于无线传感器网络所处的环境比较恶劣,通常使用者没有办法进行现场监控,所以攻击者就可以利用这一特点轻易对该节点进行破坏或者进一步对节点进行内存重写以甚至替代该节点的攻击。又由于攻击者可以轻易监听暴露在物理空间上的无线信号,这样就造成信息的泄露。再者,攻击者还可以通过在无线传感器网络工作的频段上不断发射无用信号,致使该节点不能正常工作,如果这种攻击节点的密度达到一定程度时,就可以使得整个网络处于拥塞状态而无法进行正常工作。 物理层防范的关键之处在于建立有效的数据加密机制,因为传感器节点在计算能力和存储空间上有一定的局限性限,所以,轻量级的对称加密算法可以有效地被采用,同时非对称密钥加密系统也在探索之中,例如基于椭圆曲线的密钥系统。再者,扩频或者跳频技术也可以有效抵抗电波干扰。 1.2链路层的攻击和防范 数据链路层的攻击包括耗尽攻击、碰撞攻击和链路层DOS 攻击:攻击者可以利用无线传感器网络协议存在的漏洞,持续向一个节点发送数据包,最后使其忙于处理这些无意义的数据包而耗尽资源,从而令合法用户无法访问,这种攻击叫做耗尽攻击。而防止耗尽攻击的方法有限制节点的发送次数和在协议上设置重发次数的上限值等等。攻击者还可以利用数据链路层的媒体接入机制的漏洞进行传输数据包,从而进行碰撞攻击,这会使正常的数据无法传输,最终耗尽节点的能量资源,而防止碰撞攻击可以采用纠错编码、信道监听等手段来完善链路层的协议,具体为,先采用信道监听和重传机制来防止恶意节点数据包的碰撞攻击,再进行控制MAC 层的接入,使网络自动把过多的请求进行忽略,这样就可以不必对每个请求都应答,节省了通信的开销。攻击者还可以利用恶意节点或者被俘节点来不断在网络上发送高优先级的数据包来占据信道,导致其他节点无法传送正常的数据,这种DOS 攻击不但可以存在于数据链路层,还可以存在于物理层、网络层和传输层,对于DOS 攻击,可以采用短包策略或者弱化优先级之间的差异的方法来防止恶意节点发送的高优先级的数据包。 1.3网络层的攻击和防范 在无线传感器网络中,传感器节点大都密集分布在一个区域中,信息需要若干节点的传送才能到达目的地,又因为传感器网收稿日期:2013-09-20 作者简介:刘勇(1973-),男,辽宁沈阳人,高级实验师,硕士,主要研究方向为网络研究。 7927
常见网络攻击方法及原理
1.1 TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
《网络攻击与防范》教学大纲
《网络攻击与防范》教学大纲 一、课程的基本描述 课程名称:网络攻击与防范 课程性质:专业课适用专业:计算机、软件、网络 总学时:85学时理论学时:34学时 实验学时:51学时课程设计:无 学分: 3.0学分开课学期:第五或第六学期 前导课程:计算机网络 后续课程: 二、课程教学目标 本课程主要介绍网络攻击的常规思路、常用方法、常见工具,以及针对攻击的网络防御方面常规的防御思路、防御方法和防御工具。通过该课程教学,学生应当: 能够深入理解当前网络通信协议中存在的缺陷和问题,理解当前系统和应用软件中可能潜在的漏洞和问题。了解当前技术条件下网络攻防的思路方法和相应的攻防工具。 培养现代计算机网络环境下,熟练使用各类常见攻防工具的能力,同时培养出查找问题、分析问题和解决问题的能力。 初步培养网络攻防方面的安全意识和危机意识。 三、知识点与学时分配 第一章网络攻防技术概述 教学要点:本章立足网络空间安全,介绍网络攻防的基本概念和相关技术。 教学时数:6学时 教学内容: 1.1 黑客、红客及红黑对抗 要点:了解黑客起源、发展,以及黑客、红客和红黑对抗的相关概念; 1.2 网络攻击的类型
要点:了解主动攻击、被动攻击的相关概念及方式; 1.3 网络攻击的属性 要点:掌握攻击中权限、转换防范和动作三种属性类型,加深对攻击过程的理解; 1.4 主要攻击方法 要点:了解端口扫描的概念及原理;了解口令攻击的概念及三种攻击方式;了解Hash 函数的相关概念,掌握彩虹表的工作原理;了解漏洞攻击的相关概念,以及产生的原因; 了解缓冲区溢出的概念,掌握缓冲区溢出的原理,以及利用缓冲区溢出攻击的过程;了解电子邮件攻击的概念,以及目标收割攻击的工作原理;了解高级持续威胁的概念、特点以及主要环节;了解社会工程学的概念,以及社会工程学攻击的方式、步骤; 1.5 网络攻击的实施过程 要点:掌握攻击实施的三个过程:包括攻击发起阶段可用于分析、评估的属性;攻击作用阶段的作用点判定原则;攻击结果阶段的具体表现评价方式; 1.6 网络攻击的发展趋势 要点:了解云计算及面临的攻击威胁、移动互联网面临的攻击威胁和大数据应用面临的攻击威胁等新应用产生的新攻击方式;了解网络攻击的演进过程和趋势;了解网络攻击的新特点。 考核要求:熟悉网络攻防的相关概念,能识别网络攻击方式及掌握攻击的评估方法。第二章 Windows操作系统的攻防 教学要点:从Windows操作系统基本结构入手,在了解其安全体系和机制的基础上,掌握相关的安全攻防技术。 教学时数:4学时 教学内容: 2.1 Windows操作系统的安全机制 要点:了解Windows操作系统的层次结构;了解Windows服务器的安全模型; 2.2 针对Windows数据的攻防 要点:掌握EFS、BitLocker两种加密方式的原理、实行步骤以及特点;了解数据存储采用的相关技术;了解数据处理安全的相关技术; 2.3 针对账户的攻防
中间人攻击
SSL 中间人攻击 来源:本站转载作者:佚名时间:2012-08-21 19:04:11 免责声明: 本文旨在探讨 SSL 加密的安全问题,对于读者使用本文介绍的方法和工具进行的一切行为不负任何责任。 一、什么是 SSL SSL 是 Secure Socket Layer 的简称,中文意思是安全套接字层,由 NetScap e 公司所开发,用以保障在 Internet 上数据传输的安全,确保数据在网络的传输过程中不会被截取和窃听。 目前比较流行的版本为 SSL3.0,它已被广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输。 SSL 协议提供的服务主要有: (1)认证用户和服务器,确保数据发送到正确的客户和服务器。 (2)加密数据以防止数据中途被窃取。 (3)维护数据的完整性,确保数据在传输过程中不被改变。 二、关于 SSLStrip SSLStrip 的工作原理及步骤如下: (1)先进行中间人攻击来拦截 HTTP 流量。 (2)将出现的 HTTPS 链接全部替换为 HTTP,同时记下所有改变的链接。(3)使用 HTTP 与受害者机器连接。 (4)同时与合法的服务器建立 HTTPS。 (5)受害者与合法服务器之间的全部通信经过了代理转发。 (6)其中,出现的图标被替换成为用户熟悉的“小黄锁”图标,以建立信任。(7)这样,中间人攻击就成功骗取了密码、账号等信息,而受害者一无所知。 SSLStrip 的官方下载地址为: http: //https://www.wendangku.net/doc/d714939066.html,/software/sslstrip/,目前仅提供 Linux 系统下的版本,该工具为 Python 语言编写,需要 Python 环境支持,故要先下载 Pyth on 并安装。 三、SSLStrip 攻击实战操作(以破解用户 IP 为 192.168.1.33,用户账号为test 的 126 邮箱的密码为例) 步骤 1: 使用 nmap 对内网中开启的机器进行扫描以确定攻击目标 nmap –sP 192.168.1.0/24 参数解释: -sP:启用 ICMP 探测,即 ping 扫描。 步骤 2: 将网卡模式改为转发模式 Echo “1” >/proc/sys/net/ipv4/ip_forward 步骤 3:
无线网络安全威胁—中间人攻击 (ARP 威胁)
作业三 无线网络安全威胁—中间人攻击(ARP威胁) 姓名:陈清早 学号:PT1400158
目录1概述 2ARP欺骗攻击 3防御ARP欺骗的预防方案概览 3.1接入交换机/网关手动绑定 3.2主机端手动绑定 3.3网关定期发送免费ARP 3.4主机安装ARP防御软件 4三重立体ARP防御解决方案 4.1方案原理 4.2方式实现过程及效果 4.3方案总结
1概述 随着科技的发展,无线网络安全越来越受到大家的关注。在无线网络安全中,存在窃听,通信阻断,数据的注入和篡改,中间人攻击,客户端伪装,匿名攻击,漫游造成的问题等等。本次作业就针对中间人攻击中的ARP欺骗做一点了解。 用于攻击个人以及企业的最常见的网络攻击方式就是中间人攻击(MITM)。作为一种主动窃听攻击方式,中间人攻击方式主要是通过与目标机器建立连接并在目标机器间传递信息来发动攻击。在这种情况下,用户会认为自己正在与另一名用户直接通信,而实际上,通过主机的通信流量正在对用户执行攻击。最终结果是,攻击主机不仅能截取重要信息,而且能够注入数据流来进一步控制受害用户。 最常被使用的中间人攻击形式,包括ARP缓存中毒攻击(ARP Cache Poisoning)、DNS 欺骗(DNS Spoofing)、HTTP会话劫持等。 2ARP欺骗攻击 在实验过程中,我的主机(192.168.4.17),telnet虚拟机(192.168.4.116),我的虚拟机(192.168.4.117)作为中间人进行攻击,截获接收方的管理员的密码。在试验之前使用ARP–a检测我的主机的mac地址表。(实验时要把telnet设置成启动) 我的主机(192.168.4.17)的mac地址; 1.打开Cain软件,激活嗅探器,扫描主机.然后设定扫描的mac地址范围.点击配置对话框,设定中间人扫描时使用真实的mac地址 2.点击标签切换到ARP窗口。点击工具栏上+符号类似图标,设置ARP中毒目标IP。 3.点击切换到ARP选项窗口。点击工具栏类似放射性标志的图标。表示开始使目标IP 中毒。
ARP攻击和防范原理及示例
本科生毕业论文(设计) 题目:ARP攻击和防范原理及示例 专业:计算机网络(本科) 考生姓名:********** 准考证号:************ 指导教师:****** 二〇一五年十月
学术诚信声明 本人所呈交的毕业论文,是在导师的指导下,独立进行研究工作所 取得的成果,所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外,本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体,均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名:日期:2015-10-12
摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷,在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗,ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们不能从根本上解决ARP欺骗问题,因为ARP欺骗是利用ARP协议本身存在在的漏洞,本文将从技术层面入手,分析解决该类问题。 关键词:ARP攻击、ARP协议、ARP欺骗、ARP安全防护
中间人攻击(MITM)
黑客技术:详细解说MITM攻击手段 摘要:中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机…… 错误引导——DNS欺骗 临近过年,一辆长途客车满载着归家的旅人们在高速公路上行驶着,此时已是深夜,旅客们多半都已进入梦乡。司机发现前面不远处摆满了石块,还有一块指向告诉公路旁岔路口的牌子写着:“因前方公路塌方,严禁车辆通过,请绕道。”司机迟疑了一下,把车驶进了岔路。不远处,几双不安分的眼睛正在注视着客车…… 中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”(Session Hijack)。 DNS欺骗(DNS Spoofing),就是其中的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息。如果攻击者只是想监听双方会话的数据,他会转发所有的数据到真正的目标机器上,让目标机器进行处理,再把处理结果发回到原来的受害者机器;如果攻击者要进行彻底的破坏,他会伪装目标机器返回数据,这样受害者接收处理的就不再是原来期望的数据,而是攻击者所期望的了。例如让DNS服务器解析银行网站的IP 为自己机器IP,同时在自己机器上伪造银行登录页面,那么受害者的真实账号和密码就暴露给入侵者了。 如此说来,这种攻击理应是最强大最危险的,然而实际上它却很少派上大用场,为什么?因为DNS欺骗的攻击模型太理想了。在实际生活中,大部分用户的DNS解析请求均是通过自己的ISP服务器进行的,换句话说,就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址,所有解析请求都是直接发往这个DNS服务器的,攻击者根本无处入手,除非他能入侵更改ISP服务器上DNS服务的解析指向。所以这种手法在广域网上成功的几率不大。 当然,这种攻击的成功率也有例外存在,例如一个ISP服务器上存在Bind漏洞,攻击者就能通过Bind漏洞进入服务器更改掉DNS解析指向,甚至取得最高权限;另一种方法是入侵路由设备,修改里面的DNS服务器地址为自己控制的机器地址,这种方法只能在用户机器自身是通过路由器返回域名解析的情况下才能成功,多见于一些使用小区宽带连接
网络攻击及防范措施(一)
网络攻击及防范措施(一) 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹 (5)运行反木马实时监控程序 (6)经常升级系统 2网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。
Arp攻击原理及防范
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,