IP欺骗ICMP重定向攻击.PPT

网络信息安全 第8章 假消息攻击 ——对网络协议弱点的利用 本章要求 了解假消息攻击的分类 掌握ARP欺骗的原理、应用与防范 领会ICMP路由重定向的原理 掌握DNS欺骗的原理、应用与防范 熟悉IP欺骗和SMB中间人攻击原理 本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5DNS欺骗 8.5 SMB中间人攻击 8.1 假消息攻击的概念 假消息攻击 利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的 TCP/IP协议栈 8.1 假消息攻击的分类 分类与网络协议各层次的关系 本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5 DNS欺骗 8.6 SMB中间人攻击 8.2 ARP欺骗 ARP协议的作用 8.2 ARP欺骗 ARP数据包的格式 ARP协议的效率改进 响应ARP请求的主机将请求者的IP－MAC映射缓存。 主动的ARP应答会被视为有效信息接受 ARP效率带来的问题 发送错误的发送者MAC地址的ARP请求 发送错误的发送者MAC地址的ARP应答 8.2 ARP欺骗 ARP欺骗的攻击过程 攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关 受害者将数据包发送给假网关（攻击者） 假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包） 假网关再把数据包转发给真正的网关 8.2 ARP欺骗 8.2 ARP欺骗 ARP欺骗问题的原因： ARP协议设计之初没有考虑安全问题，所以任何计算机都可以发送虚假的ARP数据包。 ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系，如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。 ARP缓存需要定时更新，给攻击者以可乘之机。 8.2 ARP欺骗 ARP欺骗的危害 嗅探 拒绝服务攻击 中间人攻击 8.2 ARP欺骗 ARP欺骗的局限性 ARP欺骗只能被用于局域网（黑客必须已经获得局域网中某台机器的访问权）。 8.2 ARP欺骗 ARP欺骗的防范 网关建立静态IP/MAC对应关系,各主机建立MAC数据库 建立DHCP服务器 IDS监听网络安全 本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5 DNS欺骗 8.6 SMB中间人攻击 8.3 ICMP重定向攻击 ICMP的报文类型 8.3 ICMP重定向攻击 ICMP重定向报文： 当路由器检测到主机在启动时具有一定的路由信息，但不一定是最优的 路由器检测到IP数据报经非优路由传输，就通知主机去往该目的地的最优路径 功能：保证主机拥有动态的、既小且优的路由表 限制：ICMP重定向机制只能在同一网络的路由器与主机之间使用 8.3 ICMP重定向攻击 ICMP重定向报文 8.3 ICMP重定向攻击 ICMP重定向攻击的危害 改变对方的路由表 与ARP欺骗类似，ICMP重定向攻击也可以用来做嗅探、拒绝服务或中间人攻击等 8.3 ICMP重定向攻击 ICMP重定向攻击的局限性 ICMP重定向攻击一次只能指定一个目的地址 新路由必须是直达的 重定向包必须来自去往目标的当前路由 重定向包不能通知主机用自己做路由 被改变的路由必须是一条间接路由 8.3 ICMP重定向攻击 ICMP重定向攻击的防范 修改系统和防火墙配置，拒绝接收ICMP重定向报文 在Windows 2000里可修改注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 通过route print命令来查看本机的路由表 本章主要内容 8.1 假消息攻击的分类 8.2 ARP 欺骗 8.3 ICMP重定向攻击 8.4 IP欺骗 8.5 DNS欺骗 8.6 SMB中间人攻击 8.4 IP欺骗 IP欺骗的原理 利用主机之间的正常信任关系发动的攻击 8.4 IP欺骗 8.4 IP欺骗 IP欺骗的难点在于得到TCP的ACK初始序列号。 如果攻击者与受害者主机在同一局域网内，则可以结合嗅探的手段直接获取该序列号；否则，只能通过猜测的方法。 8.4 IP欺骗 IP欺骗的危害 以可信任的身份与服务器建立连接 伪造源IP地址，隐藏攻击者身份，消除攻击痕迹 8.4 IP欺骗 IP欺骗的防范 抛弃基于地址的信任策略 进行包过滤，只信任内部主机 利用路由器屏蔽掉所有外部希望向内部发出的连接