文章目录
1、假消息攻击
1.1、假消息攻击简介
假消息攻击是指利用网络协议设计中的安全缺陷,通过发送伪装的数据包达到欺骗目标、从中获利的目的。是一种内网渗透方法。
TCP / IP协议的设计缺陷
① 缺乏有效的信息加密机制,通信内容容易被第三方截获
② 缺乏有效的身份鉴别和认证机制,通信双方无法确认彼此的身份
1.2、假消息攻击的类型
① 应用层 —— DNS欺骗(SMB中间人)
② 传输层 —— IP欺骗(SYN Flood)
③ 网络层 —— ICMP重定向(IP分片攻击)
④ 数据链路层 —— ARP欺骗
DNS欺骗
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
原理:
- 如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址
- 这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理
- DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了
DNS欺骗的原因:
① UDP协议是无状态、不可靠的协议
② DNS协议本身没有好的身份认证机制
DNS欺骗的危害:
① 将用户访问的合法网址重定向到另一个网址 使用户在不知情的情况下访问恶意网站
② 可能导致断网的现象。
SMB中间人攻击(MTM攻击)
是一种间接的入侵攻击
SMB协议: 用于不同计算机之间共享文件、打印机、通信对象等各种计算机资源的协议。
早起SMB协议使用明文口令进行身份验证 --> LM --> NTLM
- SMB重放攻击
通过对NTLM认证过程中的挑战/响应机制的重放,主机A能够在不知道主机B密码的情况下通过主机B的密码验证
A不知道密码散列值,所以通过连接2来套B的密码,双方密码散列值相同
- SMB中间人攻击
假设攻击者已经利用ARP欺骗或者ICMP重定向等手段将客户端与服务器之间的所有通信拦截下来,那么攻击者可以在NTLM认证的第二步将客户端的数据篡改,申明自身只支持明文密码传送,那么接下来的密码传送就会是明文的
中间人攻击的关键是攻击者处于客户端和服务器通信的中间,可以嗅探或任意篡改通信数据,并且不会中断他们的链接
IP欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道
最初IP欺骗用来对基于源IP地址信任的应用进行攻击。IP欺骗需要伪造IP头部和源IP地址
IP欺骗的危害:
① 以可信任的身份与服务器建立链接
② 伪造源IP地址,隐藏攻击者身份,消除攻击痕迹。(能查到的只是那台受害机)
IP欺骗的防范:
① 抛弃基于地址的的信任策略;(可以加验证码、注册账号等,eg:微信要关注后才能投票)
② 进行包过滤,只信任内部主机
③ 利用路由器屏蔽掉所有外部希望向内部发出的链接请求
④ 使用随机化的出事序列号,使TCP序列号难以猜测
SYN Flood攻击
原理
等待 --> 会一直占用服务器资源:
- ① 分配的缓冲区。三次握手中,服务器分配缓冲区的时机是在第三次握手过来、链接建立前就分好的,一直占用他的资源,使他无法为真正的请求分配,越来越慢。
- ② 链接数量达到上限,无法建立新的链接。
- ③ 除了内存、链接数,资源还有CPU、磁盘空间、打印机等等,均可占用达到攻击效果。
SYN Flood攻击的危害: 服务过载而导致拒绝服务
拒绝服务攻击: 一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户可用。
拒绝服务攻击的发展趋势 --> DDOS(分布式拒绝服务攻击)
SYN Flood攻击的防范:
① 缩短SYN Timeout时间;
② SYN Cookie
ICMP
ICMP是Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据包向它的目的地转发。这样攻击者可以伪造路由器给客户端发送一个ICMP重定向包,告诉客户端到达服务器的最佳路由是攻击者的机器
ICMP重定向的危害
① 改变对方的路由表;
② 与ARP欺骗类似,ICMP重定向攻击也可以用来做拒绝服务、嗅探或中间人攻击等
ICMP重定向的限制
① ICMP重定向攻击一次只能指定一个目的地址
② 新路由必须是直达的
③ 重定向包必须来自去往目标的当前路由
ICMP重定向攻击的防范
① 配置防火墙,拒绝接收ICMP重定向报文
② 在Windows里可修改注册表
③ 通过route print命令来查看本机的路由表
ARP欺骗
ARP:地址解析协议(IP地址得物理地址); RARP:反向地址解析协议
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击
- 是针对以太网地址解析协议(ARP)的一种攻击技术
- 通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通
- 此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包
- 且可让网络上特定计算机或所有计算机无法正常连线
简单案例分析:
这里用一个最简单的案例来说明ARP欺骗的核心步骤。假设在一个LAN里,只有三台主机A、B、C,且C是攻击者。
- 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request,就可以进行欺骗活动。
- 主机A、B都洪泛了ARP Request,攻击者现在有了两台主机的IP、MAC地址,开始攻击。
- 攻击者发送一个ARP Reply给主机B,把此包protocol header里的sender IP设为A的IP地址,sender mac设为攻击者自己的MAC地址。
- 主机B收到ARP Reply后,更新它的ARP表,把主机A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)。
- 当主机B要发送数据包给主机A时,它根据ARP表来封装数据包的Link报头,把目的MAC地址设为MAC_C,而非MAC_A。
- 当交换机收到B发送给A的数据包时,根据此包的目的MAC地址(MAC_C)而把数据包转发给攻击者C。
- 攻击者收到数据包后,可以把它存起来后再发送给A,达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害。
ARP欺骗的防范
- 网关建立静态IP/MAC对应关系,各主机建立MAC数据库
- 建立DHCP服务器
- IDS监听网络安全
