网络与信息安全威胁

Crave
321 阅读6分钟

开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第21天,点击查看活动详情

网络欺骗

IP欺骗

使用其他计算机的IP来骗取连接,获得信息或者得到特权;

  • 简单的IP地址变化: 攻击者将一台计算机的IP地址修改为其它主机的地址,以伪装冒充其它机器。
  • 利用Unix系统的信任关系

ARP欺骗

利用ARP协议的缺陷,把自己伪装成“中间人”,效果明显,威力惊人;

ARP欺骗攻击原理

  • 当主机收到一个ARP应答包后,它并不会去验证自己是否发送过与这个ARP应答相对应的那个请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
  • ARP欺骗正是利用了这一点

ARP 欺骗攻击的危害

  • 致使同网段的其他用户无法正常上网(频繁断网或者网速慢)。
  • 使用ARP欺骗可以嗅探到交换式局域网内所有数据包,从而得到敏感信息。
  • ARP欺骗攻击可以对信息进行篡改,例如,可以在你访问的所有网页中加入广告。
  • 利用ARP欺骗攻击可以控制局域网内任何主机,起到“网管”的作用,例如,让某台主机不能上网。。

ARP 欺骗攻击实例

  • 使用工具:Arp cheat and sniffer V2.1

    • 国内开源软件,它是一款arp sniffer工具,可以通过arp欺骗嗅探目标主机TCP、UDP和ICMP协议数据包。

  • 攻击环境:在一个交换式局域网内

    • 受害者IP为210.77.21.53,MAC为00-0D-60-36-BD-05;
    • 网关IP为210.77.21.254,MAC为00-09-44-44-77-8A;
    • 攻击者IP为210.77.21.68,MAC为00-07-E9-7D-73-E5。

  • 攻击目的:攻击者想得知受害者经常登陆的FTP用户名和密码。

ARP 欺骗攻击检测

  • 网络频繁掉线
  • 网速突然变慢
  • 使用ARP –a命令发现网关的MAC地址与真实的网关MAC地址不相同
  • 使用sniffer软件发现局域网内存在大量的ARP reply包

ARP 欺骗攻击的防范

  • MAC地址绑定,使网络中每一台计算机的IP地址与硬件地址一一对应,不可更改。
  • 使用静态ARP缓存,用手工方法更新
  • 缓存中的记录,使ARP欺骗无法进行。
  • 使用ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
  • 使用ARP欺骗防护软件,如ARP防火墙。
  • 及时发现正在进行ARP欺骗的主机并将其隔离

其他欺骗 技术

  • ICMP消息欺骗:冒充初始网关向目标主机发送ICMP重定向报文,诱使目标主机更改路由表,从而将到达某一IP子网的报文全部丢失或都 经过一个攻击者能控制的网关。这就是ICMP重定向报文攻击。

  • 路由欺骗:常见的有RIP路由欺骗和IP源路由欺骗。

    • RIP路由欺骗:路由器不对RIP数据报发送者进行认证。因此攻击者可以声称他所控制的路由器A可以最快地到达某一站点B,从而诱使发往B的数据报由A中转。由于A受攻击者控制,攻击者可侦听、篡改数据。
    • IP源路由欺骗:使用带 “源站选路”的数据报

网络系统缺陷

网络层协议实现缺陷

  • IP包碎片攻击

    • TearDrop
    • Jolt2

  • ICMP Nuke攻击

  • Ping of Death攻击

  • Winnuke攻击

应用层协议实现缺陷

HTTP协议实现的微软IIS服务的Unicode漏洞

缓冲区溢出

类型:

  • 栈溢出
  • 堆溢出
  • BSS溢出
  • 格式化串溢出

措施:

  1. 安装安全补丁

  2. 编写安全的代码:缓冲区溢出攻击的根源在于编写程序的机制。因此,防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序(包括系统软件和应用软件)代码的正确性,避免程序中有不检查变量、缓冲区大小及边界等情况存在。比如,使用grep工具搜索源代码中容易产生漏洞的库调用,检测变量的大小、数组的边界、对指针变量进行保护,以及使用具有边界、大小检测功能的C编译器等。

  3. 保护堆栈

    • 加入函数建立和销毁代码。前者在函数返回地址后增加一些附加字节,返回时要检查这些字节有无被改动。
    • 使堆栈不可执行——非执行缓冲区技术,使入侵者无法利用缓冲区溢出漏洞。

  4. ASLR

    (Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率。

    ASLR增大了缓冲区溢出攻击的难度,是阻止内存攻击一种实用、有效防御技术。与DEP等措施共同使用,能够起到更好的防御效果,已被多个主流OS采用

网络信息收集

  • 针对IP及更低层协议扫描

    • IP地址扫描
    • 数据监听(网络抓包嗅探)
    • 电磁泄漏信息的截取

  • 端口扫描

    • TCP Connet扫描

    • TCP Syn扫描

    • TCP Fin扫描

    • IP 包分段扫描

    • UDP ICMP端口不能到达扫描

    • 慢速扫描

      • 攻击者可以扫描速度较慢的扫描软件,以躲避扫描检测系统。

  • 漏洞扫描

    • 漏洞库匹配方法
    • 模拟攻击方法

  • 操作系统识别

    • 主动指纹识别技术

      • FIN探测 、ISN采样探测、Don’t Fragment位探测
      • TCP初始窗口的大小检测 、ACK值探测
      • ICMP出错消息抑制 、ICMP出错消息回射完整性
      • TOS服务类型 、片断处理

    • 被动指纹识别技术。被动的捕获远程主机返回的包来分析其OS类型版本,一般可以从4个方面着手:

      • TTL值:这个数据是操作系统对出站的信息包设置的存活时间。
      • Windows Size:操作系统设置的TCP窗口大小,这个窗口大小是在发送FIN信息包时包含的选项。
      • DF:可以查看操作系统是否设置了不准分片位。
      • TOS:操作系统是否设置了服务类型。

拒绝服务攻击

  • 简单DOS

    • Ping of Death、Ping flooding、SYN flooding、UDP flooding

    • 电子邮件炸弹

      用伪造的地址或邮件地址向同一个信箱发送大量的垃圾邮件,超过接信邮箱容量,严重可导致邮件服务器OS瘫痪。

  • 反射式DOS

    • Smurf
    • Land攻击
avatar
文章
阅读
粉丝