欺騙攻擊-ARP攻擊課件

第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實現(xiàn)EFS實現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介欺1欺騙攻擊（IP,ARP，DNS）純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25，凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計算中心 1999年，RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年，臺灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術(shù)性2ARP欺騙攻擊ARP欺騙攻擊3ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:4ARP欺騙攻擊ARP欺騙攻擊5ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網(wǎng)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機， ?原來由路由器上網(wǎng)的計算機現(xiàn)在轉(zhuǎn)由病毒主機上網(wǎng)發(fā)作時，用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通訊擁塞，用戶會感覺到上網(wǎng)的速度越來越慢?當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序6ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通；網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；頻繁提示IP地址沖突；硬件設(shè)備正常，局域網(wǎng)不通；特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；網(wǎng)頁被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通；7ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙8IP欺騙：基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生。攻擊者如果向目標(biāo)主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進(jìn)攻主機到目標(biāo)主機之間數(shù)據(jù)包傳送的來回時間RTT。利用ISN和RTT，就可以預(yù)測下一次連接的ISN。若攻擊者假冒信任主機向目標(biāo)主機發(fā)出TCP連接，并預(yù)測到目標(biāo)主機的TCP序列號，攻擊者就能使用有害數(shù)據(jù)包，從而蒙騙目標(biāo)主機IP欺騙：基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，9IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）10IP欺騙攻擊過程IP欺騙攻擊過程11IP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機，發(fā)送SYN請求建立連接4、等待目標(biāo)主機發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機發(fā)送ACK，并帶有預(yù)測的目標(biāo)機的ISN+16、建立連接，通過其它已知漏洞獲得Root權(quán)限，安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如La12IP欺騙攻擊攻擊的難點：ISN的預(yù)測TCP使用32位計數(shù)器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現(xiàn)連接增加64000無連接情況下每9.32小時復(fù)位一次IP欺騙攻擊攻擊的難點：ISN的預(yù)測13IP欺騙的防范措施安裝VPN網(wǎng)關(guān)，實現(xiàn)加密和身份認(rèn)證實施PKICA,實現(xiàn)身份認(rèn)證通信加密IP欺騙的防范措施安裝VPN網(wǎng)關(guān)，實現(xiàn)加密和身份認(rèn)證14DNS欺騙攻擊復(fù)雜，使用簡單RSASecurity網(wǎng)站曾被成功攻擊DNS欺騙原理 IP與域名的關(guān)系 DNS的域名解析 RandPorttoDNSs53DNS’··DNS欺騙攻擊復(fù)雜，使用簡單15DNS欺騙原理DNS欺騙原理16第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現(xiàn)EFS在使用PKI的域環(huán)境中規(guī)劃和實現(xiàn)EFS實現(xiàn)EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除EFS簡介欺17欺騙攻擊（IP,ARP，DNS）純技術(shù)性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25，凱文.米特尼克利用IP欺騙技術(shù)攻破了SanDiego計算中心 1999年，RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊 1998年，臺灣某電子商務(wù)網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術(shù)性18ARP欺騙攻擊ARP欺騙攻擊19ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經(jīng)過Hacker，然后由Hacker進(jìn)行轉(zhuǎn)發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:20ARP欺騙攻擊ARP欺騙攻擊21ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網(wǎng)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機， ?原來由路由器上網(wǎng)的計算機現(xiàn)在轉(zhuǎn)由病毒主機上網(wǎng)發(fā)作時，用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通訊擁塞，用戶會感覺到上網(wǎng)的速度越來越慢?當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線ARP欺騙木馬局域網(wǎng)某臺主機運行ARP欺騙的木馬程序22ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通；網(wǎng)絡(luò)中斷，重啟網(wǎng)關(guān)設(shè)備，網(wǎng)絡(luò)短暫連通；內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；頻繁提示IP地址沖突；硬件設(shè)備正常，局域網(wǎng)不通；特定IP網(wǎng)絡(luò)不通，更換IP地址，網(wǎng)絡(luò)正常；禁用-啟用網(wǎng)卡，網(wǎng)絡(luò)短暫連通；網(wǎng)頁被重定向。ARP欺騙出現(xiàn)的癥狀網(wǎng)絡(luò)時斷時通；23ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網(wǎng)關(guān)的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙24IP欺騙：基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生。攻擊者如果向目標(biāo)主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進(jìn)攻主機到目標(biāo)主機之間數(shù)據(jù)包傳送的來回時間RTT。利用ISN和RTT，就可以預(yù)測下一次連接的ISN。若攻擊者假冒信任主機向目標(biāo)主機發(fā)出TCP連接，并預(yù)測到目標(biāo)主機的TCP序列號，攻擊者就能使用有害數(shù)據(jù)包，從而蒙騙目標(biāo)主機IP欺騙：基礎(chǔ)TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，25IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）26IP欺騙攻擊過程IP欺騙攻擊過程27IP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機，發(fā)送SYN請求建立連接4、等待目標(biāo)主機發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包5、再次偽裝成被信任主機發(fā)送ACK，并帶有預(yù)測的目標(biāo)機的ISN+16、建立連接，通過其它已知漏洞獲得Root權(quán)限，安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如La28IP欺騙攻擊攻擊的難點：ISN的預(yù)測TCP使用32位計數(shù)器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現(xiàn)連接增加64000無連接情況下每9.32小時復(fù)位一次IP欺騙攻擊攻擊的難點：ISN的預(yù)測