20159217《网络攻防实践》第十二周学习总结

20159217《网络攻防实践》之TCP/IP网络协议攻击相关知识

网络层协议欺骗

IP源地址欺骗

• 原理
  只使用数据包中的目标地址进行路由转发，而不对源地址进行真实性的验证。利用IP源地址欺骗进行IP假冒攻击
• 应用场景
  普遍应用于拒绝服务中，或网络扫描时，基于IP地址的身份认证等
• 步骤
  对受信任的主机进行拒绝服务攻击、对目标主机的TCP初始序列号（ISN）进行取样和猜测、伪造源地址为受信任的主机IP的SYN数据包发送给主机、等待目标主机将SYN/ACK包发给已经瘫痪的受信任的主机、再次伪装成被信任的目标主机发送ACK包、建立连接。
• 工具
  netwox、wireshark、nmap
• 防范措施
  使用随机化的初试序列号、使用网络层安全传输协议、避免采用基于IP地址的信任策略、在路由器和网关上实施包过滤。

ARP欺骗

• 原理
  攻击者在有线以太网或无线网络上发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到而已目的地的攻击技术。
• 应用场景
  交换式网络、构造中间人攻击、恶意代码即为ARP病毒
• 技术原理
  ARP协议认为局域网内的所有的用户都是可信的，但是局域网内也可能存在内部攻击者或已渗透进入局域网的外部攻击者或恶意代码。
• 工具
  DSniff中的Arpspoof、arpison、Ettercap、netwox
• 防范措施
  静态绑定关键主机的IP地址和MAC地址映射关系、使用相应的ARP防范工具、使用VLAN虚拟子网细分网络拓扑、加密是传输数据。　　

ICMP路由重定向攻击

• 原理
  IP协议缺少差错和查询机制。ICMP报文类型，差错报告类和控制类。ICMP路由重定向主要用于网络故障是数据包处理，网络拓扑结构发生变化，出现故障时。利用ICMP路由重定向报文改变主机路由表，向目标主机发送重定向消息，伪装成路由器，使得目标机器的数据报文发送至攻击机从而加强监听。
• 工具
  netwox。嗅探网络中的数据包，每嗅探到一个符合要求的数据包，就向该IP地址发送一个ICMP定向爱你过报文，让该IP主机重定向至预先设定的IP地址。
• 防范措施
  根据类型过滤一些ICMP数据包，设置防火墙过滤，对ICMP重定向报文判断是不是来自本地路由器的。

传输层协议攻击

TCP RST攻击

• 伪造TCP重置报文攻击，假冒干扰TCP通信连接的技术方法。

TCP会话劫持攻击

• 攻击原理
  劫持通信双方已经建立的连接，假冒其中一方的身份与另一方进行进一步通信。
• 攻击技术过程
• 防范措施
  禁用主机上的源路由，采用静态绑定IP-MAC映射表可以避免ARP欺骗，引用和过滤ICMP重定向报文。

TCP SYN Flood拒绝服务攻击

• 简介
  目前比较有效而又非常难于防御的一种网络攻击方式，目的是是服务器不能够为正常访问的用户提供服务。TCP SYN Flood又称泛洪攻击，是目前最为有效和流行的一种拒绝服务攻击形式，利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而不能为正常用户服务。
• 攻击原理
  攻击主机向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN/ACK包，并等待源端返回ACK包。
• 工具
  netwox
• 防范措施
  SYN-Cookie技术、防火墙地址状态监控技术。

UDP Flood

• 原理
  通过目标主机和网络发送大量的UDP数据包，造成目标主机显著的计算负载提升，或者目标网络的网络拥塞，从而使得目标主机和网络陷入不可用的状态，造成拒绝服务攻击。
• 防范措施
  禁用或过滤监控和响应服务、禁用或过滤其他的UDP服务等。