网络信息安全法课件.ppt

网络信息安全法PPT
Date
网络信息安全法PPT
TCP/IP网络协议栈攻击概述
网络信息安全法PPT
网络安全属性
网络安全CIA属性
保密性(Confidentiality)
完整性(Integrity)
可入站过滤机制(ingress filtering)
出站过滤机制(egress filtering)
网络信息安全法PPT
ARP欺骗(ARP Spoofing)
ARP协议工作原理
将网络主机的IP地址解析成其MAC地址
①每台主机设备上都拥有一个ARP缓存(ARP Cache)
②检查自己的ARP缓存，有，直接映射，无，广播ARP请求包
③检查数据包中的目标IP地址是否与自己的IP地址一致，如一致，发送ARP响应，告知MAC地址
④源节点在收到这个ARP响应数据包后，将得到的目标主机IP地址和MAC地址对映射表项添加到自己的ARP缓存中


IP(A)/MAC(A)


IP(B)/MAC(B)
A
B
网络信息安全法PPT
ARP欺骗攻击技术原理
ARP欺骗：发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的
A
C
B
其他机器
1. 广播ARP请求B的MAC地址
2 不断发送伪造ARP应答包，映射IP(B)/MAC(C)
3 保存错误的映射IP(B)/MAC(C)
4 本应发送至B的数据包
5 通过同样的手段欺骗B
1广播ARP请求B的MAC地址
2 发送ARP应答，映射IP(B)/MAC(B)
1 广播ARP请求B的MAC地址
2 正常机器不会响应
网络信息安全法PPT
网关ARP欺骗
网络信息安全法PPT
ARP欺骗技术的应用场景
利用ARP欺骗进行交换网络中的嗅探
ARP欺骗构造中间人攻击，从而实施TCP会话劫持
ARP病毒
ARP欺骗挂马
网络信息安全法PPT
利用Netwox进行ARP欺骗
工具33
网络信息安全法PPT
ARP欺骗攻击防范措施
静态绑定关键主机的IP地址与MAC地址映射关系
网关/关键服务器
"arp-s IP地址MAC地址类型"
使用相应的ARP防范工具
ARP防火墙
使用VLAN虚拟子网细分网络拓扑
加密传输数据以降低ARP欺骗攻击的危害后果
网络信息安全法PPT
ICMP路由重定向攻击
ICMP路由重定向攻击
伪装成路由器发送虚假的ICMP路由路径控制报文
使受害主机选择攻击者指定的路由路径
攻击目的：嗅探或假冒攻击
技术原理
路由器告知主机：
“应该使用的
路由器IP地址”
网络信息安全法PPT
ICMP路由重定向攻击技术
攻击节点冒充网关IP，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点
被攻击节点接受报文，选择攻击节点作为其新路由器(即网关)
攻击节点可以开启路由转发，实施中间人攻击
“谎言还是真话”？
网络信息安全法PPT
ICMP路由重定向攻击防范
根据类型过滤一些ICMP数据包
设置防火墙过滤
对于ICMP重定向报文判断是不是来自本地路由器
网络信息安全法PPT
传输层协议攻击
网络信息安全法PPT
TCP RST攻击
中断攻击
伪造TCP重置报文攻击(spoofed TCP reset packet)
TCP重置报文将直接关闭掉一个TCP会话连接
限制条件：通讯目标方接受TCP包
通讯源IP地址及端口号一致
序列号(Seq)落入TCP窗口之内
嗅探监视通信双方的TCP连接，获得源、目标IP地址及端口
结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方
应用场景：恶意拒绝服务攻击、重置入侵连接、GFW
GFW: “net::ERR_CONNECTION_RESET”
网络信息安全法PPT
TCP RST攻击演示
Netwox#78 tool
Reset every TCP packet
Usage: netwox78 [-d device] [-f filter] [-s spoofip] [-iips]
netwox78-i"172.*.*.188"
网络信息安全法PPT
TCP会话劫持
结合嗅探、欺骗技术
中间人攻击：注射额外信息，暗中改变通信
计算出正确的seqackseq即可
TCP会话攻击工具
Juggernaut、Hunt、TTY watcher、IP watcher
网络信息安全法PPT
TCP会话劫持攻击过程
受害者
攻击者
服务器
连接请