網(wǎng)絡(luò)攻防技術(shù)課件第7章假消息攻擊(上篇)

1、第七章 假消息攻擊第七章 假消息攻擊2本章主要內(nèi)容7.1 假消息攻擊概述7.2 網(wǎng)絡(luò)嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊2本章主要內(nèi)容7.1 假消息攻擊概述3假消息攻擊概述所謂假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計中的安全缺陷，通過發(fā)送偽造的數(shù)據(jù)包達到欺騙目標、從中獲利的目的。3假消息攻擊概述所謂假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計中的安全缺4假消息攻擊概述TCP/IP協(xié)議的設(shè)計缺陷缺乏有效的信息加密機制，通信內(nèi)容易被第三方截獲缺乏有效的身份鑒別和認證機制，通信雙方無法確認彼此的身份4假消息攻擊概述TCP/IP協(xié)議的設(shè)計缺陷

2、5假消息攻擊概述應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層DNS欺騙IP欺騙ICMP重定向ARP欺騙SSL中間人SYN FloodIP分片攻擊假消息攻擊的類型5假消息攻擊概述應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層DNS欺騙IP欺6本章主要內(nèi)容7.1 假消息攻擊概述7.2 網(wǎng)絡(luò)嗅探7.3 ARP 欺騙攻擊7.4 ICMP重定向攻擊7.5 IP欺騙攻擊7.6 DNS欺騙攻擊7.7 SSL中間人攻擊6本章主要內(nèi)容7.1 假消息攻擊概述嗅探嗅探（Sniff）技術(shù)是網(wǎng)絡(luò)中的竊聽嗅探程序（Sniffer）截獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，并從中解析出其中的機密信息嗅探嗅探（Sniff）技術(shù)是網(wǎng)絡(luò)中的竊聽攻擊者進行嗅探的目的竊取各種用戶名和口

3、令竊取機密的信息如電子郵件正文及附件、網(wǎng)絡(luò)打印的文檔等 窺探底層的協(xié)議信息如DNS的IP地址、本機IP地址、本機MAC地址，遠程主機的IP地址、網(wǎng)關(guān)的IP地址、一次TCP連接的Sequence Numbe中間人攻擊時篡改數(shù)據(jù)的基礎(chǔ)攻擊者進行嗅探的目的竊取各種用戶名和口令嗅探的正當用途解釋網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的含義為網(wǎng)絡(luò)診斷提供參考為網(wǎng)絡(luò)性能分析提供參考，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸 發(fā)現(xiàn)網(wǎng)絡(luò)入侵跡象，為入侵檢測提供參考將網(wǎng)絡(luò)事件記入日志嗅探的正當用途解釋網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的含義嗅探范圍802.3以太網(wǎng)使用廣播信道的網(wǎng)絡(luò)，在以太網(wǎng)中所有通信都是廣播的目前的以太網(wǎng)分為共享式以太網(wǎng)和交換式以太網(wǎng)共享式以太網(wǎng)使用同軸電

4、纜或HUB連接交換式以太網(wǎng)使用交換機連接嗅探范圍802.3以太網(wǎng)共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB發(fā)送到C共享式以太網(wǎng)包轉(zhuǎn)發(fā)0260.8c01.11110260.8c主機接收數(shù)據(jù)以太網(wǎng)卡首先從網(wǎng)絡(luò)中接收數(shù)據(jù)，并在處理完成數(shù)據(jù)鏈路層的任務(wù)后向操作系統(tǒng)的傳遞。主機接收數(shù)據(jù)以太網(wǎng)卡首先從網(wǎng)絡(luò)中接收數(shù)據(jù)，并在處理完成數(shù)據(jù)鏈以太網(wǎng)卡的工作原理網(wǎng)卡接收到傳輸來的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序檢查數(shù)據(jù)幀的目的MAC地址，根據(jù)網(wǎng)卡驅(qū)動程序設(shè)置的接收模式?jīng)Q定是否接收若不應(yīng)接收就直接丟棄否則通過中斷的方

5、式通知操作系統(tǒng)以太網(wǎng)卡的工作原理網(wǎng)卡接收到傳輸來的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序檢以太網(wǎng)卡的偵聽模式偵聽模式是網(wǎng)絡(luò)適配器分析傳入幀的目標MAC地址，以決定是否進一步處理它們的方式。單播模式：接收單播和廣播數(shù)據(jù)幀組播模式：接收單播、廣播和組播數(shù)據(jù)幀混雜模式：接收所有數(shù)據(jù)幀以太網(wǎng)卡的偵聽模式偵聽模式是網(wǎng)絡(luò)適配器分析傳入幀的目標MAC單播模式單播模式下，網(wǎng)卡只讓與目標MAC地址與自己MAC地址相匹配的數(shù)據(jù)幀或者廣播數(shù)據(jù)幀通過，而過濾掉其它的幀。單播模式單播模式下，網(wǎng)卡只讓與目標MAC地址與自己MAC地址混雜模式混雜（promiscuous）模式下工作的網(wǎng)卡能夠接收到一切通過它的數(shù)據(jù)，而不進行數(shù)據(jù)的目的地址檢

6、查，即不再進行硬件過濾?；祀s模式混雜（promiscuous）模式下工作的網(wǎng)卡能夠接交換式以太網(wǎng)交換式以太網(wǎng)是使用交換機組建的局域網(wǎng)交換機使用端口和MAC地址對應(yīng)表進行數(shù)據(jù)轉(zhuǎn)發(fā)，根據(jù)數(shù)據(jù)包的目的MAC地址，選定目標端口E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.4444交換式以太網(wǎng)交換式以太網(wǎng)是使用交換機組建的局域網(wǎng)E0: 0交換式以太網(wǎng)包轉(zhuǎn)發(fā)E0: 0260.8c01.1111MAC address tableE2: 0260.8c01.2222E1: 0260.8c

7、01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXX交換式以太網(wǎng)包轉(zhuǎn)發(fā)E0: 0260.8c01.1111MA交換式以太網(wǎng)嗅探MAC洪泛 MAC洪泛是向交換機發(fā)送大量含有虛構(gòu)MAC地址和IP地址的IP包，使交換機無法處理如此多的信息，致使交換機進入了所謂的“打開失效”模式，也就是開始了類似于Hub的工作方式，向網(wǎng)絡(luò)上所有的機器廣播數(shù)據(jù)包。交換式以太網(wǎng)嗅探MAC洪泛 交換式以太網(wǎng)嗅探MAC欺騙 攻擊者通過將源MAC地址偽造為目標主機的源MAC地址，并將這樣的數(shù)

8、據(jù)包通過交換機發(fā)送出去，這使得交換機不斷地更新它的MAC端口映射表，從而讓交換機相信攻擊者主機的MAC地址就是目標主機的MAC地址，交換機就會把本應(yīng)發(fā)送給目標主機的數(shù)據(jù)包發(fā)送給攻擊者。交換式以太網(wǎng)嗅探MAC欺騙 交換式以太網(wǎng)嗅探ARP欺騙 攻擊者通過對網(wǎng)關(guān)和目標主機進行ARP欺騙，就可以截取到兩者之間的通信數(shù)據(jù)，從而達到在交換式局域網(wǎng)中嗅探的目的。交換式以太網(wǎng)嗅探ARP欺騙 協(xié)議還原協(xié)議還原即是將離散的網(wǎng)絡(luò)數(shù)據(jù)根據(jù)協(xié)議規(guī)范重新還原成可讀的協(xié)議格式。 主機封包嗅探器抓包嗅探器組包協(xié)議還原協(xié)議還原即是將離散的網(wǎng)絡(luò)數(shù)據(jù)根據(jù)協(xié)議規(guī)范重新還原成可主機封包協(xié)議頭和協(xié)議層的對應(yīng)關(guān)系應(yīng)用層數(shù)據(jù)TCP包頭IP包頭MAC幀頭應(yīng)用層傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層主機封包協(xié)議頭和協(xié)議層的對應(yīng)關(guān)系應(yīng)用層數(shù)據(jù)TCP包頭IP包頭主機封包處理實體協(xié)議層次協(xié)議 應(yīng)用程序應(yīng)用層協(xié)議HTTP / FTP / SMTP / SNMP / POP3操作系統(tǒng) 傳輸層協(xié)議TCP / UDP網(wǎng)絡(luò)層協(xié)議ICMP / IP 以太網(wǎng)卡數(shù)據(jù)鏈路層協(xié)議 802.3以太網(wǎng)協(xié)議物理層協(xié)議 主機封包處理實體協(xié)議層次協(xié)議 應(yīng)用程序應(yīng)用層協(xié)議HTTP /主機封包主機封包嗅探器組包嗅探器組包嗅探的檢測嗅探器的檢測比較困難商業(yè)嗅探器向外發(fā)送的數(shù)據(jù)包向主機