欺骗攻击-ARP攻击
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP欺骗攻击
ARP欺骗攻击
Meet-in-Middle: Hacker发送伪装的ARP Reply告诉A,计 算机B的MAC地址是Hacker计算机的MAC地 址。 Hacker发送伪装的ARP Reply告诉B, 计算机A的MAC地址是Hacker计算机的MAC 地址。 这样A与B之间的通讯都将先经过 Hacker,然后由Hacker进行转发。于是 Hacker可以捕获到所有A与B之间的数据传 输(如用户名和密码)。 这是一种典型的中间人攻击方法5章 加密文件系统的规划、 实现和故障排除 欺骗攻击
• EFS 简介 • 在独立 Microsoft Windows XP 环境 中实现 EFS • 在使用 PKI 的域环境中规划和实现 EFS • 实现 EFS 文件共享 • EFS 故障排除
欺骗攻击(IP,ARP,DNS)
• • • • 纯技术性 利用了TCP/IP协议的缺陷 不涉及系统漏洞 较为罕见 1994.12.25,凯文.米特尼克利用IP欺骗技术攻破了 San Diego计算中心 ������ 1999年,RSA Security公司网站遭受DNS欺骗 攻击 ������ 1998年,台湾某电子商务网站遭受Web欺骗 攻击,造成大量客户的 信用卡密码泄漏 • 欺骗攻击的主要类型: ������ ARP欺骗 ������ IP欺骗攻击 ������ Web欺骗攻击 ������ DNS欺骗攻击
IP Spoofing (IP欺骗)
IP欺骗攻击过程
IP欺骗攻击过程
������ 1、屏蔽主机B。方法:Dos攻击,如Land攻击、 SYN洪水 ������ 2、序列号采样和猜测。猜测ISN的基值和增加规 律 ������ 3、将源地址伪装成被信任主机,发送SYN请求 建立连接 ������ 4、等待目标主机发送SYN+ACK,黑客看不到该 数据包 ������ 5、再次伪装成被信任主机发送ACK,并带有预 测的目标机的ISN+1 ������ 6、建立连接,通过其它已知漏洞获得Root权限, 安装后门并清除Log
IP欺骗攻击
������ ������ ������ ������ ������ ������
攻击的难点:ISN的预测 TCP使用32位计数器 每一个连接选择一个ISN 不同的系统的ISN有不同的变化规律 ISN每秒增加128000,出现连接增加64000 无连接情况下每9.32小时复位一次
ARP欺骗攻击
ARP欺骗木马
局域网某台主机运行ARP欺骗的木马程序 •会欺骗局域网所有主机和路由器,让所有上网的 流量必须经过病毒主机, •原来由路由器上网的计算机现在转由病毒主机上 网 ������ 发作时,用户会断一次线 ������ • ARP欺骗的木马程序发作的时候会发出大量的 数据包,导致局域网通讯拥塞,用户会感觉到上网 的速度越来越慢 ������ •当ARP欺骗的木马程序停止运行时,用户会恢复 从路由器上网,切换过程中用户会再断一次线
ARP欺骗出现的症状
网络时断时通; 网络中断,重启网关设备,网络短暂连通; 内网通讯正常、网关不通; 频繁提示IP地址冲突; 硬件设备正常,局域网不通; 特定IP网络不通,更换IP地址,网络正常; 禁用-启用网卡,网络短暂连通; 网页被重定向。
ARP欺骗攻击的防范措施
1 安装入侵检测系统,检测ARP欺骗攻击 2 MAC地址与IP地址双向绑定 ������ 所有机器上把网关的IP和MAC绑定一次 ������ 编个批处理 ������ arp-d ������ arp-s 192.168.1.1 00-0A-EB-DB-03-D2 ������ 路由器上再把用户的IP地址和MAC绑定一次 修改注册表项,如:reg add HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run /v StaticArp /d “arp –s 192.168.1.1 00-0a-eb-db03-d2” 3 查找ARP欺骗木马 ������ Antiarp ������ nbtscan
IP欺骗:基础
TCP协议把通过连接而传输的数据看成是字节 流,用一个32位整数对传送的字节编号。初 始序列号(ISN)在TCP握手时产生。攻击者如 果向目标主机发送一个连接请求,即可获 得上次连接的ISN,再通过多次测量来回传 输路径,得到进攻主机到目标主机之间数 据包传送的来回时间RTT。利用ISN和RTT, 就可以预测下一次连接的ISN。若攻击者假 冒信任主机向目标主机发出TCP连接,并预 测到目标主机的TCP序列号,攻击者就能使 用有害数据包,从而蒙骗目标主机
IP欺骗的防范措施
安装VPN网关,实现加密和身份认证 实施PKI CA,实现身份认证 通信加密
DNS欺骗
攻击复杂,使用简单 RSA Security 网站曾被成功攻击 DNS 欺骗原理 IP 与域名的关系 DNS 的域名解析 Rand Port to DNS s 53 DNS’· ·