IP地址骗取特权从而进行攻击技术
许多应用
认为如果数据包能够使其自身沿着路由到达目地
而且应答包也可以回到源地那么源IP地址
定是有效而这正是使源IP地址欺骗攻击成为可能前提
假设同网段内有两台主机A、B另网段内有主机XB 授予A某些特权X 为获得和A相同特权所做欺骗攻击如下:首先X冒充A向主机 B发送个带有随机序列号SYN包主机B响应回送个应答包给A该应答号等于原序 列号加1然而此时主机A已被主机X利用拒绝服务攻击 “淹没”了导致主机A服务失效结果主机A将B发来包丢弃为了完成 3次握手X还需要向B回送个应答包其应答号等于B向A发送数据 包序列号加1此时主机X 并不能检测到主机B数据包(
不在同网段)只有利用TCP顺序号估算法来预测应答包顺序号并将其发送给目标机B如果猜测正确B则认为收到ACK是来自内部主机A此时X即获得了主机A在主机B上所享有特权并开始对这些服务实施攻击
要防止源IP地址欺骗行为可以采取以下措施来尽可能地保护系统免受这类攻击:
·抛弃基于地址信任策略: 阻止这类攻击种非常容易办法就是放弃以地址为基础验证不允许r类远程
命令使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件这将迫使所有用户使用其它远程通信手段如telnet、ssh、skey等等
·使用加密思路方法: 在包发送到 网络上的前我们可以对它进行加密虽然加密过程要求适当改变目前网络环境但它将保证数据完整性和真实性
·进行包过滤:可以配置路由器使其能够拒绝网络外部和本网内具有相同IP地址连接请求而且当包IP地址不在本网内时路由器不应该把本网主机包发送出去
有点要注意路由器虽然可以封锁试图到达内部网络特定类型包但它们也是通过分析测试源地址来实现操作因此它们仅能对声称是来自于内部网络外来包进行过滤若你网络存在外部可信任主机那么路由器将无法防止别人冒充这些主机进行IP欺骗
ARP欺骗攻击
在局域网中通信前必须通过ARP协议来完成IP地址转换为第 2层物理地址(即MAC地址)ARP协议对网络安全具有重要意义但是当初ARP方式设计没有考虑到过多安全问题给ARP留下很多隐患ARP欺骗就是其中个例子而ARP欺骗攻击就是利用该协议漏洞通过伪造IP地址和MAC地址实现ARP欺骗攻击技术
我们假设有 3台主机A,B,C位于同个交换式局域网中监听者处于主机A而主机B,C正在通信现在A希望能嗅探到B->C数据 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造ARP应答包应答包中IP地址为CIP地址而MAC地址为AMAC地址 这个应答包会刷新BARP缓存Cache让B认为A就是C说详细点就是让B认为CIP地址映射到MAC地址为主机AMAC地址 这样B想要发送给C数据实际上却发送给了A就达到了嗅探目我们在嗅探到数据后还必须将此数据转发给C 这样就可以保证B,C通信不被中断
以上就是基于ARP欺骗嗅探基本原理在这种嗅探思路方法中嗅探者A实际上是插入到了B->C中 B数据先发送给了A然后再由A转发给C其数据传输关系如下所示:
于是A就成功于截获到了它B发给C
数据上面这就是个简单ARP欺骗例子
ARP欺骗攻击有两种可能种是对路由器ARP表欺骗;另种是对内网电脑ARP表欺骗当然也可能两种攻击同时进行但不管如何样欺骗发送后电脑和路由器的间发送数据可能就被送到
MAC地址上
防范ARP欺骗攻击可以采取如下措施:
·在客户端使用arp命令绑定网关真实MAC地址命令
·在交换机上做端口和MAC地址静态绑定
·在路由器上做IP地址和MAC地址静态绑定
·使用“ARP SERVER”按定时间间隔广播网段内所有主机正确IP-MAC映射表
DNS欺骗攻击
DNS欺骗即域名信息欺骗是最常见DNS安全问题当个DNS服务器掉入陷阱使用了来自个恶意DNS服务器信息那么该DNS服务器就被欺骗了DNS欺骗会使那些易受攻击DNS服务器产生许多安全问题例如:将用户引导到互联网站WebSite点或者发送个电子邮件到个未经授权邮件服务器网络攻击者通常通过以下几种思路方法进行DNS欺骗
(1)缓存Cache感染
黑客会熟练使用DNS请求将数据放入个没有设防DNS服务器缓存Cache当中这些缓存Cache信息会在客户进行DNS访问时返回给客户从而将客户引导到入侵者所设置运行木马Web服务器或邮件服务器上然后黑客从这些服务器上获取用户信息
(2)DNS信息劫持
入侵者通过监听客户端和DNS服务器对话通过猜测服务器响应给客户端DNS查询ID每个DNS报文包括个相关联16位ID号DNS服务器根据这个ID号获取请求源位置黑客在DNS服务器的前将虚假响应交给用户从而欺骗客户端去访问恶意网站WebSite
(3)DNS重定向
攻击者能够将DNS名称查询重定向到恶意DNS服务器这样攻击者可以获得DNS服务器写权限
防范DNS欺骗攻击可采取如下措施
·直接用IP访问重要服务这样至少可以避开DNS欺骗攻击但这需要你记住要访问IP地址
·加密所有对外数据流对服务器来说就是尽量使用SSH的类有加密支持协议对般用户应该用PGP的类软件Software加密所有发到网络上数据这也并不是如何容易事情
源路由欺骗攻击
通过指定路由以假冒身份和其他主机进行合法通信或发送假报文使受攻击主机出现动作这就是源路由攻击在通常情况下信息包从起点到终点走过路径是由位于此两点间路由器决定数据包本身只知道去往何处但不知道该如何去源路由可使信息包发送者将此数据包要经过路径写在数据包里使数据包循着个对方不可预料路径到达目主机下面仍以上述源IP欺骗中例子给出这种攻击形式:
主机A享有主机B某些特权主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务首先攻击者修改距离X最近路由器使得到达此路由器且包含目地址aaa.bbb.ccc.ddd数据包以主机X所在网络为目地;然后攻击者X利用IP欺骗向主机B发送源路由(指定最近路由器)数据包当B回送数据包时就传送到被更改过路由器这就使个入侵者可以假冒个主机名义通过个特殊路径来获得某些被保护数据
为了防范源路由欺骗攻击般采用下面两种措施:
·对付这种攻击最好办法是配置好路由器使它抛弃那些由外部网进来却声称是内部主机报文
·在路由器上关闭源路由用命令no ip source-route篇文章: 邮件蠕虫和垃圾邮件技术融合篇文章: 电子邮件炸弹攻击原理及预防思路方法介绍
最新评论