1.实践内容
网络安全属性
包括机密性、完整性和可用性是网络安全的三个基本属性,后来国际电信联盟又定义了其他两个属性,包括真实性和不可抵赖性。
机密性:
指网络中信息不被非授权实体(包括用户和进程等)获取与使用。包括国家机密、企业和社会团体的商业和工作秘密,个人秘密(如银行账号)和隐私(如邮件、浏览习惯)等。网络的广泛使用,使对网络机密性的要求提高了。网络机密性主要是密码技术,网络不同层次上有不同的机制来保障机密性。物理层主要是采取屏蔽技术、干扰及跳频技术防止电磁辐射造成信息外泄:在网络层、传输层及应用层主要采用加密、路由控制、访问控制、审计等方法。
完整性:
指网络信息的真实可信性,即网络少的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。只有具有修改权限的实体才能修改信息,如果信息被未经授权的实体修改了或在传输过程中出现厂错误,信息的使用者应能够通过一定的方式判断出信息是否真实可靠。
可用性:
指得到授权的实体在需要时可以使用所需要的网络资源和服务。用户对信息和通信需求是随机的多方面的,有的还对实时性有较高的要求。网络必须能够保证所有用户的通信需要,不能拒绝用户要求。攻击者常会采用一些手段来占用或破坏系统的资源,以阻止合法用户使用网络资源,这就是对网络可用性的攻击。对于针对网络可用性的攻击,一方面要采取物理加固技术,保障物理设备安全、可靠地工作;另一方面通过访问控制机制,阻止非法访问进入网络。
真实性:
是指系统在规定的条件下和规定的时间内,完成规定功能的概率。可靠性是网络安全最基本的要求之一。目前对于网络可靠性的研究主要偏重于硬件可靠性的研究,主要采用硬件冗余、提高研究质量和精确度等方法。实际上软件的可靠性、人员的可靠性和环境的可靠性在保证系统可靠性方面也是非常重要的。
不可抵赖性:
也称为不可否认性;是指通信的双方在通信过程中,对于自己所发送或接收的消息不可抵赖:即发送者不能抵赖他发送过消息的事实和消息内容,而接收者也不能抵赖其接收到消息的事实和内容。
网络攻击基本模式
- 截获:被动攻击模式,具体技术为嗅探和监听
- 中断:主动攻击,攻击技术为拒绝服务
- 篡改:主动攻击,对网络通信过程中的信息内容进行修改
- 伪造:主动攻击,假冒网络通信方的身份,攻击技术为欺骗
- 中间人攻击:攻击者能够拦截通信双方的全部通信。
TCP/IP网络协议安全缺陷与攻击技术
TCP/IP网络协议栈在设计时采用了分层模型,分为了网络接口层、互联层、传输层与应用层,每一层负责不同的功能,各自具有相应的网络协议。在每个层次上的网络协议都存在着一定的安全问题或设计缺陷,目前已经出现相应的攻击技术,如表5-1所示。
- 网络接口层
- 以太网协议,当网络接口处于混杂模式可以直接嗅探并截获数据包,同时缺乏对MAC地址源的身份验证机制,实现MAC地址欺骗
- 互联层
- IP协议只根据目的地址进行转发,不检查源IP地址是否真实有效,即缺乏IP地址身份认证机制,容易遭到IP地址欺骗
- 源路由滥用
- IP分片攻击
- ARP协议没有对映射关系的真实性进行任何验证,ARP欺骗
- ICMP重定向 Smurf攻击
- 传输层
- TCP建立会话之后的连接过程中,非常容易遭受伪造和欺骗攻击,攻击者可以进行TCP RST攻击直接中断会话过程,TCP的三次握手过程存在设计缺陷,攻击者可以进行SYN泛洪攻击。
- 应用层
- 一些流行的应用层协议HTTP FTP POP3/SMTP DNS等均缺乏安全考虑。
网络层协议攻击
IP源地址欺骗
IP源地址欺骗是指攻击者伪造具有虚假源地址的IP数据包进行发送,以达到隐藏发送者身份、假冒其他计算机等目的。
IP源地址欺骗可以实现的根本原因在于:IP协议在设计时只使用数据包中的目标地址进行转发,而不对源地址进行真实性的验证。IP源地址欺骗的示意图如下所示:
当攻击者与假冒IP地址处于同一局域网内,可以实时ARP欺骗或者路由重定向劫持响应包,攻击者就可以完全假冒这些主机进行网络交互。远程主机系统进行IP欺骗攻击比较困哪,攻击机无法获得响应数据包。
利用IP源地址进行欺骗的IP假冒过程步骤
1)对受信任主机进行拒绝服务攻击,使其丧失工作能力
2)对目标主机的TCP初始序列号进行取样和猜测,才可以随后在伪造的ACK报文中,将ACK的值正确地设置为目标主机的ISN+1
TCP序列号ISN是指目标主机在接受SYN报文后,返回SYN/ACK报文中的SEQ值,攻击主机
3)伪造源地址为受信任主机IP的数据包,发送给目标主机
4)等待目标主机将SYN/ACK包发送给已经瘫痪的受信任主机
5)伪造成被信任主机,向目标主机发送ACK包,设置发送数据包的ACK值为预测目标主机ISN+1
6)建立连接,假冒被信任主机与目标主机通信
实践:利用Netwox进行IP源地址欺骗
关于netwox的介绍我们可以参考这篇资料netwox介绍
我们首先在kali里面安装netwox,采用apt-get install netwox命令进行安装
然后利用40号工具构造ICMP数据包,我们使用命令netwox 40 -l 192.168.200.3 -m 192.168.200.110,将kali的ip地址变为192.168.200.110
此时完成ip源地址欺骗
然后开启wireshark去监听此时kali的进行欺骗ip地址的过程
可以看到此时已经欺骗成功。
然后我们使用命令nmap -sS-p 8080 192.168.200.110 -D 192.168.200.3去看看此时wireshark是否能嗅探成功
我们可以看到此时nmap扫描器也成功的进行了ip源地址欺骗并且8080端口是关闭的。
ARP欺骗
ARP欺骗也称为ARP下毒,是指攻击者在有线或以太网上发送伪造的ARP信息,对特定IP所对应的的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术。
ARP欺骗是指攻击者在有线以太网或无线以太网上发送伪造ARP消息,对特定IP所对应的Mac地址进行假冒欺骗,从而达到恶意目的攻击的技术。
ARP欺骗技术的原理:根源在于ARP协议在设计时认为局域网内部的所有用户都是可信的,但是局域网内可以存在内部攻击者,或者已经渗透进局域网的外部攻击者或恶意代码。这使得ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系。
ARP欺骗过程
1)源节点A发送数据包给目的节点B时,会通过ARP协议在局域网段广播ARP请求包,询问节点B的IP地址所映射的MAC地址;
2)攻击节点C说IP目标IP地址所映射的MAC地址是他自己,并不断地向源节点发送ARP响应包
3)由于攻击节点C不断地发送响应包,这样源节点上会强制以C发送响应包中的信息来更新ARP缓存。
4)当源节点A要再次发送数据包到节点B时,直接将数据包发送到C对应的MAC地址,即攻击节点C,这样C就通过欺骗假冒了目的节点B
5)如果ARP欺骗攻击的是网关节点,将导致整个局域网所有节点经过网关出入的数据包都会首先通过攻击节点,可能被嗅探、监听和恶意修改。