20199329 2019-2020-2 "práctica ataque a la red y la defensa", la quinta semana de trabajo

Others 2020-03-30 16:21:16 views: null

"Ataque a la red y la práctica de defensa", la quinta semana de trabajo

I. Introducción

En segundo lugar, el resumen del conocimiento

1. ataques protocolo de red y conceptos básicos

El aprendizaje de seguridad de red, seguridad de la información en primer lugar, debe tenerse en cuenta es la mente de los cinco atributos de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y no repudio. Todos nuestros ataque o defensa gira en torno a estos cinco atributos de seguridad se expandan. Así como el atacante, el atacante por lo general tienen los siguientes modos:

  • Intercepción: el modo de ataque pasivo oler y escuchar basada en la tecnología, el acceso al contenido de la información de la comunicación de la red de comunicación entre las dos partes.
  • Interrupción: Una negación de modo activo basado en la tecnología de ataque del servicio, la comunicación de red y la conversación imposible.
  • Falsificación: con el fin de engañar a la base del modo de ataque activo, la red de comunicación de suplantación partes, el engaño interlocutor con fines maliciosos.
  • La manipulación: el paquete incluye la manipulación de datos, y otra de contenido de información ataque intermediario arte golpe modo activo ataque, la ingeniería de redes de comunicación manipulación, de modo que la comunicación recibida por uno o ambos de noticias falsas.

Pero como atacante, todavía carecemos de un defecto de seguridad, con fallos de seguridad que podemos atacar. Por lo general, tiene la siguiente red fallos de seguridad de la pila de protocolos TCP / IP y técnicas de ataque:

  • Capa de interfaz de red: un protocolo de Ethernet, cuando la interfaz de red en modo promiscuo puede ser interceptada y olfatear paquetes directamente, mientras que la falta de mecanismos de autenticación de la dirección MAC fuente, spoofing logra dirección MAC.
  • capa de Internet: el protocolo IP sólo en la dirección de destino se envía sin comprobar el origen de la dirección IP sea real y efectiva, a saber, la falta de mecanismo de autenticación dirección IP, vulnerables a la suplantación de IP. También incluye una fuente de enrutamiento abuso, el ataque de fragmentación IP spoofing y redirección ARP, ICMP, los ataques Smurf.
  • Capa de transporte: Después de que el proceso de conexión para establecer una sesión TCP, es muy vulnerable a la falsificación y ataques de suplantación, un atacante puede realizar directa TCP RST ataque sesión interrumpida. TCP simultánea de tres vías proceso de enlace defecto de diseño, un atacante puede realizar un ataque de inundación SYN.
  • Capa de aplicación: Algunos protocolos populares a nivel de aplicación HTTP, FTP, POP3 / SMTP, DNS, etc. falta de diseño de seguridad.

2. Los ataques de protocolo de capa de red y medidas preventivas

ataque de suplantación de dirección de origen IP 2.1

Principio: Usar sólo en la dirección de destino de la ruta de reenvío de paquetes sin la dirección de origen para verificar la autenticidad.
Escenario: ataques de denegación de servicio, análisis de red (nmap -D)
herramienta: Netwox, Wireshark, nmap
ataque de la siguiente manera:

  • host de confianza de los ataques de denegación de servicio
  • Para orientar TCP anfitrión número de secuencia inicial (ISN) de muestreo y la especulación
  • dirección de origen forjado se envía al host como un host de confianza paquetes IP SYN
  • Esperando a que el host de destino SYN / ACK paquete al host de confianza ha sido paralizado
  • Una vez más encubierta host de destino de confianza envía un paquete ACK para establecer una conexión.

    Las medidas preventivas son las siguientes:
  • El uso de un número aleatorio de la primera secuencia de prueba
  • Usando una seguridad de capa de protocolo de transmisión de la red
  • Evitar el uso de direcciones IP basadas en directiva de confianza
  • el filtrado de paquetes de realización en los routers y gateways

2.2 ARP ataque de suplantación

Definiciones: ARP spoofing también llamado envenenamiento ARP, cuando un atacante transmite a través de un cable Ethernet o información ARP forjada, la suplantación de identidad falsa IP de la dirección MAC correspondiente a lo particular, con el fin de lograr el propósito de técnicas de ataque malicioso.
Principio: protocolo ARP cree que todos los usuarios de la LAN interna se confía en el diseño, pero puede haber un atacante LAN interna, o un atacante externo ha penetrado en la red de área local o código malicioso. Esto hace que sea muy fácil de inyectar en la caché ARP forjada dirección IP de asignación de direcciones MAC.
Escenario: red de conmutación, construido atacar por el centro, código malicioso.
Herramientas: DSniff en arpspoof, arpison, Ettercap, Netwox.
pasos de ataque son los siguientes:

  • Un nodo de origen envía paquetes de datos al nodo de destino B, la solicitud será transmitido de paquetes ARP en el segmento de LAN a través del protocolo ARP, la dirección MAC de la dirección de IP para hacer el Nodo B se asigna.
  • Se dijo que el ataque nodo C MAC dirección IP de destino la dirección IP asignada su propia, y continuar para enviar paquetes ARP respuesta al nodo de origen.
  • Desde ataque nodo C transmite continuamente un paquete de respuesta, el nodo de origen obligará a este a la C envía un paquete de respuesta para actualizar la caché ARP.
  • Cuando el nodo de origen para enviar el paquete de A de nuevo al Nodo B, transmite paquetes de datos directamente a la correspondiente dirección MAC C, que ataca el nodo C, y el nodo C por hacer pasar el objeto B. spoofing
  • Si el ataque del ARP spoofing es un nodo de puerta de enlace, todos los nodos serán causan todo el acceso a la red de área local a través de la puerta de enlace de paquetes será el primero atacando nodo podría ser olfateando, seguimiento y modificación maliciosa.

    Las medidas preventivas son las siguientes:
  • Estática vinculante dirección IP del equipo clave y las relaciones de mapeo de direcciones MAC
  • Utilizar las herramientas apropiadas de prevención de ARP
  • Topología de red utilizando segmentos de subred virtuales
  • transmisión cifrada

2.3 ICMP ruta de ataque de redirección

Definición: enmascaramiento atacante como el router envía falsa ICMP encaminar paquetes de control de la trayectoria, de manera que el host de destino seleccionado camino dictado por el atacante para sniff o una técnica de spoofing ataques de enrutamiento. Los mensajes ICMP se clasifican en dos tipos: el informe de errores clase (Destino Inalcanzable datagrama expira, el parámetro de error de paquetes), el tipo de mensaje de control (solicitud / clase de notificación de respuesta y clases).
Principio: el uso de ICMP paquete de redireccionamiento de enrutamiento cambio de enrutamiento de host Tabla, enviar una redirección al host de destino, disfrazado como un router, para que los paquetes de datos de destino máquina para aviones de ataque para reforzar la vigilancia.
Herramientas: Netwox
ataque de la siguiente manera:

  • nodo Ataque utilizando la dirección fuente IP spoofing, haciéndose pasar por la dirección de puerta de enlace IP para enviar paquetes de redireccionamiento ICMP al nodo atacado, y establecer una nueva dirección IP del router especificado para los nodos de ataque.
  • Tras la recepción de un nodo de ataques de paquetes, para examinar las condiciones de restricción, ya que el paquete no viola las limitaciones, y por lo tanto será recibido, el nodo es seleccionado como un nuevo ataque ataque enrutador nodos.
  • Ataque nodos de enrutamiento se pueden girar hacia delante, actúa como intermediario, los nodos de comunicación siendo atacados por la totalidad de las escuchas rastreadores para lograr ARP Spoofing ataque efecto similar.
  • En el proceso de reenvío, de acuerdo con los principios de diseño de ICMP redirigir mecanismo de encaminamiento, la pila de protocolos nodo atacante puede enviar un mensajes de redirección ICMP a nodo de ataque, designado originalmente como el nuevo router de puerta de enlace, la ruta de encaminamiento engañará restaurado a su estado original.

    Las medidas preventivas son las siguientes:
  • Algunos paquetes ICMP filtrado de acuerdo con el tipo de
  • Establecer un filtro de firewall
  • mensajes ICMP de redireccionamiento de la resolución no desde el router local

3. Red de ataques de protocolo de capa y medidas preventivas

3.1 ataque TCP RST

Definidos: los ataques TCP RST también denominados ataques de paquetes TCP reset forjado, se refiere a una técnica para la conexión de tráfico TCP interferir falsificación.
Principio: cabecera del protocolo TCP tiene un RESET, el indicador es 1, el anfitrión recibe el paquete de datos que está a punto de desconectar la conexión de sesión TCP. paquete de restablecimiento de TCP se cierra directamente una conexión de sesión TCP.
Herramientas: Netwox
ataque de la siguiente manera:

  • Banda anfitrión C puede controlarse mediante las partes comunicantes Una manera sniffer, conexión TCP entre el B.
  • Después de obtener la fuente, dirección IP y puerto de destino, un número de serie, la dirección IP de origen a continuación, se puede combinar la suplantación de identidad disfrazada como una fiesta de la comunicación, el envío de un paquete TCP reset a la otra parte de la comunicación.
  • Garantizar la coherencia en el número de puerto y la caída del número de serie en el tráfico de red TCP causada tanto por interrupción de la comunicación normal, al efecto de una denegación de servicio.

3.2 ataques de secuestro de sesión TCP

Principio: Secuestro de sesión TCP secuestro de partes que se comunican ya establecidos conexión de sesión TCP, la identidad falsa de una de las partes para su posterior comunicación con la otra parte. El núcleo de las cuales es la validación del comunicante de la sesión TCP.
pasos de ataque son los siguientes:

  • víctima de host para conectarse con el servidor Telnet, y por la autenticación para establecer una sesión.
  • servidor telnet enviará un paquete de respuesta a la víctima, y el servidor comprende el número de secuencia actual ( SVR_SEQ) y el número de secuencia esperado próxima enviado por el cliente ( SVR_ACK).
  • El atacante implementar ataque ARP Spoofing media, olfateando puede obtener el contenido de la comunicación entre la víctima y el servidor telnet, y la dirección IP a continuación, falsa y la identidad de la víctima, el envío de un paquete al servidor de talento, afirma ser víctima.
  • Un atacante el envío de un número de secuencia de paquete de condiciones se deben cumplir: SVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WND.
  • víctima sufrió talento continuará las sesiones de conexión entre los servidores, pero las tormentas de CA debido a una falta de correspondencia entre el valor de uno al otro y ACK aparece servidor telnet.

    Las medidas preventivas son las siguientes:
  • fuente Disable encaminamiento en el host
  • El IP estática y tabla de asignación de IP-MAC para evitar la suplantación ARP
  • Referencias y filtros de mensajes de redirección ICMP

3.3 TCP SYN Flood denegación de servicio

Principio: TCP defectos de enlace de tres vías basados en el host de destino para enviar un gran número de direcciones de origen forjado de la solicitud de conexión SYN, los consume recursos de cola de conexión del host de destino, que no pueden servir adecuadamente.
pasos de ataque son los siguientes:

  • En el ataque TCP SYN Flood, el atacante envía un gran número de direcciones de origen forjado de paquetes TCP SYN al huésped afectado.
  • anfitrión víctima asigne los recursos necesarios, y luego devuelve el paquete SYN / ACK a la dirección de origen, y esperar a que paquete ACK devuelto a la fuente.
  • Si la dirección de origen falsificada del host activo, volverá una conexión de paquete RST directamente, pero la mayoría de la dirección de origen forjado está inactivo, no vuelve paquete ACK, el anfitrión víctima continúa enviando paquete SYN + ACK, cuando el informe de conexión semiabierta relleno de texto, el servidor rechazará la nueva conexión.

    Las medidas preventivas son las siguientes:
  • La tecnología SYN-Cookie (sin información de asignación de recursos no está completamente conectado antes de la llegada).
  • tecnología de monitoreo del estado de dirección de servidor de seguridad (la conexión TCP con el estado del servidor de destino se divide en NUEVO, bueno, malo).

3.4 UDP Flood denegación de servicio

Principio: el envío de un gran número de paquetes UDP al host de destino y la red, resultando en significativa computacional polipasto carga del host de destino, o por congestión de la red, de modo que el host de destino y de la red en un estado inutilizable, ataques de denegación de servicio.

Las medidas preventivas son las siguientes:

  • desactivar la supervisión y el filtro y el servicio de respuesta.
  • Desactivar u otro servicio de filtrado de UDP.

En tercer lugar, el contenido experimental

una tarea: ARP ataques de envenenamiento de caché

Los siguientes experimentos utilizados como aviones de ataque Kali, MetaSploitable SEED Ubuntu y equipos de comunicación como normal, en primer lugar, la necesidad de asegurar las tres máquinas en la misma subred. Los siguientes son los tres equipos IP y el MAC:
Kali 192.168.200.2 00: 0C: 29: E6: 86: 47
MetaSploitable 192.168.200.125 00: 0C: 29: B4: E5: 9B
SEED Ubuntu 192.168.200.5 00: 0C: 29: 95: BC: 25

  1. Con el Ubuntu el SEED pingMetaSploitable, para dar tabla de caché ARP, y con una arp -atabla de caché vista ARP, como se muestra a continuación, la dirección IP MetaSploitable y la correspondiente dirección MAC es.
  2. Ejecutar instrucciones de Kali netwox 80 -e 00:0c:29:e6:86:47 -i 192.168.200.125. Esta instrucción, la herramienta 80 es un medio netwox 80, la primera dirección MAC en un avión de ataque de Kali, la segunda es MetaSploitable direcciones IP en la LAN de difusión después de la ejecución de este comando.

  3. prueba de verificación de Kali que debe ser capaz de capturar los paquetes de Wireshark de la semilla de Ubuntu y la comunicación MetaSploitable. Como se muestra a continuación:

Tarea dos: ataque de redirección ICMP

  1. Ver seedubuntu información de enrutamiento tabla

    2. Entre kali comando netwox 86 -f "host 192.168.200.5" -g 192.168.200.2 -i 192.168.200.1

    3. Abra Wireshark en SEED Ubuntu para ver los datos de flujo, y al final ping baidu.com, se encontró que el acceso de paquetes de datos Baidu se ha redirigido a192.168.200.2

Tarea tres: ataque SYN Flood

  1. Uso SEED Ubuntu para iniciar el aterrizaje MetaSploitable telnet 192.168.200.125, introduzca un nombre de usuario y contraseña.
  2. Uso netwox en Kali Nº 76 Nº 23 v puerto de herramientas de ataques SYN Flood netwox 76 -i 192.168.200.125 -p 23.

    3. Abrir la vista Wireshark, se puede ver un ataque SYN envía un gran número de peticiones de conexión falsas ip aviones no tripulados, estos falsos solicitudes de conexión sin dirección MAC, no detectable verdadera identidad del atacante.

    4. Visitar Por SEED Ubuntu también encontró inaccesible

Grupo de cuatro: ataque TCP RST

  1. Uso SEED Ubuntu para iniciar el aterrizaje MetaSploitable telnet 192.168.200.125, introduzca un nombre de usuario y contraseña.
  2. Netwox uso de las herramientas Kali 78 MetaSploitable sea TCP RST ataque netwox 78 -i 192.168.200.125.

    3. Del mismo modo, nos encontramos con que una visita en la semilla de Ubuntu también encontró inaccesible

Grupo de cinco: los ataques de secuestro de sesión TCP

  1. Uso SEED Ubuntu para iniciar el aterrizaje MetaSploitable telnet 192.168.200.125, introduzca un nombre de usuario y contraseña.
  2. Abierto el Kali Wireshark establece filtros tcp.port == 23, introduzca comandos en la semilla de Ubuntu, aquí ll, la vista posterior Kali Wireshark, encontrará un paquete de datos correspondiente.

    3. Consulte los siguientes valores, puerto de origen, puerto de destino, Siguiente seq_num y valores ACK.

    4. Utilice la instrucción kali netwox 40 --ip4-dontfrag --ip4-offsetfrag 0 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.200.5 --ip4-dst 192.168.200.125 --tcp-src 45640 --tcp-dst 23 --tcp-seqnum 94 --tcp-acknum 1369 --tcp-ack --tcp-psh --tcp-window 64 --tcp-data "68656C6C6F776F726C64"


    5. encontró Tcp Dup y retransmisión de TCP en Wireshark, describe secuestro éxito

En cuarto lugar, los problemas encontrados en el estudio y solución de

  • El MetaSploitable en una red en puente no ha sido capaz de lograr, más tarde se encontró que el problema había que configurar manualmente la dirección IP de. La solución es sólo asegúrese de que tres máquinas en la misma subred y sin la necesidad de cambiar un puente de red.
  • TCP ataques de secuestro de sesión y Sec paquete ACK para encontrar información tiene preguntas, leer el blog de otros estudiantes tienen que encontrar la información correcta.

5. Aprender sentimientos y experiencias

El estudio principal de los ataques de protocolo de red de tecnología pertinentes, y otro software utilizado en el Wireshark, para analizar diferentes paquetes de datos a través de Wireshark. Siente herramientas para la comprensión, sino también una parte principal puñado, la necesidad de una mayor digestión y absorción, no puede hacer herramientas de otros fabricantes puros. En particular, este capítulo es el principio de multi-parte especial, sintió los compañeros de clase de referencia de blog hecho en muchos lugares no ha comprendido todavía completamente.

2020 30 de de marzo de

Supongo que te gusta

Origin www.cnblogs.com/Zxf313806994/p/12599030.html
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com