20,199,317 2019-2020-5 "ataque a la red y la práctica de defensa" Semana 5 puestos de trabajo

Others 2020-04-01 23:11:27 views: null

20,199,317 2019-2020-5 "ataque a la red y la práctica de defensa" Semana 5 puestos de trabajo

1. El contenido de Práctica

protocolo de red general de ataque pila 1.1 TCP / IP

  • Red de atributos de seguridad y el modo de ataque
    atributos de seguridad de red : confidencialidad, integridad, disponibilidad, autenticidad, no repudio de
    los ataques cibernéticos modo fundamental : la interceptación, interrupción, alteración, falsificación

  • vulnerabilidades de seguridad de red pila de protocolos y técnicas de ataque TCP / IP
    protocolo de red TCP / IP emplea en el diseño del modelo jerárquico, en la capa de interfaz de red, una capa de Internet, una capa de capa de transporte y aplicación, cada capa es responsable de funciones diferentes, teniendo cada uno un protocolo de red correspondiente. Los protocolos de red en cada nivel hay un cierto problemas de seguridad o defectos de diseño, también se han convertido en unos correspondientes técnicas de ataque, de la siguiente manera:

  • técnicas originales de paquetes de falsificación y herramientas
    en una serie de ataques en contra de la tecnología TCP / IP protocolo de red, además de la anteriormente explicados sniffer de red y la tecnología de análisis de protocolos, el más popular es la suplantación de identidad (spoofing). Lograr spoofing técnica requiere un atacante para forjar un paquete de red especialmente diseñado enviado al host de destino, atacaron en una entrevista con el trato con estos mensajes falsos.
    Además de sus propios mensajes falsos de programación, también puede utilizar algunos ataques de suplantación pueden implementar diversas herramientas de software, tales como Netwox, que es uno de los muy potente y fácil de usar kit de herramientas de código abierto, puede crear cualquier red TCP / UDP / IP paquetes de datos.

ataques de protocolo de capa de red 1.2

dirección de origen spoofing 1.2.1 IP

  • Fuente de dirección IP spoofing (IPSpoofing) se refiere al atacante forjadas paquetes IP con la dirección de origen falsa para enviar, con el fin de ocultar la identidad del remitente, propósitos falsificados otros ordenadores.

  • IP spoofing principio de dirección de origen : la causa fundamental de dirección de origen IP spoofing puede lograr que: protocolo IP utiliza la dirección de destino en el paquete diseñado única vía hacia adelante, en lugar de verificar la autenticidad de la dirección de origen. Cuando un router reenvía los paquetes IP, sólo la búsqueda de direcciones IP de destino de ruta de acceso para la transmisión de paquetes hasta destino de la entrega, no los paquetes de datos desde la dirección de origen que es verdaderamente pretensión de ser verificada, un diagrama esquemático de dirección fuente IP spoofing como se muestra:

  • Usando la dirección de origen IP spoofing para el proceso de ataque el IP spoofing :

    en la que:
    el primer paso Objetivo: Efecto proceso spoofing evitar después de recibir el paquete de respuesta;
    fines paso: número de secuencia TCP se refiere al host de destino inicial aceptar paquetes SYN paquete ACK de aquí en adelante, el valor de retorno SEC mensaje SYN / ACK, el atacante sólo posteriormente forjó además, el valor ACK está ajustado para el host de destino ISN + 1, se puede verificar host de destino, el real establecer una conexión, a efecto de engañar.

  • dirección de origen IP spoofing contramedidas de :
    (1) el uso de un número de secuencia inicial aleatoria de, un atacante tan remota no puede adivinar la dirección de origen spoofing camuflaje se establece un número de secuencia de conexión TCP;
    (2) usando un protocolo de red como la seguridad de capa de transporte la IPsec, cifrar transmitida paquete de datos;
    (3) en base a la política de confianza para evitar el uso de direcciones IP, mecanismo de autenticación de usuario basada en el algoritmo de cifrado en lugar de la política de control de acceso;
    (4) en la realización de routers de filtrado de paquetes y puertas de enlace.

1.2.2 ARP Spoofing

  • ARP Spoofing (ARP Spoofing) cuando un atacante transmite mensajes ARP forjaron a través de una red Ethernet cableada o inalámbrica Ethernet, una suplantación de identidad falsa IP de la dirección MAC correspondiente a lo particular, con el fin de lograr el propósito de técnicas de ataque malicioso.

  • protocolo ARP para completar la dirección IP a MAC pasos del proceso de correlación de direcciones son las siguientes:
    (1) tiene una memoria caché ARP (ARP Cache) en cada equipo anfitrión, mantiene una dirección de IP de asignación y la dirección MAC de la red tiene acceso a los hosts en la caché ARP relación;
    (2) cuando un host necesita enviar un paquete al host de destino, primero comprobará si existe la dirección MAC de la dirección IP del host de destino correspondiente a su propia caché ARP. Si es así, los paquetes de datos enviados directamente a la dirección MAC, y si no, envía un paquete de petición de ARP de difusión, las búsquedas de la dirección de MAC de la dirección IP host de destino correspondiente al segmento de LAN local;
    en (3) locales Hosts segmento de LAN después de la recepción de este paquete de petición de ARP, se comprueba el paquete IP destino si las coincide dirección con su propia dirección IP, si no idénticas, a ignorar este paquete de datos, y si la misma, la dirección de nodo IP primera fuente y la dirección MAC relaciones de mapeo añaden a su caché ARP. Si se encuentra en las entradas de la caché ARP para la dirección IP ya existe, se sobrescribe, y luego transmite un paquete de respuesta ARP, a decir entre sí que se encuentran con que es la dirección MAC del nodo al nodo de origen;
    (4) recibido en el nodo de origen la dirección del host de destino IP después de paquete de respuesta ARP, y la asignación de direcciones MAC entrada de la tabla obtenida a su caché ARP, y utilizan esta información para iniciar la transmisión del paquete, si el nodo de origen no recibe respuesta ARP paquete, dijo que la consulta ARP falló. solicitud ARP y la respuesta en el caso como se muestra a continuación:

  • ARP Spoofing proceso de ataque :

  • ARP Spoofing medidas de prevención de ataques
    clave para la dirección IP del anfitrión y de relaciones de correspondencia de direcciones MAC vinculante, utilizando las correspondientes herramientas de prevención de ARP estática, el uso del segmento de subred VLAN virtual de la topología de la red y el cifrado para la transmisión de datos para reducir las consecuencias nocivas tales como ataques ARP Spoofing.

1.2.3 ICMP ruta de ataque de redirección

  • ICMP ataques ruta de redirección (ICMP Redirect ataque) medios que el router enmascaramiento atacante envía suplantar ICMP encaminar paquetes de control de la trayectoria, de manera que el host de destino seleccionado camino dictado por el atacante para sniff o una técnica de spoofing ataques de enrutamiento.

  • ICMP mecanismo redireccionador principio de encaminamiento : ICMP de redireccionamiento se utiliza principalmente para el encaminamiento de paquetes de datos a disposición de los fallos de red, cuando los cambios en la topología de red, fallo de la red pueden conducir a un host mediante no optimizada de enrutamiento para enviar datos, entonces routers pueden utilizar el mensaje de redirección ICMP para actualizar la tabla de enrutamiento de host, por lo que el anfitrión de la red de medio ambiente cambio, vuelva a seleccionar una ruta más óptima de enrutamiento de datos de transmisión, para mejorar la eficiencia de transmisión de la red.

  • ICMP técnicas de ataque ruta de redirección de :
    (1) nodo atacar utiliza la dirección fuente IP spoofing, que presenta una dirección de pasarela IP para enviar paquete de redireccionamiento ICMP es nodos maliciosos, y establece la dirección IP especificada de los nodos maliciosos nuevo router ;.
    ( 2) es atacado nodo tras recibir el mensaje, la comprobación de condición será limitante, ya que el paquete no viola las limitaciones, y por lo tanto será recibida, nodos maliciosos es seleccionado como nuevo router (es decir, la puerta de enlace) ataque nodo;
    ( 3) el ataque de enrutamiento nodo de transmisión puede abrir, en calidad de intermediario, a ser atacado nodo para comunicarse con redes externas supervisar todo el olfateo, ARP spoofing lograr el efecto ataques similares;
    (4) durante el proceso de reenvío, de acuerdo con la redirección ICMP Router principios de diseño del mecanismo, debido, es decir, por ataque directo desde el nodo anterior es la puerta de entrada a la red externa para la trayectoria de encaminamiento poco mejor ruta de enrutamiento después de ruta hop orientación pesado, por lo que un nodo atacante a la pila de protocolos puede ser atacado nodo enviar un un mensajes de redirección ICMP, designados originalmente como el nuevo router de puerta de enlace, este mensaje engañar ruta de enrutamiento Restaurada a su estado normal original, que es la ruta ICMP ataque de redirección en un fenómeno muy interesante "la mentira y la verdad".

  • ICMP ruta de ataque de redirección de defensa : De acuerdo con algún tipo de filtrado de paquetes ICMP, el filtrado de ajustes de seguridad para paquetes ICMP de redireccionamiento no se determina a partir de los enrutadores locales.

1.3 Capa de transporte Ataque

1.3.1 ataque TCP RST

  • Indicador en la cabecera TCP tiene un poco de "reset", una vez que el indicador es 1, el anfitrión recibe el paquete de datos es inmediatamente desconecta la conexión de sesión TCP. TCP RST ataque es utilizar este principio a la comunicación de interrupción, atacando anfitrión C puede controlar la comunicación tanto por el modo sniffer A, la conexión TCP entre el B, después de la obtención de la fuente, dirección IP y puerto de destino y número de serie, junto con la IP de origen comunicaciones suplantación de direcciones uno disfrazado, el envío de un paquete TCP reset a la parte de comunicación, en el caso de asegurar la consistencia número y el número de puerto TCP secuencia cae dentro de la ventana, y para cerrar la conexión TCP directa, lo que resulta en una red de comunicación comunicar tanto normales interrupción, al efecto de una denegación de servicio.

1.3.2 ataques de secuestro de sesión TCP

  • proceso de Ataque :

    en el que, sección de monitorización atacante ataques de suplantación en medio de realización por ARP, olfateando la adquisición de contenido de la comunicación entre el servidor telnet y víctima; después de la autenticación exitosa, ya que el valor ACK entre el servidor telnet ya no genera coincidir entre sí "tormenta ACK "después de que los paquetes inyecte en la máquina de ataque, el cliente después de recibir los paquetes de respuesta desde el servidor, encontrará el valor ACK es incorrecta, y el servidor envía un paquete ACK que contiene los valores que espera ACK, deseos de restablecer la sincronización estado, el servidor recibe la víctima paquete ACK, se encontrará que no cumple con las condiciones de recepción, por lo que de nuevo devuelve un paquete ACK, por lo tanto constituyen un bucle infinito, la red envía un ACK de vuelta y hacia delante, hasta que uno de ACK debido a la congestión de la red o por otras razones perdido hasta ahora.

  • Las medidas de prevención :
    (1) fuente Disable encaminamiento en el host, estática unión tabla de asignación de IP-MAC a spoofing, cita y el filtro de mensajes de redirección ICMP Prevent ARP, estas tres medidas pueden evitar que los atacantes se convierten en las comunicaciones entre el intermediario dos lados, para llevar a cabo ataques de secuestro de sesión.
    (2) un mecanismo de cifrado de capa de red, es decir, el protocolo IPsec, para evitar que los atacantes a sniff información clave puerto y el número de serie en la capa de transporte de red.
    La existencia de tormenta ACK, u otro mensaje engañosa (3) para ver la red, detectar con eficacia los ataques de secuestro de sesión TCP.

1.3.3 TCP SYN Flood denegación de servicio

  • Los ataques SYN Flood : El atacante envía el host víctima de un gran número de direcciones de origen forjado de paquetes TCP SYN, el anfitrión víctima asigne los recursos necesarios, y luego regresar paquete SYN / ACK a la dirección de origen, fuente y esperar a que el paquete de retorno ACK. Si la estructura de la dirección de origen del activo, devolverá una conexión de paquete RST directamente, pero la mayoría de la dirección de origen forjado está inactivo, el puerto de origen no volverá paquete ACK En este caso, el host víctima continúa enviando paquete SYN + ACK y lo puso en la cola de puerto atraso, el puerto no responde adecuadamente a conectarse a otros sistemas, y en última instancia el host víctima fue negado el servicio.

1.3.4 UDP Flood denegación de servicio

  • Principio UDP Flood Denegación de Servicio : envía un gran número de paquetes UDP al host de destino y la red, resultando en significativa polipasto carga computacional host de destino, o red de destino congestión de la red, de manera que el host de destino y la red en un estado inutilizable, causando ataques de denegación de servicio.

1.4 protocolo de red medidas de prevención de ataques pila TCP / IP

  • Detección, prevención y fortalecimiento de la seguridad
    en la capa de interfaz de red , la principal de detección de amenaza a la seguridad y la prevención de la red sniffer para detectar el punto de monitor de LAN, desglosado tanto como sea posible y para la estructura de red optimizar el diseño de la red, la puerta de entrada a la ruta crítica, routers y otros equipos de protección estricta seguridad.
    En la capa de Internet , puede utilizar una variedad de técnicas de detección y filtrado para detectar y prevenir los ataques de suplantación de red que puedan surgir, Mejora de las políticas de seguridad cortafuegos, routers y dispositivos de puerta de enlace para servidores críticos usan tabla de asignación de IP-MAC vinculante estática, utilizar mecanismos de prevención IPsec de comunicación cifrado de protocolo.
    En la capa de transporte mecanismo, el cifrado de transporte y control de seguridad basado en servicios de conexión y orientados a conexión, incluyendo la autenticación, control de acceso y así sucesivamente.
    En la capa de aplicación , el uso de la encriptación, autenticación de nivel de usuario, tecnología de firma digital, la autorización y la tecnología de control de acceso, así como a las tecnologías de seguridad de host, como auditorías, detección de intrusos y así sucesivamente.

  • protocolo de seguridad de la red
    pila principales protocolos de seguridad de red en todos los niveles en el protocolo TCP / IP de la siguiente manera:

  • El protocolo de Internet de siguiente generación
    en comparación con IPv4, IPv6 tiene las siguientes ventajas:
    (1) IPv6 tiene un espacio de dirección más grande.
    (2) IPv6 usando una tabla de encaminamiento más pequeño.
    (3) IPv6 añade soporte de multidifusión de soporte, y el aumento de la convección.
    (4) el apoyo añadido IPv6 para la configuración automática de
    (5) IPv6 tiene una mayor seguridad.

4. práctica

  Netwox es un muy potente y fácil de usar kit de herramientas de código abierto, puede crear cualquier / UDP / IP paquetes de datos TCP, la implementación de una variedad de ataques de suplantación de la red. soportes Netwox estructura de mando modo de línea y el envío de paquetes falsos, puede automatizar el proceso mediante secuencias de comandos. La variedad de recomendaciones prácticas sobre el uso de Netwox.

  La práctica de VMware en kali, SEED, metasploitable-linux estos tres máquina virtual como un entorno experimental. Tenga en cuenta que tres máquinas virtuales necesitan estar en el mismo segmento de red, la tabla de tres direcciones IP y MAC:

virtual Machine direcciones IP dirección MAC
tiempo 192.168.200.2 00: 0C: 29: 21: Cuatro: bd
SEMILLA 192.168.200.3 00: 0C: 29: 82: 01: 3f
Linux metasploitable 192.168.200.125 00: 0C: 29: fa: dd: 2a
  • ARP envenenamiento de caché ataque
    kali atacante intermedia, SEED, anfitrión metasploitable-linux para ser engañado.
    proceso de Ataque es: kali respectivamente, metasploitable-Linux envía SEED forjado respuesta del paquete spoofing, tales SEED, relación de mapeado metasploitable-linux ARP caché tablas son IP (SEED) / MAC (kali ), IP (metasploitable -linux) / MAC (kali)

1, mesa de ping-semilla metasploitable Linux, establecer otra tabla de caché ARP, un comando de entrada arp -apara ver la dirección de tabla de asignación de IP-MAC de la siguiente manera:

2, un comando de entrada en kalinetwox 80 -e 00:0c:29:21:fa:bd -i 192.168.200.125 //80代表netwox的第80号工具,即周期性发送ARP应答报,-e代表要改成的中间攻击者mac地址,-i代表要欺骗的主机ip地址

3, ver la tabla de la SEED caché ARP, la tabla de caché se compara con la anterior

se puede ver tabla de caché ARP de semillas modificadas con éxito para IP (metasploitable-Linux) / MAC (kali)

4, en el Kali Wireshark abierto, entonces SEED de ping-metasploitable Linux, se puede apreciar que ser enviado a buscar paquetes metasploitable-Linux en kali

  • ICMP ataque de redirección
    kali (192.168.200.2) como el atacante, SEED (192.168.200.3) para las víctimas.

1, introduzca el comando netstat -rn, comprueba la tabla de enrutamiento SEED obtener 192.168.200.1 gateway

2, un comando de entrada en Kali netwox 86 -f "host 192.168.200.3" -g 192.168.200.2 -i 192.168.200.1, es decir, el uso de herramientas Netwox No. 86, olfateó fuente o dirección IP de destino del paquete 192.168.200.3, la enviará un ICMP 192.168.200.1 en el nombre de la dirección de origen del paquete paquetes de redireccionamiento, por lo que el uso 192.168.200.2 como la ruta predeterminada.

3, en el SEED ping 192.168.200.125, ver metasploitable-linux a los paquetes de envío redirigido a 192.168.200.2 (kali) en

  • SYN Flood ataque
    cliente SEED, metasploitable-Linux como servidor, kali para el atacante.
    1, introduzca el comando en la semilla telnet 192.168.200.125servidor de acceso

2, un comando de entrada en Kali netwox 76 -i 192.168.200.125 -p 23, es decir, el uso de la herramienta 76 netwox puerto número 23 es el servidor ataque SYN Flood

3, en el Wireshark abierto Kali, que se encuentra un gran número de paquetes enviados a 192.168.200.125

4, en la SEED introduciendo el comando telnet 192.168.200.125de nuevo para acceder al servidor, el acceso no se puede encontrar, lo que indica que el puerto del servidor se ha estrellado

  • TCP RST ataque
    cliente SEED, metasploitable-Linux como servidor, kali para el atacante.
    1, en la semilla Wireshark abierta, a continuación, introduzca un comando telnet 192.168.200.125para acceder al servidor

2, entre el mandato en Kali netwox 78 -i 192.168.200.125, lo que significa que el uso de la herramienta número 78 netwox para lograr TCP RST ataque contra el costado de babor del Servicio N ° 23

3, en la SEED introduciendo el comando telnet 192.168.200.125de nuevo para acceder al servidor y encontraron que la conexión se rompe

  • Secuestro de sesión TCP ataques
    cliente SEED, metasploitable-Linux como servidor, kali como el secuestro de sesiones del partido.
    1, la entrada de mando SEED telnet 192.168.200.125entrada metasploitable-Linux, Wireshark entonces abierto en los datos kali olfateando

2, en SEED metasploitable-linux del usuario fácilmente introducir comandos, tales como ls

3, y vistos con los datos del paquete kali escucha Wireshark se encuentran como dos paquetes, uno de L, es un s

3. Los problemas y las soluciones encontradas en el estudio

  • Pregunta 1: Ventana de semilla no se puede cubrir con el cliente, lo que lleva a comprobar la tabla de enrutamiento, las entradas son un desastre
  • Solución del Problema 1: Instalar VMware Tools, el sistema de escritorio se ajustará automáticamente a la pantalla actual. referencia http://ask.zol.com.cn/x/6772395.html
  • Pregunta 2: XXXXXX
  • Problema Solución 2: XXXXXX - ...

4. Resumen práctica

  Muchos contenidos de esta práctica, sobre todo la sensación de la última práctica de la práctica sesión TCP difícil, lo que sumado a Netwox esta herramienta cuenta con una buena y sólida, pero también tienen que seguir estudiando el uso de esta herramienta relevante.

material de referencia

Supongo que te gusta

Origin www.cnblogs.com/chengzhenghua/p/12613677.html
Recomendado
Clasificación
Diario
Más
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)

Code World

© 2018 codetd.com