20199103 2019-2020-2 « la pratique d'attaque et de défense réseau, » la cinquième semaine de travail

Others 2020-03-29 17:11:43 views: null

20199103 2019-2020-2 « la pratique d'attaque et de défense réseau, » la cinquième semaine de travail

1, le contenu de la pratique

attributs de sécurité réseau et le mode d'attaque

attributs de sécurité réseau

  • Confidentialité: L'information ne peut être compris par des personnes non autorisées à utiliser.
  • Intégrité: L'information ne peut être arbitrairement changé.
  • Disponibilité: les personnes autorisées peuvent utiliser.
  • Authenticité: ne peut pas juste faire semblant d'être
  • La non-répudiation: la communication ne peut pas refuser les messages que vous avez envoyés.

Réseau mode d'attaque

  • Interception: acquisition d'informations de communication entre les deux parties, violation de la confidentialité.

  • Interrompre: l'appel ne peut pas continuer, en violation de disponibilité.

  • Falsification: modification, qui porte atteinte à l'intégrité.

  • Faux: fausse identité, en violation de l'authenticité.

  • Moyen attaques: Supposons un appel AB, C pour deux aux appels d'interception ,, et les revendications A à être B, les demandes de B à A. être.

les défauts de la pile de protocoles de réseau

  • Réseau couche d'interface: Ethernet est un protocole le plus couramment utilisé. Cette absence de vérification de l'adresse MAC du protocole, peut être modifié le logiciel en utilisant la carte réseau physique adresse MAC.
  • couches d'interconnexion: le plus important protocole est bien connu ipv4, icmp, arp. Pour ipv4, le plus grand inconvénient est de ne pas vérifier l'authenticité de l'adresse IPv4 source, comme le courrier express, il suffit de remplir la question d'adresse. arp est utilisé pour correspondre à l'adresse IP et l'adresse MAC, mais il n'a pas d'adresse correspondant à vérifier, je l'ai dit que j'étais xx.xx.xx.xx, d'autres croient que je suis, même si je pouvais mentirais. icmp peut être abusé pour attaquer, comme l'attaque des inondations.
  • Transport Layer: comme tout le monde le sait, cela est principalement TCP et UDP. Après avoir établi la session TCP est très vulnérable à la falsification et les attaques spoofing, comme TCP RST pratique derrière. En tant que simple protocole de transport UDP sans état, moins agressif, populaires sont les attaques flood UDP.
  • Couche d'application: protocole de couche d'application varie, et la transmission de texte clair la plupart du temps, il y a une surveillance, la fraude, le risque d'attaque moyenne (?).

faux message d'origine

En pleine connaissance de l'accord, nous ne pouvons pas être emballés conformément à l'accord, mais directement propriétaires d'un message faux. En plus de leur propre programmation peut être réalisée, netwox puissant peut construire tous les paquets tcp, udp, ip.

l'usurpation d'adresse IP source

principe

  • Comme mentionné ci-dessus, le protocole IP n'authentifie pas l'adresse source. Ainsi, un attaquant peut forger sa propre adresse IP pour envoyer des données à quelqu'un d'autre à acheter.
  • Dans des circonstances normales, un attaquant ne peut pas obtenir le paquet de réponse, parce que l'attaquant n'a pas fausse adresse IP. Mais il y a des circonstances particulières, telles que faux IP et lui-même dans un réseau local, vous pouvez utiliser arp usurper ou de rediriger.
  • Sans être en mesure d'obtenir le paquet de réponse, il y a une attaque aveugle: 1, la première attaque d'un drone, de sorte qu'il a perdu la capacité de travailler. 2, est transmise à l'aéronef cible de l'hôte cible paquet IP SYN, et l'hôte de destination retour de conjecture de SEQ SYN / ACK (le numéro de série) 3, puis forgé paquet ACK et la valeur d'accusé de réception est réglé sur le numéro de série ainsi que a. paquet ACK peut envoyer beaucoup pour améliorer la probabilité de succès avec succès. 4, la liaison est établie, commencez drone feignant envoie un message à l'hôte cible.

précautions

  • séquence aléatoire de nombres, que d'autres deviner.
  • paquet de données brouillées transmises.
  • Évitez l'utilisation de mesures de confiance IP.
  • le filtrage de paquets

ARP spoofing

principe

  • travaux ARP ne les répéter.
  • Ont dit avant, ARP ne vérifie pas l'authenticité, je vous demande pardon ce qu'il croyait.
  • Si A veut savoir qui a une adresse IP, l'adresse est B, respectivement. Une émission dans des circonstances normales, que B répondra, mais l'attaquant C dire son adresse est l'adresse IP (avait pas), et il ne cessait de répéter. A mettra alors à jour son cache ARP qui possède l'adresse C, la prochaine fois ne sera pas demandé à nouveau.

précautions

  • La cartographie clé lié statiquement IP avec le MAC.
  • Utiliser l'outil de prévention approprié.
  • Chiffrer les données pour réduire les pertes.

techniques de redirection ICMP

principe:

  • principe ICMP ne peut pas les répéter.
  • En collaboration avec des adresses IP usurpation d'adresse IP, ce qui pose comme la passerelle, dire l'attaquant, a été désigné la nouvelle adresse IP comme la nouvelle passerelle.
  • La nouvelle expédition de route IP est activée, vous pouvez commencer à attaquer moyenne.
  • Remarque: Le chemin à travers l'intermédiaire est certainement pas optimale, de sorte que la nouvelle adresse IP de routage possible d'envoyer un paquet de redirection, la passerelle permettra à l'attaquant de le changer en arrière.

prévention

  • Mettre en place un pare-feu, déterminer ICMP est pas du routage local.

attaque TCP RST

principe

  • tête de protocole TCP a un bit de remise à zéro, une fois la position 1, l'hôte reçoit le paquet clôturons immédiatement la session TCP.
  • L'attaquant acquiert la communication entre les deux parties dès que IP, numéro de port, le numéro de série, vous pouvez mettre l'un IP vêtements, envoyer des informations remis à une autre partie, ce qui entraîne une interruption de la communication directe.
  • netwox peut mener à bien l'attaque.

attaques de piratage de session TCP

principe

  • Certains services réseau après l'établissement d'une session TCP, l'authentification de la couche d'application, mais en général ne seront pas certifiés après la deuxième certification.
  • À l'heure actuelle généralement combiné avec ARP spoofing pour détournement de session.
  • Un drone, et après le serveur d'appel de démarrage B, C avion d'attaque posant A, B a commencé à message.
  • Cependant, A à B continuera message, car cela va générer la valeur ACK ACK ne correspond pas à la tempête.

prévention

  • liaison statique table de mappage IP-MAC pour l'usurpation d'identité ARP Prevent.
  • Références et filtrer les messages de redirection ICMP.

TCP SYN Flood refus de service

principe

  • Beaucoup adresse fausse d'envoyer un grand nombre d'adresses SYN à l'hôte, consommé les ressources de l'hôte file d'attente.
  • A ce moment, l'hôte répondra SYN / ACK, et attend une réponse, mais la plupart de l'adresse faux est inactif et ne répond pas à la TVD, l'hôte peut continuer à envoyer SYN / ACK, et beaucoup file d'attente de backlog semi-ouvert, éventuellement emballé.

précautions

  • SYN cookie, évitant ainsi les informations d'allocation des ressources ne sont pas atteinte avant continue.
  • Adresse pare-feu surveillance de l'état, les moniteurs du programme de surveillance lorsqu'un IP depuis longtemps de ne pas répondre, il répondait à un RST proxy et l'IP tiré vers le haut à la « liste noire ».

La détection, la prévention et le renforcement

  • couche d'interface réseau: Le principal moyen de défense consiste à détecter reniflement. Il peut détecter le point d'écoute LAN, d'optimiser la structure du réseau, une bonne protection des passerelles et des voies critiques.
  • couche d'interconnexion: la détection et le filtrage peut employer diverses techniques pour détecter et empêcher les attaques usurpation qui peuvent se produire dans le réseau.
  • Transport Layer: transmission cryptée peut être atteint et le contrôle de la sécurité.
  • Couche d'application: le chiffrement, les signatures numériques, etc.

protocole de sécurité réseau

  • Couche Interface réseau: WIFI le plus couramment utilisé, Bluetooth et ainsi obtenir l'authentification, le cryptage et d'autres protocoles de transport.
  • Internetworking couche: actuellement le plus important protocole est suite de protocoles IPsec, fournit une spécification complexe, applique également à IPv6.
  • Transport Layer: couche de transport protocole de sécurité TLS est principalement, il y a deux caractéristiques de sécurité: 1, en utilisant un algorithme de chiffrement à clé symétrique. 2, un message fiable en utilisant une fonction de hachage pour calculer la somme de contrôle d'intégrité.
  • Couche d'application: application Couche fonctionnalités du protocole de sécurité qui ont différents mécanismes pour différents besoins. Tels que le courrier électronique, la sécurité HTTP.

2, la pratique

Complète pile de protocole TCP / IP, la mise au point des expériences d'attaque, y compris le cache ARP attaque d'empoisonnement, la technologie de redirection ICMP, les attaques SYN Flood, les attaques TCP RST et les attaques de piratage de session TCP

Les attaques par empoisonnement du cache ARP

  • Tout d'abord, la nécessité d'utiliser la chasse expérimentale, netwox, doncsudo apt-get install netwox和apt-get install hunt

  • Tout d'abord, trouver le drone de mac

  • Puis - je utiliser netwox 33 -b MAC(A) -g IP(伪) -h MAC(A) -i IP(A)Mac ici (a) est un drone de mac, ip (pseudo) est l'adresse IP que vous voulez faire semblant

  • Ensuite , je suis allé voir le drone arp -a, tracer ici deux fois -a arp, pour la première fois avant que la fraude, ce qui pose avec succès comme le second 192.168.154.130. Avant cette attaque si vous ne connaissez pas les besoins de la machine MAC pour vérifier, je vérifie cette étape Capture d' écran (oublié).

attaque redirect icmp

  • Selon l'exemple de manuel netwox 86 -f "host IP1" -g IP2 -i IP3(网关)destiné à renifler les adresses IP source de paquets ou de destination sont IP1, alors il est au nom de l'adresse source de IP3 envoyer un message de redirection ICMP, qu'il IP2 comme la route par défaut.

  • Tout d'abord, vous devez d'abord vérifier le drone de table de routage

  • Ensuite, exécutez la commande

  • Après seulement visité quelle page, puis ouvrez la table de routage

  • Vous pouvez voir les changements, 192.168.254.128il apparaît dans la table de routage.

Les attaques SYN Flood

  • commande Selon netwox 76 -i IP -portveulent IP IP pour attaquer, le port est le port. port telnet est 23, donc j'Attacquées 23 ports.

  • Je ne sais pas pourquoi, je fais des semences d'attaque de drone, puis xp telnet 192.168.254.131connexions semence, rien ne se passe, ou peut être connecté, peut - être parce que la graine est très forte puissance de traitement? Donc , je l' ai changé d' une attaque metasploitable, puis relié à la metasploitable de semences, il a réussi.

  • Tout d'abord pour essayer de graines connexion telnet peut et trois metasploitable

  • Il peut, puis attaquer metasploitable

  • Après la connexion telnet puis de graines metasploitable, un certain temps sans réaction.

  • Je sors de manger des boulettes ont réfléchi.

  • Le succès.

attaque TCP RST

  • netwox 78-i 靶机ip, Sera en mesure d'atteindre leurs objectifs. Ou avant, pour établir une connexion telnet, puis attaquer.

  • Je n'ai pas encore entrer dans le compte a été fermé avant. . .

  • succès

TCP session hijacking

  • Cette expérience a une très gênant est la chasse n'a pas détecté un lien, mais mes deux lien telnet drone a été mis en place.

  • L'information en ligne qui est parce que je ne tourne pas sur la transmission IP.

  • Vous pouvez le voir est ouvert.

  • Il y a des informations qui doit être d'atteindre ARP spoofing, je l'ai réalisé deux tromperie de drone, ou comme suit

  • Il a toujours été connecting are available, et je ne sais pas comme est le cas, cette suspens, donc je sais une solution de mise à jour à nouveau.

3, les difficultés rencontrées dans l'étude

  • Question 1: La semence de TCP SYN Flood attaque inefficace, même si Wireshark a identifié envoyer des paquets ne syn
  • Problème 1 Solution: Remplacer le drone metasploitable

4, pratique résumé

Dans l'ensemble, la pratique de certains emplois plus simples qu'auparavant, en particulier la difficulté ne se rencontre pas. Cependant la chasse n'attraper la connexion toujours pas été résolue.

Je suppose que tu aimes

Origine www.cnblogs.com/maomutang/p/12592705.html
conseillé
Classement
du quotidien
Plus
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(2)
2024-06-03(0)
2024-06-02(1)
2024-06-01(0)

Code World

© 2018 codetd.com