20199125 2019-2020-2「ネットワーク攻撃と防御の練習、」仕事の5週目

その他 2020-03-29 13:02:11 訪問数: null

ディレクトリ

I.概要

ジョブがどのコースに属し ネットワーク攻撃と防御の練習
運用要件 TCP / IPネットワークプロトコル攻撃
ゲイン こうしたサイバー攻撃など、ARP、ICMP、TCPおよびUDPプロトコルを使用する方法については、IPSecの技術を学んだの明確な理解を持って、そしてどのようにサイバー攻撃のこのタイプのを防ぐために

II。カーディング知識が今週のポイント

1.OSI 7層モデルとTCP / IPの4層モデルの比較

2.TCPスリーウェイハンドシェイクプロトコル

(1)まず、クライアントはその中で、サーバーにいくつかのTCPパケットを送信します。

  • 旗は、「新しい接続を確立するための要求」を示す、SYNです。
  • シリアル番号SEQ = X(Xは、典型的には1です)。
  • その後、クライアントはSYN-SENT段階に入ります。

(2)サーバはクライアントからのTCPパケットを受信した後、最後はステージLISTEN。そしてこれは、TCPパケットの期間に戻ります。

  • フラグSYNとACKである、それは「確認が有効なクライアントパケットシーケンス番号の配列は、サーバが正常にクライアントから送信されたデータを受信し、新しい接続を作成することに合意したことを」(、サーバーが接続要求を受けたクライアントに伝えるために、である)、と述べました。
  • シリアル番号SEQ = Y。
  • 特許肯定応答ACK = X + 1、それは、ACKの数のその確認値として受信されたシーケンス番号seqとクライアント値プラス1を表し;そして、サーバはSYN-RCVD段階に入ります。

(3)クライアントは、サーバ側のTCPから肯定応答を受信し、データパケットを受信した後、クライアントからサーバへの明確なデータ伝送は、SYN-SENT段の端正常です。そして、TCPパケットの最後の段落に戻ります。どこで:

  • フラグは、「肯定応答信号接続の受信を確認するためにサーバ」を示すACKです。
  • シーケンス番号SEQ = X + 1、確認応答番号がシーケンス番号値として​​Ackをサーバ、およびその値を受信表します。
  • 特許肯定応答ACK = Y + 1、それらのAck確認応答番号の値として、受信したシーケンス番号seqサーバを表し、その値に1を加え、
    次いでESTABLISHEDクライアントを入力し、サーバは、クライアント、サーバから受領の」確認応答を受信しなければなりませんデータの後に、「TCPパケット、サーバからクライアントへの通常のデータ伝送を定義しました。確立された段階にSYN-SENTステージの終わり、。

ネットワークセキュリティの3三つの基本的な属性

機密性:データは暗号化のための暗号化アルゴリズムを使用して、不正使用からエンティティを指します。
可用性:必要性は通常のアクセスとアクセスに必要な情報やサービスを提供できるようにするときに、データが、荒らしではないことを意味します。
完全性:データの整合性の認証を確実にするために変更することを許可されていないデータを、通常のデジタル署名とダイジェストアルゴリズムを指します。

ネットワーク攻撃の4基本モデル

主にそれはすなわち、4つのモデルが含まれています傍受、妨害、改ざんや偽造を。

これは、ARPスプーフィングやリダイレクション攻撃はいずれかのICMP傍受することができ、(マシンが割り込み攻撃に、往路IPオープン攻撃でない場合)、中断攻撃することができます。
SYNフラッド、UDPフラッド攻撃やその他のサービスが中断されています。

三、TCP / IPネットワークプロトコル攻撃の練習

1.ARPスプーフィング攻撃

原則:
ARPプロトコルはIPプロトコルアドレスがARPスプーフィング攻撃は脆弱性のホスト動的キャッシュIP-MACマッピングテーブルを活用達成するための物理的なネットワークカードのMACアドレスにマッピングされているが、このドローンにドローンのIPアドレスを偽造します彼らの他のホストを送信するためのIPアドレスとMACアドレスの他のホストがMAC攻撃機にIPアドレスのドローンをマッピングするために自分のIP-MACマッピングテーブルを更新するように偽のARPデータを頻繁に、その後、元のターゲットドローンのIPに送られ、他のホストパケットが攻撃機に送信されます。ARPの欺瞞的な実施形態を使用して、両方の中間者攻撃の脆弱性の非対称情報を利用して、ホストAとホストBは、通常、IPを使用してC A Bに対して攻撃航空機のARP送信偽情報を通信することを前提とし、その更新IP-MAC AマッピングテーブルBそう攻撃者C、同一のトークンを用いて攻撃者CのMACアドレスにマッピングされたIPは、BにIPがARP欺瞞、その結果、B更新IP-MACマッピングテーブルであり、IPマッピングは、攻撃者CののMACアドレスです。こうしてA及びBは、直接接続ブローカを確立し、AとBとの間のすべてのトラフィックは、Cを経由して転送されなければなりません
実用的な操作:

  • コンフィギュレーション
  • 最初の攻撃機IPルート転送を開くには、またはARPの攻撃を開始するとき、ネットワーク攻撃から外れARPである携帯電話網を、オフにつながる、値は、1に設定されているip_forwardオープンIPは、エコー1を経由して転送、セットをルーティングしていることゼロにシステムの再起動や復帰後にのみ有効。
  • コマンドarpspoof使用:arpspoof -i [カード] -t [ドローンIP]ドローン攻撃、偽造身元ゲートウェイ、確立とドローンの間のゲートウェイを欺くために偽の情報を送信し、[LANのゲートウェイIP]、ARPストップ仲介。
  • 画像はWebページ上のドローンブラウズをキャプチャされる、実行流し網-i [攻撃機カード]、ドローンのトラフィック監視をするツールを使用して、別の端末のUbuntu、インストールツールの流し網を開きます(サイトがHTTPSプロトコルを使用することはできませんキャプチャ)
  • コマンドettercapのを使用して、他の端末を開きますettercap –Tq –i ens33アクセスドローンを使用して、コマンドを実行スニッフィング、この時間(T開始が盗聴を示し、qはすなわち、データストリームをスニッフィング表示されていない、-iは、ネットワークインターフェースを選択表し、クワイエットモードを表します)ウェブサイトのhttpプロトコル、アカウントのログイン操作を実行するには、アカウントとパスワードのプレーンテキストの送信に盗聴されます。
  • 攻撃機偽造身元ゲートウェイ無人偵察機へのデータパケットの解析、仮想マシンは、無人偵察機は、独自のMACアドレスのため、実際のIP IPゲートウェイにMAC虚偽の情報を送りました。
  • 分析ドローン最初ドローン攻撃機、ゲートウェイに転送攻撃機にトラフィックを送信するために、ルータやゲートウェイドローンとの間の関係を確立するネットワーク通信パケット、仲介攻撃機の外に一度。


    注意事項:
  • ゲートウェイとホストは、スタティックIP-MACマッピングテーブルを設定します
  • 仲裁ARPスプーフィング予防モデルベースの
    ARPでモデルの後には、ファイアウォール、ゲートウェイは、デバイスと直列に接続され、LANのユーザトラフィックは、ゲートウェイに入る前に、ネットワーク機器の後に通過します、そしてデータは、このゲートウェイファイアウォールデバイスを通過しますユーザーへの送信。図に示すように、概略図に対応します。

2.ICMPリダイレクション攻撃

原則:
ICMPリダイレクトメッセージルータはホストがICMPリダイレクトメッセージを受信したとき、それはこの情報に基づいてルーティングテーブルを更新することになるホストにリアルタイムでルーティング情報を提供しています。原因ハッカーがそのルーティングテーブルを変更するホストを攻撃しようとする場合に必要な検査の正当性の欠如のため、ハッカーは、ルーティングテーブルの変更するためにハッカーによって必要とされるホストを聞かせて、ホストの攻撃にICMPリダイレクトメッセージを送信する
ICMP重量を標的型攻撃ホストのルーティングテーブルを変更するには、ICMPリダイレクトルーティングパケットの使用であり、攻撃者は、データパケットが攻撃を転送するために、ターゲットホストに送信されるように、ルータとして自分自身を偽装するために、ターゲットホストにリダイレクトメッセージを送信します。
実用的な操作:

  • まず攻撃機も、上記のように道を開くために、ネット、認知攻撃オフターゲットを攻撃する機会をICMPリダイレクトそうでない場合は、転送をIPルーティング開く必要があります。
  • 86のツールの使用netwox、コマンドを実行します。netwox 86「ホスト[ドローンIP]」-g [攻撃者IP] -i [ルータIP] -f、-fスクリーニング規則を表し、-g新しいゲートウェイアドレスが言った、-i元のゲートウェイを表し、アドレス。攻撃者はICMPリダイレクトドローンに情報を送信し、ドローンのルーティングテーブルを変更し、ドローンは、ルータのIPに対応するために設定されていることをこのディレクティブの手段。
  • 他のホストとターゲットホストの通信の流れを遮断する:、唯一の目的は、ICMPリダイレクト攻撃又は使用ARP中間者攻撃を使用してかどうか。だから、同じ使用することができettercap -Tq -i ens33、トラフィックの転送にプレーンテキストでスニフパスワードにコマンドを。
  • Wiresharkのキャプチャデータフロー解析、トラフィックのドローンとのネットワーク通信の外に見ることができるマシン上の最初の攻撃に転送した後、実際のルータに攻撃マシンによって転送されます。

    注意事項:
    ICMPパケットの一部のタイプに基づいてフィルタリングを、ローカルルータからICMPリダイレクトパケットのセットファイアウォールフィルタは、さらに処理するかどうかを決定します。

3.TCP RST攻撃

原理:
TCPはRST攻撃はTCPリセットパケット攻撃、通常偽造干渉を接続するTCP技術の方法を鍛造と呼ばれています。「RST」のTCPヘッダ内のフラグを使用して、パケットフラグの大部分は0に設定され、データパケットの場合RST、フラグが1で、ホストを受信するパケットはTCPを切断します接続。ホストA及びBは、通常のTCP通信は、攻撃者が攻撃者AがBに偽送信する場合、AとBとの間の情報の通信、監視することが想定されるRST1つのパケットに設定されるフラグを、データパケットがBの後に受信されます検査、ことを見出しRSTフラグ1が接続され、切断、およびA。
実用的な操作:

  • 攻撃の米国特許第78 netwox使用ツール、コマンド実行netwox 78 -i [靶机ip]ドローンTCP RST攻撃にあった、ドローンにつながるすべてのTCP接続を切断します。
  • コマンドを実行した後、結果がブラウザからのフィードバックがあるアクセスすることができない、オープンWiresharkのパケットキャプチャ解析を実施し、任意のサイトのドローンを訪問するブラウザを開きERR_CONNECTION_RESET、TCP接続がリセットされていること。
  • これは、ことは注目に値する、私はTCP RST攻撃の実施後、攻撃機のssh接続でドローンを使用した、ドローン意志も攻撃機で切断SSH接続。
  • 分析Wiresharkのパケット、TCP RST攻撃の実施形態では、前記TCP接続データドローン上のサーバへのバック割り込みに示すようにアクセスサーバは、中断されたドローンRSTフラグビットが1です。

    注意事項:
    フィルタリングするファイアウォールを展開RSTフラグが1つのパケットです。

4.TCPセッションハイジャック

原則:
いわゆるセッションは、2つのホスト間の通信です。たとえば、あなたのTelnet Telnetセッションでホストに、あなたはHTTPセッションでサイトを訪問。セッションハイジャック(セッションハイジャック)は、盗聴や攻撃欺瞞技術の組み合わせです。例えば、通常のセッションの中で、彼は通常のデータパケット内の悪意のあるデータを挿入することができた第三者として関与、攻撃者は、また、それらの両方の簡単なセッションで聞くことができる、あるいは会話を引き継ぐためにパーティのホストに置き換えられます。私たちの攻撃をハイジャックセッション2種類に分けることができます。MITM略し1)中間者攻撃(マンでザ・中東、)、2)インジェクション攻撃(インジェクション)やセッションハイジャック攻撃は、2つの形式に分けることができます:1)次に、組立ラインオフ「キック」のうち、ホスト不正行為をハイジャックアクティブなセッション、および攻撃によって、受動的ハイジャック、2)アクティブハイジャック、パッシブハイジャックが機密データへのアクセスのペア、セッション・データ・ストリームの両方を監視するためにバックグラウンドで実際に誰置き換えると会話を引き継ぎます。
実用的な操作:

  • 私は狩り-1.5ツールのTCPセッションハイジャックを使用していたが、ハント1.5をインストールした後、まだ解決されるように、失敗に終わったローカルエリアネットワーク内の任意のネットワーク接続をキャッチしていない、カードを認識しないことハント1.5を発見しました。
  • コマンドを実行した後は接続を示さなかった

    注意事項を:
  • あるいは交換ネットワーク共有ネットワーク。
  • 通信はSSH Telnetを使用して暗号化し、代わりにSSL HTTPを使用して、またはIPSec / VPNを使用することにより、
  • ACKパケットネットワークの大多数に見られるような監視ネットワークトラフィックは、表示され、セッションハイジャック攻撃にあっ施されていてもよいです。
  • スプーフィングARPを防ぎます。

5.SYNフラッド攻撃

原則:
SYN Flood攻撃、不良のTCP 3ウェイハンドシェイクプロトコルの使用は、攻撃者がTCP SYNパケットの偽造ソースアドレスを大量に送信し、ターゲットホストがターゲットホストに必要なリソースを割り当て、その後、送信元アドレスにSYN + ACKパケットを返し、ソースを待ちますACKパケットが返されます。送信元アドレスが偽造されているので、ソースはACKパケットを返すことはありませんホストは、一般的なデフォルト重みタイムアウトメカニズムを持ちながら、被害者のホストは、ポートにSYN + ACKパケット、および半接続キューのバックログを送信し続けパスの数が、半分の接続ポートキューの長さは常にターゲットホストへのTCP SYNパケットを大量に送信した場合、制限され、半接続キューはすぐにサーバーをいっぱいになりますが、新しい接続を拒否し、それがポートにつながります他のマシンは、被害者のホストリソースの枯渇に最終的には、接続要求に応答し、することはできません。
実用的な操作:

  • win7のドローンの攻撃を開始するために、仮想マシンのLinuxマシンを使用しSYN Floodた攻撃、ドローンのIPアドレスを192.168.2.60
  • コマンドを実行し、ツール76回の攻撃をnetwox使用します。netwox 76 -i "[ドローンIP]" -p [ポート番号]。ここで私は、ポート23のtelnet接続に対して立ち上げSYN Floodた攻撃。
  • 同時に、ドローンのwiresharkキャプチャ解析で開いて、あなたは攻撃はドローンに送られた偽のIPを多数送信見ることができSYN、接続要求は、これらの偽の接続は一切MACアドレス、攻撃者のいないトレーサブル正体を要求しません。

    注意事項:
  • 最適化システム構成:短いタイムアウト時間、不要なサービスを閉じ、半接続キューの長さを増加させます。
  • 最適化ルータの設定:設定内側と外側のNICルータ。
  • インフラの改善:メカニズムをチェックする送信元IPアドレスを増やします。
  • ファイアウォールを使用します半透明のゲートウェイ技術を、ファイアウォールは効果的にSYNフラッド攻撃を防ぐことができます。
  • プロアクティブモニタリング:モニターTCP / IPトラフィック、通信制御情報の収集、分析のステータス、攻撃を識別します。

第四に、困難な問題

ハントネットワークの乗っ取りツールは、それがインターセプトドローンの平文パスワードに他のツールを使用することができるにもかかわらず、LAN接続カード情報を聞くことを得るが、インジェクション攻撃や達成することは困難を改ざんしたいことはできません。

おすすめ

転載: www.cnblogs.com/jackpan-blog/p/12589158.html
おすすめ
ランキング
1028リストの並べ替え(25分)
pom.xml ファイルがアイデアによって認識されません
単一テーブルのデータのSQLクエリ組み合わせ(C)
gitのinitとgitの初期化-bare違いやソースファイルなしで問題を解決するには、WWWで見ることができません
BULLETエンジンスターター - コンパイル(cmakeのとPreMake)
vue-crossドメインの問題
ThingsBoard フロントエンド プロジェクトの組み込みコンポーネント開発
単元の学習過程での難しい問題とその解決策 -----(1)
MongoDBのデータは、クライアントで表示することができますが、作業はコマンドラインでlinuxでありません
How to check your PYTHONPATH environment variable
アーカイブ
もっと
2024-06-02(0)
2024-06-01(1)
2024-05-31(1)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)
2024-05-24(11)

コードワールド

© 2018 codetd.com