20199103 2019-2020-2「ネットワーク攻撃と防御の練習、」仕事の5週目
1、練習内容
ネットワークセキュリティ属性と攻撃モード
ネットワークセキュリティ属性
- 機密性:情報は、使用する権限のない人が理解することはできません。
- 完全性:情報を任意に変更することはできません。
- 可用性:許可の人が使用することができます。
- 真正:ただのふりをすることはできません
- 否認防止:通信は、あなたが送信したメッセージを拒否することはできません。
ネットワーク攻撃モード
-
インターセプト:両側、守秘義務の違反との間の通信情報を取得します。
-
割り込み:通話が利用可能に違反して、継続することはできません。
-
改ざん:整合性に違反修正、。
-
偽:偽のアイデンティティ、真正性の違反インチ
-
中間者攻撃:インターセプト呼び出し,,とであることを主張するには、2つのコールAB、Cを仮定B、BのクレームはA.します。
ネットワークプロトコルスタックの欠陥
- ネットワークインタフェース層:イーサネットは、最も一般的に使用されるプロトコルです。プロトコルMACアドレスの検証の欠如は、ソフトウェアは、物理的なネットワークカードのMACアドレスを使用して変更することができます。
- 相互接続層:最も重要なプロトコルは、よく知られたIPv4、ICMP、ARPです。IPv4の場合、最大の欠点は、速達のように、送信元アドレスはIPv4の真正性を検証するだけでアドレス問題を記入することはありません。ARPは、IPアドレスとMACアドレスを一致させるために使用されているが、彼は確認するために、アドレス一致しなかった、私はうそになる可能性が他の人が、私はと考えていますが、XX.XX.XX.XXと述べました。ICMPは、このような攻撃を洪水のように、攻撃に悪用されることができます。
- トランスポート層:誰もが知っているように、これは主にTCPおよびUDPです。TCPセッションを確立した後偽造や、TCP RST練習の後ろなどスプーフィング攻撃に対して非常に脆弱です。シンプルなステートレスUDPトランスポートプロトコルとしては、あまり積極的なため、人気はUDPフラッド攻撃です。
- アプリケーション層:変化させ、アプリケーション層のプロトコル、および大部分はクリアテキストの送信は、監視詐欺、中間者攻撃の危険性があります(?)。
オリジナルメッセージ偽造
合意の完全な知識では、我々は合意に従ったパッケージが、直接、偽のメッセージを所有することはできません。自分のプログラミングに加えて、強力なnetwoxは、任意のTCP、UDP、IPパケットを構築することができ、達成することができます。
IP送信元アドレスのスプーフィング
原則
- 上記で触れたように、IPプロトコルは、送信元アドレスを認証しません。買うために他の誰かにデータを送信するために、独自のIPアドレスを偽造することができ、攻撃者はそう。
- 攻撃者は、偽のIPなかったので、通常の状況下では、攻撃者は、応答パケットを取得することはできません。しかし、このような偽のIPや自分自身のような特別な事情は、ローカル・エリア・ネットワークである、あなたは、ARPスプーフィングやリダイレクトを使用することができます。
- 彼は仕事する能力を失ったように、1、最初の攻撃ドローン:応答パケットを取得できず、盲目の攻撃があります。図2に示すように、ターゲットホストIP SYNパケットに目標航空機に送信され、宛先ホスト配列の推測リターンSYN / ACK(シリアルナンバー)3、及びその後の鍛造ACKパケット及びACK値は、シリアル番号プラスに設定されていますA。ACKパケットは、成功したヒットの確率を向上させるために多くのことを送信することができます。4は、リンクが確立され、ドローンは、ターゲットホストにメッセージを送信するふりを開始します。
注意事項
- 数字のランダムなシーケンスは、他の人が推測してみましょう。
- 暗号化されたデータパケットが送信されます。
- IPベースの信頼醸成措置の使用は避けてください。
- パケットフィルタリング
ARPスプーフィング
原則
- ARPの作品はそれらを繰り返すないでしょう。
- 持っているが、ARPは信憑性を検証しない、前に言った、私は彼が信じてどのようなあなたの許しを請います。
- Aは、IPアドレスを持っている人を知りたい場合は、アドレスはそれぞれ、Bです。通常の状況下での放送、唯一のBは応答しますが、攻撃者が彼のアドレスは、IPアドレス(いなかった)と言うC、と彼は言い続けました。AがCアドレスを所有している彼らのARPキャッシュを更新する、次回は再び求められることはありません。
注意事項
- キーは、静的MACとIPのマッピングを結合しました。
- 適切な予防ツールを使用してください。
- 損失を低減するために暗号化したデータ。
ICMPリダイレクト技術
原理:
- ICMP原理はそれらを繰り返すことはできません。
- IPスプーフィングIPアドレスに関連して、ゲートウェイを装った、攻撃者に伝え、新しいゲートウェイとして新しいIPと命名しました。
- 新しいIPルートの転送がオンになっている、あなたは中間者攻撃を開始することができます。
- 注:新しいIPがリダイレクトパケットを送信することとして、ルーティングので仲介を通るパスは、確かに最適ではないので、ゲートウェイは、攻撃者が戻ってそれを変更することができます。
予防
- 、ファイアウォールを設定するICMPがローカルルーティングからではないかを決定。
TCP RST攻撃
原則
- 位置1は、ホストはパケット意志直近TCPセッションを受け取ると、TCPプロトコルヘッダは、リセット・ビットを有します。
- 攻撃者は、早期IP、ポート番号、シリアル番号のように両者の間の通信を取得し、あなたは、どちらか一方IPの服を置くことができ、直接通信中断をもたらす、別のパーティにリセット情報を送信します。
- netwoxは、攻撃を実行することができます。
TCPセッションハイジャック攻撃
原則
- いくつかのTCPセッションを確立した後、ネットワークサービス、アプリケーション層認証が、一般的に第二の認証後に認定されることはありません。
- 現在、通常、ARPは、セッションハイジャックになりすましと組み合わせます。
- ドローン、およびAのポーズスタートコールサーバB、Cの攻撃機の後に、Bはメッセージに始まりました。
- これは嵐と一致しないACK ACK値を生成するので、BのAは、メッセージを継続します。
予防
- 静的予防ARPスプーフィングにIP-MACマッピングテーブルを結合します。
- 参考資料とフィルタICMPリダイレクトメッセージ。
サービス攻撃のTCP SYNフラッド拒否
原則
- ホストにSYNアドレスを大量に送信するために多くの偽のアドレス、ホストのリソースは、キューを消費していました。
- このとき、ホストはSYN / ACKを返信させていただきます、と返事を待ちますが、偽のアドレスが非アクティブとRSTに応答しませんで最もの、ホストは最終的に詰め、SYN / ACKを送信し続け、多くのセミオープンバックログキューすることができます。
注意事項
- SYN-クッキー、リソース割り当て情報を回避することは、連続する前に到達していません。
- 長い時間のためのIPは返信しないファイアウォールのアドレス状態監視、サーベイランスプログラムモニタは、彼が代理RSTに返信だろう、とIPはにプルアップ「ブラックリスト」。
検出、予防および強化
- ネットワークインタフェース層:主な防衛を盗聴検出されます。最適化ネットワーク構造;重要なゲートウェイとルートの良好な保護これは、リスニングポイントLANを検出することができます。
- 配線層:検出およびフィルタリングを検出し、ネットワーク内で発生する可能性がスプーフィング攻撃を防止するために様々な技術を使用することができます。
- トランスポート層:暗号化された伝送を実現することができ、セキュリティ制御。
- アプリケーション層:暗号化、デジタル署名、など
ネットワークセキュリティプロトコル
- ネットワークインタフェース層:最も一般的に使用される無線LAN、Bluetoothとその認証、暗号化、および他のトランスポートプロトコルを実現します。
- インターネットワーキング層:現在最も重要なプロトコルがIPv6にも適用され、IPsecプロトコルスイートで複雑な仕様を提供します。
- トランスポート層:トランスポート層セキュリティプロトコルは、主にTLSで、2つの安全機能があります:1、対称鍵暗号化アルゴリズムを使用して。2、整合性のチェックサムを計算するためにハッシュ関数を使用して信頼性の高いメッセージ。
- アプリケーション層:さまざまなニーズのために異なるメカニズムを持つアプリケーション層のセキュリティプロトコル機能。このような電子メール、HTTPのセキュリティなど。
2、練習
完全なTCP / IPプロトコルスタック、ARPキャッシュポイズニング攻撃、ICMPリダイレクト技術、SYNフラッド攻撃、TCP RST攻撃やTCPセッションハイジャック攻撃などの攻撃実験の焦点
ARPキャッシュポイズニング攻撃
-
ので、すべての最初に、実験的な狩り、netwoxを使用する必要性、
sudo apt-get install netwox和apt-get install hunt
-
まず、マックのドローンを見つけます
-
そして、私が使用して
netwox 33 -b MAC(A) -g IP(伪) -h MAC(A) -i IP(A)
ここにMACを()、MAC、IP(擬似)のドローンがあるあなたがふりしたいIPです
-
それから私はドローンを見に行った
arp -a
、正常秒を装った、詐欺の前に初めて、ここで二回のarp -aをグラフ192.168.154.130
。あなたがチェックするためにMACマシンのニーズを知っていない場合は、この攻撃に先立ち、私は、このステップのスクリーンショット(忘れる)を確認します。
ICMPリダイレクト攻撃
-
教科書の例によれば
netwox 86 -f "host IP1" -g IP2 -i IP3(网关)
、パケットの送信元または宛先IPアドレススニフに意味デフォルトルートとして彼IP2を聞かせて、それはIP3の送信元アドレスの名前であり、IP1をしているICMPリダイレクトメッセージを送信します。 -
まず、最初にルーティングテーブルのドローンをチェックする必要があります
-
次に、コマンドを実行します。
-
後だけで何ページを訪問して、ルーティングテーブルを開きます
-
あなたは、変更内容を見ることができ
192.168.254.128
、それは、ルーティングテーブルに表示されます。
SYNフラッド攻撃
-
コマンドよる
netwox 76 -i IP -port
IP IPを攻撃したい、ポートはポートです。私は23個のポートを攻撃したように、telnetポートは、23です。 -
私はドローン攻撃シードを行う理由を、知っていないし、次にXP
telnet 192.168.254.131
の接続の種子を、何も起こらない、または種子は非常に強力な処理能力があるかもしれないので、接続することができますか?だから私は、その後、シードmetasploitableと接続され、1攻撃metasploitableを変更し、彼は成功しました。 -
第一シード缶telnet接続と3 metasploitableを試してみます
-
それは、その後、metasploitable攻撃することができます
-
その後、シードのtelnet接続metasploitableした後、非常に無反応中。
-
私は餃子が背中を反映している食べに出かけます。
-
成功。
TCP RST攻撃
-
netwox 78-i 靶机ip
、自分の目標を達成することができるだろう。またはTelnet接続を確立し、その後、攻撃する、の前に。
-
私は前に閉鎖されたアカウントを入力していません。。。
-
成功
TCPセッションハイジャック
-
この実験は、非常に面倒で狩りがリンクを検出していないでありますが、私の2つのドローンのtelnetリンクが確立されています。
-
私は、IP転送をオンにしていないためであるオンライン情報。
-
あなたはそれが開いて見ることができます。
-
ニーズがARPスプーフィングを達成するためにすべきとの情報がありますが、私は2つのドローンの詐欺を行って、または以下のようにしています
-
それは常にされている
connecting are available
私は再び更新する解決策を知っているので、ケースであるので、この一時停止状態のように私にはない、と。
3、研究で遭遇する困難
- 質問1:wiresharkのは、特定されていても効果がないことにするTCP SYNフラッド攻撃の種子は、SYNパケットを送りました
- 問題1ソリューション:ドローンmetasploitableを交換してください
4、練習の概要
全体的に、一部のジョブ前よりも簡単の実践は、特にトラブルに遭遇していません。しかし、狩りはまだ解決されていない接続をキャッチしていません。