源路由攻击
源路由机制
- 宽松源路由:允许数据包在到达指定节点前经过其他路由器。
- 严格源路由:数据包必须严格按照指定路径转发。
过程描述
- 发送者操作:发送者在IP头部包含一系列路由器IP地址。
- 路由器行为:
- 宽松模式:数据包在到达指定节点前可能经过其他路由器。
- 严格模式:数据包必须严格按照指定路径转发。
冒充信任IP地址
- 绕过防火墙:攻击者利用源路由选项绕过防火墙或其他安全设备。
- 冒充IP地址:攻击者可以冒充被信任的IP地址发动攻击。
实例
- 实例1:假设攻击者想要绕过某个企业的防火墙,可以通过设置源路由选项,让数据包先经过几个中继点,再到达目标网络。
- 实例2:攻击者冒充内部网络的可信IP地址,发送恶意数据包到服务器,从而获得更高的权限。
利用信任关系
- 命令种类:系统中存在一系列以'r'开头的命令(如rlogin、rexec)。
- 设计缺陷:这些命令在设计之初未充分考虑安全性,允许远程用户直接登录到另一台机器。
- 潜在风险:如果被滥用,这些命令可能成为攻击者进入系统的途径。
实例
- 实例1:攻击者利用rlogin命令,通过弱密码登录到内部网络的一台服务器,进而横向移动到其他重要系统。
- 实例2:使用rexec命令执行远程命令,攻击者可以安装木马程序或窃取敏感数据。
TCP会话劫持原理
结合嗅探与欺骗技术
- 监听网络流量:获取序列号等关键信息。
- 伪造数据包:欺骗接收端接受来自攻击者的伪造数据包。
序列号机制
- 保证数据包顺序:TCP协议使用序列号确保数据包按顺序送达。
- 预测序列号:攻击者通过监视TCP流来预测序列号,从而发送伪造的数据包。
寻找合适的攻击目标
- 猜测序列号:尝试预测TCP连接中的序列号,以伪造数据包。
- 使客户主机下线:发送错误的RST包使合法客户端断开连接,接管会话。
- 接管会话:成功插入后与服务器交互,取代合法客户端。
实例
- 实例1:攻击者通过监听网络流量,获取目标主机的TCP序列号,并发送伪造的数据包,接管会话。
- 实例2:攻击者发送错误的RST包,导致合法客户端断开连接,然后插入自己到TCP会话中,继续与服务器交互。
防范措施
防范源路由欺骗
- 关闭源路由功能:关闭路由器上的源路由功能。
- 禁止接收带源路由选项的数据包:在防火墙策略中禁止接收带有源路由选项的数据包。
防范信任关系欺骗
- 引入多因素认证:增强身份验证机制,如多因素认证。
防范会话劫持攻击
- 使用加密协议:使用TLS等加密协议保护数据传输。
- 实施严格的访问控制策略:定期更新系统补丁,修补已知漏洞。
- 用户教育:教育用户提高警惕,识别潜在威胁。
实例
- 实例1:企业部署TLS加密协议,保护内部网络通信,防止数据被窃听或篡改。
- 实例2:定期培训员工识别钓鱼邮件和其他潜在威胁,提高整体安全意识。
ARP攻击与防范
ARP数据包
- ARP请求包:用于请求网络层地址与物理层地址映射。
- ARP应答包:回应请求,提供地址映射信息。
ARP欺骗原理
- 改变MAC地址映射:攻击者通过ARP欺骗改变网络设备间的MAC地址映射。
- 中间人攻击:成为主机与网关间的“中间人”,监控或篡改通信数据。
防范ARP欺骗
- 使用静态ARP表:固定MAC地址与IP地址的映射关系。
- 定期清理ARP缓存:防止旧的映射信息被恶意利用。
- 部署入侵检测系统:实时监控网络流量,及时发现异常行为。
实例
- 实例1:攻击者向主机发送虚假的ARP响应,声称自己的MAC地址对应网关的IP地址,从而截获所有网络流量。
- 实例2:企业部署入侵检测系统,实时监测ARP表变化,及时发现并阻止ARP欺骗攻击。
电子邮件欺骗
实例
- 伪造发件人地址:攻击者伪造发件人地址发送钓鱼邮件,诱骗收件人泄露敏感信息。
防范
- 使用SPF、DKIM等技术:验证邮件的真实来源,减少电子邮件欺骗的成功率。
实例
- 实例1:攻击者发送伪造的银行通知邮件,诱使用户点击链接并输入银行账户信息。
- 实例2:企业部署SPF和DKIM技术,确保收到的邮件来自可信源,减少钓鱼邮件的影响。
DNS欺骗
工作原理
- 域名解析:DNS通过域名解析成IP地址支持互联网定位服务。
欺骗过程
- 操纵DNS响应:攻击者操纵DNS响应,返回指向其控制服务器的IP地址。
实例
- 实例1:攻击者篡改DNS记录,将用户的请求重定向到恶意网站。
- 实例2:攻击者利用DNS缓存中毒技术,长时间保持错误的IP地址映射。
Web欺骗
过程
- 创建假冒网站:模仿合法站点外观,诱使用户提供个人信息或下载恶意软件。
实例
- 实例1:攻击者创建假冒的银行登录页面,诱骗用户输入用户名和密码。
- 实例2:假冒购物网站,收集用户的信用卡信息,进行金融欺诈。
知识点间的关系梳理
源路由攻击与TCP会话劫持的关系
- 欺骗技术:源路由攻击与TCP会话劫持均涉及欺骗技术,但侧重点不同。
- 控制路径:源路由攻击主要利用IP数据包中的源路由选项来控制数据包的路径。
- 接管会话:TCP会话劫持侧重于接管现有的TCP连接,通过预测序列号来发送伪造的数据包。
ARP攻击与TCP会话劫持的关系
- 中间人攻击:ARP攻击常被用作TCP会话劫持的一个辅助手段。
- 篡改MAC地址:通过改变网络设备间的MAC地址映射,攻击者可以成为主机与网关之间的“中间人”。
- 更容易实施会话劫持:从而更容易地实施TCP会话劫持。
电子邮件欺骗、DNS欺骗与Web欺骗的关系
- 应用层攻击:这三种欺骗方式均属于应用层攻击。
- 利用信任:它们利用了用户对某些信息的信任来达到欺骗的目的。
- 具体形式:
- 电子邮件欺骗:伪造发件人地址发送钓鱼邮件。
- DNS欺骗:操纵DNS响应指向攻击者控制的服务器。
- Web欺骗:创建假冒网站模仿合法站点。
综合防范措施
虽然上述攻击各有特点,但综合防范措施可以有效减少被攻击的风险:
- 加强身份验证机制:如多因素认证。
- 使用加密技术:保护数据传输。
- 定期更新系统补丁:修补已知漏洞。
- 教育用户:提高警惕,识别潜在威胁。
- 实施访问控制策略:在网络层面实施访问控制策略。
- 使用防火墙策略:禁止接收带源路由选项的数据包。