电子欺骗(00001)课件.ppt

《电子欺骗(00001)课件.ppt》由会员分享，可在线阅读，更多相关《电子欺骗(00001)课件.ppt（39页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、电子欺骗电子欺骗电子欺骗技术是一种利用目标网络的信任关系，即计算机之间的相互信任关系来获取计算机系统非授权访问的一种方法。如IP地址电子欺骗，就是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。入侵者不用输入用户帐号和口令，就可以侵入目标。IP电子欺骗IP电子欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。常见的攻击过程让被替代的机器A休眠发现目标机器B的序列号规律冒充机器A向机器B发出请求，算出机器应该发来什么序列号，给出机器B想要的回应。关于1994年凯文米特尼克的IP欺骗记录，大致过程如下：1.首先使被信任主机的网络暂时瘫痪，以免对攻

2、击造成干扰。2.然后连接到目标机的某个端口来猜测ISN基值和增加规律！（重点！难点！）3.接下来把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接。4.然后等待目标机发送SYN+ACK包给已经瘫痪的主机，因为你现在看不到这个包。5.最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1。6.连接建立，发送命令请求。7.擦屁股、开后门、下网、关机、睡觉。zzzZZZzzz 这个场景中有一个的条件是rlogin的地址信任关系，也就是说符合信任关系的IP地址进行登录是不需要密码验证的。这个过程现在我们看起来难免会问4和5中目标机返回的数据包是如何到达攻击

3、者机器的？因为在我们现在的 网络中攻击者伪造成信任者发送给被攻击者后，被攻击者返回的响应包IP是指向信任者的，即使信任者已经 IP欺骗信任关系IP欺骗实际对信任关系破坏。信任关系：假设两台主机A和B，各有一个帐户Tomy，Tomy在登陆A和B时要分别输入Tomy，因为主机A和B把Tomy当做两个互不相关的用户，这显然不便使用。为了减少这种不便，可以在主机A和B中建立起两个帐户的相互信任关系。6何路 实现方法：在A和B上Tomy的home目录中创建.rhosts文件。从主机A上，在你的home目录中用命令echo“B Tomy”/.hosts实现A&B的信任关系，这时，你从主机B上，你就能毫无阻

4、碍的使用任何以r开头的远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到A上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。这里的信任关系是基于IP的地址的。实现原理：既然A和B之间的信任关系是基于IP址而建立起来的，那么假如能够冒充B的IP，就可以使用rlogin登录到A，而不需任何口令验证。这就是IP欺骗的最根本的理论依据。7何路 IP欺骗的难点使被冒充主机无法产生响应。l开始时，无法接收到目标主机的数据报文。开始时，无法接收到目标主机的数据报文。所以所有操作都是盲操作。所以所有操作都是盲操作。l不知道发送出去的数据是否被目标主

5、机不知道发送出去的数据是否被目标主机接受，也不知道它的响应。接受，也不知道它的响应。l猜出正确的目标主机的初始序列号是猜出正确的目标主机的初始序列号是IP欺骗攻击最难点。欺骗攻击最难点。8何路 IP欺骗问题二对A进行攻击，必须知道A使用的ISN。TCP使用的ISN是一个32位的计数器，从0到4,294,967,295。TCP为每一个连接选择一个初始序列号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同的系统有着不同的算法。理解TCP如何分配ISN以及ISN随时间的变化规律，对于成功的进行IP欺骗攻击是很重要的！ISN约每秒增加128 000，如果有连接出现，每次连接将把计

6、数器的数值增加64 000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32小时复位一次。因此，需要预测出伪装对象的序列号。10何路 IP电子欺骗这样就可以利用机器B对机器A的信任关系进行攻击。IP电子欺骗并不容易：此技术只适用于少数平台这项技术复杂难懂，甚至对接密高手也是如此。用户可以很容易防范IP欺骗攻击TCP会话劫持所谓会话，就是两台主机之间的一次通讯。会话劫持（Session Hijack），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行简听，甚至可

7、以是代替某一方主机接管会话。会话劫持攻击分为两种类型：1）中间人攻击(Man In The Middle，简称MITM)，2）注射式攻击（Injection）；MITM(中间人）攻击这也就是我们常说的“中间人攻击”，在网上讨论比较多的就是SMB会话劫持，这也是一个典型的中间人攻击。要想正确的实施中间人攻击，攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。DNS（Domain Name System），即域名服务器，我们几乎天天都要用到。对于正常的DNS请求，例如在浏览器输入，然后系统先查看Hosts文件，如果有相对应的IP，就使用这

8、个IP地址访问网站（其实，利用Hosts文件就可以实现DNS欺骗）；如果没有，才去请求DNS服务器；DNS服务器在接收到请求之后，解析出其对应的IP地址，返回给我本地，最后你就可以登陆到黑客防线的网站。而DNS欺骗则是，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了恶意网页，可你却在不知不觉中已经被攻击者下了“套”DNS欺骗也可以在广域网中进行，比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一个透明代理，可以得

9、到一切想知道的信息，甚至是利用一些有缺陷的加密协议来实现。注射式攻击简介 这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗，2）预测TCP序列号。如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址；2）利用两台机器之间的信任关系实施入侵。在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地

10、址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。TCP协议的序列号在每一个数据包中，都有两段序列号，它们分别为：SEQ：当前数据包中的第一个字节的序号 ACK：期望收到对方数据包中第一个字节的序号 假设双方现在需要进行一次连接：S_SEQ：将要发送的下一个字节的序号 S_ACK：将要接收的下一个字节的序号 S_WIND：接收窗口/以上为服务器（Server）C_SEQ：将要发送的下一个字节的序号 C_ACK：将要接收的下一个字节的序号 C_WIND：接收窗口/以上为客户端（Client）它们之间必须符合下面的逻辑关系，否

11、则该数据包会被丢弃，并且返回一个ACK包（包含期望的序列号）。C_ACK=C_SEQ=C_ACK+C_WIND S_ACK=S_SEQ mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。实现ARP欺骗 一个入侵者想非法进入某台主机，他知道这台主机的火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉

12、。2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。4、这段时间里，入侵者把自己的ip改成192.0.0.35、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。6、主机找到该ip，然后在arp表中加入新的ip-mac对应关系。7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。ARP欺骗利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须经过路由转发。在有路由转

13、发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的信息。在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。比如:我ping 后，那么在我主机中，的IP对应项不是cns911的mac，而是我路由的mac，其ip也是我路由的IP。(有些网络软件通过交换路由ARP可以得到远程IP的MAC)。如何防止ARP欺骗 1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题）

14、，理想的关系应该建立在ip+mac基础上。2、设置静态的mac-ip对应表，不要让主机刷新你设定好的转换表。3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。如何防止ARP欺骗5、使用“proxy”代理ip的传输。6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。8、管理员定期轮询，检查主机

15、上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。DNS欺骗当客户向一台服务器请求服务时，服务器方一般会根据客户的ip反向解析出该ip对应的域名。这种反向域名解析就是一个查DNS(Domain Name Service)的过程。如果客户的ip对应有域名，那么DNS查询会返回其域名。服务器端得到这一机器名后会将其记录下来并传递给应用程序，于是我们可以看到有人上bbs来自，其实她来自202.116.64.6“逸 仙 时 空”BBS。细心的人会发现BBS上显示ip的栏是有长度局限的，因此若客户机的域名足够长便可隐藏住自己机器名，如paralle

16、lcomput其实是parallelcomputing.xx.xxx.xxx.xx。这便是隐藏ip的方法之一如果服务器在进行DNS查询时能够人为地给它我们自己 的应答信息结果会怎样呢？DNS性质 当DNS服务器收到一合法的DNS应答信息时它会接受这一返回包中的所有信息，并存入CACHE。举一个例子：在10.10.1.2的用户要TELNET到100.100.100.100 上，100.100.100.100 使用的DNS为100.100.100.200。三次握手后100.100.100.100 会向100.100.100.200 发一PTR类型的DNS查询（由IP查主机名）：100.100.10

17、0.100-100.100.100.200 Query NQY:1 NAN:0 NNS:0 NAD:0 QY:2.1.10.10.in-addr.arpa PTR 而100.100.100.200 并没有关于用户IP对应域的信息。它首先根据DNS协议 机器配置查找出10.10.1.2的授权DNS服务器10.10.1.5。然后向其发出查 询包：100.100.100.200-10.10.1.5 Query NQY:1 NAN:0 NNS:0 NAD:0 QY:2.1.10.10.in-addr.arpa PTRDNS性质10.10.1.5收到该查询信息后便可返回10.10.1.2对应的域名：10

18、.10.1.5-100.100.100.200 Answer NQY:1 NAN:2 NNS:1 NAD:1 QY:2.1.10.10.in-addr.arpa PTR AN:2.1.10.10.in-addr.arpa PTR AN: A 10.10.1.2 NS:1.10.10.in-addr.arpa NS AD: A 10.10.1.5 返回的包中给出了10.10.1.2对应的域名为，并指出 对应的IP为10.10.1.2。DNS性质如果局域网内有DNS服务器，那么可以通过监听、响应的方法实现DNS欺骗。即先sniff传到局域网来的DNS查询包，然后代替本网段的DNS服务器给出应答信息

19、。但是本网段的DNS服务器也会同时给出应答信息，这样我们构造的包与它的包会有冲突，通常是我们的慢。DNS性质当DNS服务器发查询包时，它在包内有一query id，应答信息只有query id及ip都对上时才能为服务器所接受。而这一id每次加一，所以可以通过第一次向要欺骗的DNS SERVER发一个查询并监听到该id值，随后再发一查询，紧接着马上send我们构造好的应答包，包内的query id为预测的query id值（可以指定一个范围，比如从previous_id+1到previous_id+100）。接上例，如10.10.1.2的用户要欺骗100.100.100.100，他可以对100.

20、100.100.200进行欺骗：11.11.11.11-100.100.100.200 Query NQY:1 NAN:0 NNS:0 NAD:0 QY: ADNS性质由于的域名由10.10.1.5控制，100.100.100.200向10.10.1.5发查询包：100.100.100.200-10.10.1.5 Query NQY:1 NAN:0 NNS:0 NAD:0 QID:2345 QY: A 10.10.1.2的用户可以监听到给包，得到QID:2345。然后再向100.100.100.200发第二次查询：11.11.11.11-100.100.100.200 Query NQY:1 NAN:0 NNS:0 NAD:0 QY: A DNS性质紧接着发带预测QID的应答包：10.10.1.5-100.100.100.200 Answer NQY:1 NAN:0 NNS:0 NAD:0 QID:2346 QY:2.1.10.10.in-addr.arpa PTR AN:2.1.10.10.in-addr.arpa PTR you.want.name you.want.name就是用户自己指定的域名。注意发这个包时应该用10.10.1.5这一IP地址。