网络攻防技术与实践笔记-TCP/IP网络协议攻击
本文主要介绍网络协议层面的攻击技术
一、TCP/IP协议栈
**
**
1、网络协议栈面临的攻击
2、协议攻击工具:Netwag、Netwox
二、网络层协议攻击
**
**
1、IP源地址欺骗:
攻击者冒用带有虚假源地址的IP数据包进行发送,并以此手段掩盖自身来源以冒充其他设备或系统。
(2)应用场景:主要应用基于拒绝服务攻击 的技术,在网络中广泛应用。网络攻击者通过向目标主机发送大量构造的虚假IP地址来发起拒绝服务攻击。这种攻击方式无需等待目标主机返回的数据包响应。
攻击者的资源利用虚假IP地址提供的拒绝服务请求同样能够隐藏其真实位置。
拒绝服务攻击案例:通过中间人探测手段对通信双方进行监控,并捕获他们在三次握手建立连接的过程
(3)防范措施:通过生成随机序列号的方式进行伪装通信;避免远程攻击者通过源地址推断建立TCP连接所需的序列号;采用IPsec协议对数据包进行加密处理;在局域网网关配置入展过滤功能以阻断来自外部单源IP地址却属于内部网络的数据包。
2、ARP欺骗
原理:该攻击者通过发送虚假的ARP报文到局域网或无线网络中,在目标主机上诱导其误认为该IP地址对应的MAC地址实际上是攻击者的 MAC 地址。从而导致目标主机在本地网络中的 MAC-IP 映射表中被记录为与攻击者的指定 MAC 地址相关联。
(2)应用场景:ARP欺骗技术实现网络嗅探;ARP欺骗技术实现中间人攻击;
(3)防范措施:采用静态的IP地址-MAC地址绑定
3、ICMP重定向攻击
原理:在网络安全领域中存在一种经典的网络钓鱼攻击手段。攻击者通过伪装成合法路由器(采用IP地址欺骗策略),模拟网络控制层角色(即网关),向目标设备发送虚假的ICMP重定向路由控制报文。这种技术手段使得目标主机被迫选择攻击者所指定的路由路径。具体而言,在实际操作中,发现一个问题:当攻击节点运行协议栈时,在转发过程中可能会发送ICMP重定向报告给受害者。这种错误行为会导致该报告实际上将错误地将路由路径指向原始配置。
(2)应用场景:中间人攻击、网络嗅探
(3)防范措施:配置防火墙过滤机制,并通过分析ICMPredirect包头信息来识别是否为本地路由器生成的ICMP重定向请求
三、传输层协议攻击
**
**
1、TCP RST 攻击
原理:通过伪造TCP重置报文实现通信连接干扰的技术手段。攻击者通过嗅探技术持续监视通信双方,在获取源端IP地址、目的端口信息以及序列号后,则可利用IP地址欺骗技术模拟另一方的身份。在确保端口号与当前TCP窗口内的序列号一致的前提下,则可向另一方发送带有伪造的TCP重置报文从而导致双方正常的网络通信被中断最终达到拒绝服务的目的。
(2)应用场景:中断TCP连接。
2、TCP会话劫持
原理:攻击者通过实施中间人攻击手段,在没有实际权限的情况下探测到建立连接的通信双方的序号,并声称自己是该用户身份。随后向目标服务器发送数据包序列,并确保该数据包中的序号满足以下条件:介于 SVR\_ACK 与 SVR\_ACK + SVR\_WND 之间。其中 SVR\_END 表示目标服务器接收窗口范围,在此范围内接收方才会接受这些数据报。
由于中间人攻击的限制性特点,在某些情况下用户的报文可能会被发送到Telnet服务器或者被拦截下来。 Telnet服务器在检测到用户的报文中 acknowledged(确认)字段与预期值不符时(即ack不一致),就会主动发送预期的ack值以恢复同步状态。 当用户接收到这一响应报文后也会发现ack字段存在错误并回送一个ack报文以回应这一错误状况。 此时双方陷入了僵局导致双方陷入了无法解决的状态——死循环现象(Ack风暴)。 作为一种常见的TCP会话劫持攻击方式Ack风暴往往会被网络管理员轻易察觉因而攻击者往往会采用更加隐蔽的方式切断与目标机器之间的连接
中间人攻击技术选择:ICMP路由重定向攻击和ARP欺骗攻击是两种主要的技术。现有多数的网络设备已不再支持ICMP路由重定向功能。因此,在实际应用中,更多采用基于ARP欺骗的中间人攻击手段来实现对目标机器的网络控制。
(2)防范措施:采用静态IP-MAC绑定。避免中间人攻击。
3、TCP SYN Flood
原理:又被称作一种基于SYN洪泛攻击模式的拒绝服务攻击。这种类型的攻击依赖于TCP三次握手协议存在缺陷的事实,在不引起对方察觉的情况下主动向目标主机发射大量带有虚假源地址的SYN连接请求包,并耗尽目标主机用于处理连接请求的空间。这种行为导致目标主机无法及时响应正常的客户端请求。
防范措施包括SYN-Cookie技术。该技术优化了资源分配策略:当服务器接收到一个SYN报文时,未立即分配缓冲区,而是创建了一个Cookie,用于构成即将返回的SYN+ACK报文中所带有的初始序列号。客户端接收ACK报文后,通过读取报头信息来计算Cookie值,并与返回确认号(初始序列号加1)前24位进行比对,若相符,则表示正常连接完成,随后会进行资源分配并建立通信链接
4、UDP Flood拒接服务攻击
原理:通过大量发送UDP报文至目标主机及其所在的网络中,在此过程中不仅明显提升了目标主机的计算负载,在某些情况下还会导致目标网络出现拥塞现象。这种行为将直接引发一系列问题进而使得目标主机及整个网络系统陷入完全不可用的状态并最终产生拒绝服务攻击。
(2)防范措施:防火墙和代理机制来过滤掉一些非预期的网络流量。