欺骗攻击-ARP攻击

第5章加密文件系统的规划、实现和故障排除•EFS简介•在独立MicrosoftWindowsXP环境中实现EFS•在使用PKI的域环境中规划和实现EFS•实现EFS文件共享•EFS故障排除欺骗攻击欺骗攻击（IP,ARP，DNS）•纯技术性•利用了TCP/IP协议的缺陷•不涉及系统漏洞•较为罕见1994.12.25，凯文.米特尼克利用IP欺骗技术攻破了SanDiego计算中心􀂈1999年，RSASecurity公司网站遭受DNS欺骗攻击􀂈1998年，台湾某电子商务网站遭受Web欺骗攻击，造成大量客户的信用卡密码泄漏•欺骗攻击的主要类型：􀂈ARP欺骗􀂈IP欺骗攻击􀂈Web欺骗攻击􀂈DNS欺骗攻击ARP欺骗攻击ARP欺骗攻击Meet-in-Middle:Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。这是一种典型的中间人攻击方法。ARP欺骗攻击ARP欺骗木马局域网某台主机运行ARP欺骗的木马程序•会欺骗局域网所有主机和路由器，让所有上网的流量必须经过病毒主机，•原来由路由器上网的计算机现在转由病毒主机上网􀂈发作时，用户会断一次线􀂈•ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通讯拥塞，用户会感觉到上网的速度越来越慢􀂈•当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线ARP欺骗出现的症状网络时断时通；网络中断，重启网关设备，网络短暂连通；内网通讯正常、网关不通；频繁提示IP地址冲突；硬件设备正常，局域网不通；特定IP网络不通，更换IP地址，网络正常；禁用-启用网卡，网络短暂连通；网页被重定向。ARP欺骗攻击的防范措施1安装入侵检测系统，检测ARP欺骗攻击2MAC地址与IP地址双向绑定􀂈所有机器上把网关的IP和MAC绑定一次􀂈编个批处理􀂈arp-d􀂈arp-s192.168.1.100-0A-EB-DB-03-D2􀂈路由器上再把用户的IP地址和MAC绑定一次修改注册表项，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺骗木马􀂈Antiarp􀂈nbtscan4划分VLANIP欺骗：基础TCP协议把通过连接而传输的数据看成是字节流，用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生。攻击者如果向目标主机发送一个连接请求，即可获得上次连接的ISN，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间RTT。利用ISN和RTT，就可以预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接，并预测到目标主机的TCP序列号，攻击者就能使用有害数据包，从而蒙骗目标主机IPSpoofing（IP欺骗）IP欺骗攻击过程IP欺骗攻击过程􀂈1、屏蔽主机B。方法：Dos攻击，如Land攻击、SYN洪水􀂈2、序列号采样和猜测。猜测ISN的基值和增加规律􀂈3、将源地址伪装成被信任主机，发送SYN请求建立连接􀂈4、等待目标主机发送SYN+ACK，黑客看不到该数据包􀂈5、再次伪装成被信任主机发送ACK，并带有预测的目标机的ISN+1􀂈6、建立连接，通过其它已知漏洞获得Root权限，安装后门并清除LogIP欺骗攻击􀂈攻击的难点：ISN的预测􀂈TCP使用32位计数器􀂈每一个连接选择一个ISN􀂈不同的系统的ISN有不同的变化规律􀂈ISN每秒增加128000，出现连接增加64000􀂈无连接情况下每9.32小时复位一次IP欺骗的防范措施安装VPN网关，实现加密和身份认证实施PKICA,实现身份认证通信加密DNS欺骗攻击复杂，使用简单RSASecurity网站曾被成功攻击DNS欺骗原理IP与域名的关系DNS的域名解析RandPorttoDNSs53DNS’··DNS欺骗原理