ip欺騙技術就是通過偽造某台主機的ip位址騙取特權從而進行攻擊的技術。許多應用程式認為如果資料報能夠使其自身沿著路由到達目的地,那麼源ip位址一定是有效的,而這正是使源ip位址欺騙攻擊成為可能的前提。
ip欺騙攻擊
ip欺騙技術就是通過偽造某台主機的ip位址騙取特權從而進行攻擊的技術。許多應用程式認為如果資料報能夠使其自身沿著路由到達目的地,而且應答包也可以回到源地,那麼源ip位址一定是有效的,而這正是使源ip位址欺騙攻擊成為可能的前提。
假設同一網段內有兩台主機a、b,另一網段內有主機x。b授予a某些特權。x為獲得與a相同的特權,所做欺騙攻擊如下:首先,x冒充a,向主機b傳送乙個帶有隨機序列號的syn包。主機b響應,回送乙個應答包給a,該應答號等於原序列號加1。然而,此時主機a已被主機x利用拒絕服務攻擊「淹沒」了,導致主機a服務失效。結果,主機a將b發來的包丟棄。為了完成三次握手,x還需要向b回送乙個應答包,其應答號等於b向a傳送資料報的序列號加1。此時主機x並不能檢測到主機b的資料報(因為不在同一網段),只有利用tcp順序號估算法來**應答包的順序號並將其傳送給目標機b。如果猜測正確,b則認為收到的ack是來自內部主機a。此時,x即獲得了主機a在主機b上所享有的特權,並開始對這些服務實施攻擊。
要防止源ip位址欺騙行為,可以採取以下措施來盡可能地保護系統免受這類攻擊:
·拋棄基於位址的信任策略:阻止這類攻擊的一種非常容易的辦法就是放棄以位址為基礎的驗證。不允許r類遠端呼叫命令的使用;刪除.rhosts檔案;清空/etc/hosts.equiv檔案。這將迫使所有使用者使用其它遠端通訊手段,如telnet、ssh、skey等等。
·使用加密方法:在包傳送到網路上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網路環境,但它將保證資料的完整性和真實性。
·進行包過濾:可以配置路由器使其能夠拒絕網路外部與本網內具有相同ip位址的連線請求。而且,當包的ip位址不在本網內時,路由器不應該把本網主機的包傳送出去。
有一點要注意,路由器雖然可以封鎖試圖到達內部網路的特定型別的包。但它們也是通過分析測試源位址來實現操作的。因此,它們僅能對聲稱是來自於內部網路的外來包進行過濾,若你的網路存在外部可信任主機,那麼路由器將無法防止別人冒充這些主機進行ip欺騙。
arp欺騙攻擊
在區域網中,通訊前必須通過arp協議來完成ip位址轉換為第二層實體地址(即mac位址)。arp協議對網路安全具有重要的意義,但是當初arp方式的設計沒有考慮到過多的安全問題,給arp留下很多的隱患,arp欺騙就是其中乙個例子。而arp欺騙攻擊就是利用該協議漏洞,通過偽造ip位址和mac位址實現arp欺騙的攻擊技術。
我們假設有三颱主機a,b,c位於同乙個交換式區域網中,監聽者處於主機a,而主機b,c正在通訊。現在a希望能嗅探到b->c的資料,於是a就可以偽裝成c對b做arp欺騙——向b傳送偽造的arp應答包,應答包中ip位址為c的ip位址而mac位址為a的mac位址。這個應答包會重新整理b的arp快取,讓b認為a就是c,說詳細點,就是讓b認為c的ip位址對映到的mac位址為主機a的mac位址。這樣,b想要傳送給c的資料實際上卻傳送給了a,就達到了嗅探的目的。我們在嗅探到資料後,還必須將此資料**給c,這樣就可以保證b,c的通訊不被中斷。
以上就是基於arp欺騙的嗅探基本原理,在這種嗅探方法中,嗅探者a實際上是插入到了b->c中,b的資料先傳送給了a,然後再由a**給c,其資料傳輸關係如下所示:
b->a->c
b 於是a就成功於截獲到了它b發給c的資料。上面這就是乙個簡單的arp欺騙的例子。
arp欺騙攻擊
有兩種可能,一種是對路由器arp表的欺騙;另一種是對內網電腦arp表的欺騙,當然也可能兩種攻擊同時進行。但不管怎麼樣,欺騙傳送後,電腦和路由器之間傳送的資料可能就被送到錯誤的mac位址上。
防範arp欺騙攻擊可以採取如下措施:
·在客戶端使用arp命令繫結閘道器的真實mac位址命令
·在交換機上做埠與mac位址的靜態繫結。
·在路由器上做ip位址與mac位址的靜態繫結
·使用「arp server」按一定的時間間隔廣播網段內所有主機的正確ip-mac對映表。
dns欺騙攻擊
dns欺騙即網域名稱資訊欺騙是最常見的dns安全問題。當乙個dns伺服器掉入陷阱,使用了來自乙個惡意dns伺服器的錯誤資訊,那麼該dns伺服器就被欺騙了。dns欺騙會使那些易受攻擊的dns伺服器產生許多安全問題,例如:將使用者引導到錯誤的互聯**點,或者傳送乙個電子郵件到乙個未經授權的郵件伺服器。網路攻擊者通常通過以下幾種方法進行dns欺騙。
(1)快取感染
黑客會熟練的使用dns請求,將資料放入乙個沒有設防的dns伺服器的快取當中。這些快取資訊會在客戶進行dns訪問時返回給客戶,從而將客戶引導到入侵者所設定的執行木馬的web伺服器或郵件伺服器上,然後黑客從這些伺服器上獲取使用者資訊。
(2)dns資訊劫持
入侵者通過監聽客戶端和dns伺服器的對話,通過猜測伺服器響應給客戶端的dns查詢id。每個dns報文包括乙個相關聯的16位id號,dns伺服器根據這個id號獲取請求源位置。黑客在dns伺服器之前將虛假的響應交給使用者,從而欺騙客戶端去訪問惡意的**。
(3)dns重定向
攻擊者能夠將dns名稱查詢重定向到惡意dns伺服器。這樣攻擊者可以獲得dns伺服器的寫許可權。
防範dns欺騙攻擊可採取如下措施:
·直接用ip訪問重要的服務,這樣至少可以避開dns欺騙攻擊。但這需要你記住要訪問的ip位址。
·加密所有對外的資料流,對伺服器來說就是盡量使用ssh之類的有加密支援的協議,對一般使用者應該用pgp之類的軟體加密所有發到網路上的資料。這也並不是怎麼容易的事情。
源路由欺騙攻擊
通過指定路由,以假冒身份與其他主機進行合法通訊或傳送假報文,使受攻擊主機出現錯誤動作,這就是源路由攻擊。在通常情況下,資訊包從起點到終點走過的路徑是由位於此兩點間的路由器決定的,資料報本身只知道去往何處,但不知道該如何去。源路由可使資訊包的傳送者將此資料報要經過的路徑寫在資料報裡,使資料報循著乙個對方不可預料的路徑到達目的主機。下面仍以上述源ip欺騙中的例子給出這種攻擊的形式:
主機a享有主機b的某些特權,主機x想冒充主機a從主機b(假設ip為aaa.bbb.ccc.ddd)獲得某些服務。首先,攻擊者修改距離x最近的路由器,使得到達此路由器且包含目的位址aaa.bbb.ccc.ddd的資料報以主機x所在的網路為目的地;然後,攻擊者x利用ip欺騙向主機b傳送源路由(指定最近的路由器)資料報。當b回送資料報時,就傳送到被更改過的路由器。這就使乙個入侵者可以假冒乙個主機的名義通過乙個特殊的路徑來獲得某些被保護資料。
為了防範源路由欺騙攻擊,一般採用下面兩種措施:
·對付這種攻擊最好的辦法是配置好路由器,使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
·在路由器上關閉源路由。用命令no ip source-route。
ARP協議攻擊與欺騙的原理
二 arp攻擊與arp欺騙的原理和應用 在區域網中,交換機通過mac位址進行通訊,要獲得目的主機的mac位址就需要使用arp協議將目的ip位址解析成目的mac位址。所以,arp a的dressr二solutionp融通從來,位址解析協議 的基本功能是負責將乙個已知的ip位址解析成mac位址,以便在交...
ARP協議攻擊與防禦 ARP欺騙
在本實驗中,針對arp協議無驗證缺陷,進行arp欺騙以實施中間人攻擊,通過實驗實現 根據提供的實驗環境,owasp節點和seedubuntu節點之間正常通行時資料報將不會經過kali節點。攻擊節點kali將通過arp欺騙成文中間人,從而截獲seedubuntu和owasp節點之間的資料報,並可對資料...
IP欺騙攻擊的防禦
1 防範基本的ip欺騙 大多數路由器的內建的欺騙過濾器。過濾器的最基本形式是,不允許任何從外面進入網路的資料報使用單位的內部網路位址作為源位址。從網路內部發出的到本網另一台主機的資料報從不需要流到本網路之外去。因此,如果乙個來自外網的資料報,聲稱 於本網路內部,就可以非常肯定它是假冒的資料報,應該丟...