網路攻擊與防禦對區域網的攻擊

那些認為可以通過密碼學解決問題的人，其實並不真正了解他們的問題，而且也不了解密碼學本身。

—— roger needham與butler lampson

如果你在咖啡上的開銷比it安全方面還要多，你將受到黑客的攻擊，而且是咎由自取。

—— richard clarke，美國前賽博安全主管

(1) 攻擊者可以安裝資料報嗅探軟體，以便獲取密碼，甚至根密碼，之後接管相應的賬號。如果使用質詢-應答密碼生成器，或者kerberos與ssh等協議(保證lan上不會有明文密碼傳送)，就可以阻止這種密碼嗅探攻擊。第3章描述了kerberos，後面會對ssh進行介紹。

(2) 另一種方法是偽裝成目標使用者(比如系統管理員)已經登入的計算機。攻擊者可以簡單地將自己機器的mac位址和ip位址設為目標機器的mac和ip位址。理論上，當發現自己ip位址的流量沒有對自己已傳送的資料報響應時，目標計算機應該傳送「重置」資料報；但是，現今的很多計算機安裝了個人防火牆，防火牆將丟棄「可疑的」資料報。由此導致的結果是，不會產生上述預期的警告[300]。

(3) 對老式的lan，在技術上有一整套的位址劫持攻擊。在本書第一版中，我給出的乙個例項是，攻擊者將錯誤的響應發給arp訊息，並聲稱自己是目標計算機，也可以通過傳送虛假的子網掩碼來阻止目標計算機察覺到並發出報警。另一種可能性是傳送偽造的dhcp訊息。類似於這樣的攻擊對現代的交換式乙太網可能有效，也可能無效，這依賴於具體配置。

(4) 還有一些攻擊針對特定的平台。比如，如果目標公司使用linux或unix伺服器，那麼機器很可能使用sun公司的網路檔案系統(network file system，nfs)進行檔案共享。nfs允許工作站像使用本地磁碟一樣使用網路磁碟，幷包含大量為攻擊者所熟知的漏洞。在某個卷第一次被掛載時，客戶端會從伺服器獲取乙個根檔案控制代碼，這實際上是乙個可以指代已掛載檔案系統根目錄的訪問票據，但它不依賴於時間或伺服器生成數，也不能被呼叫。nfs中沒有針對每個使用者的身份驗證機制：伺服器或者完全信任乙個客戶端，或者完全不信任。並且，nfs伺服器通常會對從不同網路到達指令介面的請求進行響應。因此，如果請求在管理員使用檔案伺服器之前處於等待狀態，那麼之後假冒該管理員重寫密碼檔案是可能的。通過網路竊聽也可以截獲檔案控制代碼—— 儘管交換式乙太網增加了這種竊聽的難度。kerberos可用於客戶端與伺服器之間的身份驗證，然而很多公司並不使用這種身份驗證方式；因為在異構環境中使用kerberos有難度。

區域網中某台被控制的計算機接管其他計算機的難度依賴於網路防護的強度，該計算機造成的危害程度則與區域網的大小有關。系統管理員的行為也存在一些限制；公司可能需要執行各種複雜的舊系統，這些舊系統不支援kerberos。此外，僱傭安全意識強的管理員也會增加運營成本。在我們的實驗室中，與系統管理員的爭論已經持續多年，因為我們試圖連線到internet，以便訪問其他站點，但是，管理員們無論是出於技術防護還是政策因素考慮(我們的學術網路不能對商業使用者開放)都拒絕我們的請求。最終，我們通過設定乙個獨立的客人網路解決了這一問題，該客人網路連線到商用isp，而非我們大學的骨幹網路。

這帶來了更廣泛的問題：網路的邊界在**？過去，很多公司都只有單一的內部網路，並通過某種型別的防火牆連線到internet。但邊界劃分具有意義，正如第9章中所討論的：每個部門有乙個單獨的網路，這會對遭受控制的計算機所能造成的危害有所控制。如果某部門有高度的防護需求，而其他部門需要更高的靈活性，這會引發很大的爭議。比如，在我們的大學，我們不希望學生與員工們使用同乙個lan，實際上，我們將學生、員工與管理人員的網路分隔開，前二者所在網路進一步地按學院與系進行分隔。最近，移動性與虛擬網路的引入使得定義清晰的網路邊界變得更加困難，這種爭論可以使用行話「反邊界」進行描述，後面我會談到這一點。

摘自：《資訊保安工程（第2版）》

isbn：9787-302-27115-4

網路攻擊與防禦對區域網的攻擊

python攻擊區域網電腦區域網攻擊

區域網攻擊

kali 區域網斷網攻擊

網路攻擊與防禦 對區域網的攻擊

python攻擊區域網電腦 區域網攻擊

區域網攻擊

kali 區域網斷網攻擊

相關推薦

網路攻擊與防禦對區域網的攻擊

python攻擊區域網電腦區域網攻擊