第七章假消息攻击2本章主要内容7.1假消息攻击概述7.2网络嗅探7.3ARP欺骗攻击7.4ICMP重定向攻击7.5IP欺骗攻击7.6DNS欺骗攻击7.7SSL中间人攻击3假消息攻击概述所谓假消息攻击是指利用网络协议设计中的安全缺陷,通过发送伪造的数据包达到欺骗目标、从中获利的目的。4假消息攻击概述TCP/IP协议的设计缺陷缺乏有效的信息加密机制,通信内容易被第三方截获缺乏有效的身份鉴别和认证机制,通信双方无法确认彼此的身份5假消息攻击概述应用层传输层网络层数据链路层DNS欺骗IP欺骗ICMP重定向ARP欺骗SSL中间人SYNFloodIP分片攻击假消息攻击的类型6本章主要内容7.1假消息攻击概述7.2网络嗅探7.3ARP欺骗攻击7.4ICMP重定向攻击7.5IP欺骗攻击7.6DNS欺骗攻击7.7SSL中间人攻击嗅探嗅探(Sniff)技术是网络中的窃听嗅探程序(Sniffer)截获网络中传输的数据,并从中解析出其中的机密信息攻击者进行嗅探的目的窃取各种用户名和口令窃取机密的信息如电子邮件正文及附件、网络打印的文档等窥探底层的协议信息如DNS的IP地址、本机IP地址、本机MAC地址,远程主机的IP地址、网关的IP地址、一次TCP连接的SequenceNumbe中间人攻击时篡改数据的基础嗅探的正当用途解释网络上传输的数据包的含义为网络诊断提供参考为网络性能分析提供参考,发现网络瓶颈发现网络入侵迹象,为入侵检测提供参考将网络事件记入日志嗅探范围802.3以太网使用广播信道的网络,在以太网中所有通信都是广播的目前的以太网分为共享式以太网和交换式以太网共享式以太网使用同轴电缆或HUB连接交换式以太网使用交换机连接共享式以太网包转发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCAB发送到C主机接收数据以太网卡首先从网络中接收数据,并在处理完成数据链路层的任务后向操作系统的传递。以太网卡的工作原理网卡接收到传输来的数据,网卡内的单片程序检查数据帧的目的MAC地址,根据网卡驱动程序设置的接收模式决定是否接收若不应接收就直接丢弃否则通过中断的方式通知操作系统以太网卡的侦听模式侦听模式是网络适配器分析传入帧的目标MAC地址,以决定是否进一步处理它们的方式。单播模式:接收单播和广播数据帧组播模式:接收单播、广播和组播数据帧混杂模式:接收所有数据帧单播模式单播模式下,网卡只让与目标MAC地址与自己MAC地址相匹配的数据帧或者广播数据帧通过,而过滤掉其它的帧。混杂模式混杂(promiscuous)模式下工作的网卡能够接收到一切通过它的数据,而不进行数据的目的地址检查,即不再进行硬件过滤。交换式以太网交换式以太网是使用交换机组建的局域网交换机使用端口和MAC地址对应表进行数据转发,根据数据包的目的MAC地址,选定目标端口E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444交换式以太网包转发E0:0260.8c01.1111MACaddresstableE2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABXXXX交换式以太网嗅探MAC洪泛MAC洪泛是向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机进入了所谓的“打开失效”模式,也就是开始了类似于Hub的工作方式,向网络上所有的机器广播数据包。交换式以太网嗅探MAC欺骗攻击者通过将源MAC地址伪造为目标主机的源MAC地址,并将这样的数据包通过交换机发送出去,这使得交换机不断地更新它的MAC-端口映射表,从而让交换机相信攻击者主机的MAC地址就是目标主机的MAC地址,交换机就会把本应发送给目标主机的数据包发送给攻击者。交换式以太网嗅探ARP欺骗攻击者通过对网关和目标主机进行ARP欺骗,就可以截取到两者之间的通信数据,从而达到在交换式局域网中嗅探的目的。协议还原协议还原即是将离散的网络数据根据协议规范重新还原成可读的协议格式。主机封包嗅探器抓包嗅探器组包主机封包协议头和协议层的对应关系应用层数据TCP包头IP包头MAC帧头应用层传输层数据链路层网络层主机封包处理实体协议层次协议...
