服务器欺骗思维脑图思维导图
欺骗攻防技术以及相关欺骗方式内容讲解
树图思维导图提供 服务器欺骗思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 服务器欺骗思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:df96cc4f122a4c52ba2dd6e9d76a9fe0
思维导图大纲
欺骗思维导图模板大纲
欺骗攻防技术
认证
信任
欺骗攻击
IP欺骗
基本形式
攻击者伪造的IP地址不可到达或不存在
攻击者伪造的IP地址为目标主机所信任的主机IP
IP源地址欺骗
原理:IP协议在设计时只是用数据包中的目标地址进行路由转发,而不对源地址进行真实性验证
过程
1.进行Dos攻击,使B丧失工作能力
2.对ISN采样猜测
初始化序列号ISN
3.以IP(B)为源IP发送SYN包
4.发送SYN+ACK,B不会应答
5.以IP(B)为源IP再发送ACK包(猜测的ISN+1)
6.正式建立连接
实验案例
netwox 52
-E:伪造的MAC地址
-I:伪造的IP地址
-e:目标MAC地址
-i:目标IP地址
netwox 76
netwox 76 -i 192.168.0.120 -p 80
开启服务,监听端口
systemctl start httpd
tcpdump -i ens33 tcp port 80 -n -nn
会话劫持
与基本IP欺骗攻击的区别
被冒充者处于在线状态
攻击者要积极地攻击被冒充用户迫使其离线
过程
1.确定目标主机后,要找到目标主机所采用的信任模式
2.找到一个被目标主机信任的主机,使其丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出其数据序列号
3.伪装成被信任的主机,同时建立起与目标主机基于IP地址验证的应用连接。如果成功,放置后门
TCP会话劫持原理
会话劫持的关键是预测正确的序列号,攻击者可以采取嗅探技术获得这些信息
IP欺骗防御
防范基本的IP欺骗攻击
入口过滤
不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址
能够使单位的网络不成为欺骗攻击的受害者
出口过滤
检查向外网发送的数据包,确信源地址是来自本单位局域网的一个地址
用以阻止有人使用单位的内部网络的计算机向其他站点发起攻击
防范会话劫持攻击
只能通过对通信数据进行加密和使用安全协议等方法尽量减小会话劫持攻击所带来的危害
ARP欺骗
MAC地址
第1位:单播地址0 多播地址1
第2位:全局地址0 本地地址1
3-24位:由IEEE管理并保证各厂家之间的不重复
25-48位:由厂商管理并保证产品之间不重复
MAC地址原理:先获取所有目标站的帧,然后通过MAC寻址。如果是发给自己的就接收,如果不是就丢弃
ARP工作机制
IP=1.1.1.3 MAC=?
ARP缓存
ARP缓存表
ARP欺骗原理
pc1想要访问pc2,按常理来说,只需要经过交换机就可直接到达pc2.现在pc3进行ARP欺骗,使pc1到pc2的流量需要经过pc3转发
pc3对pc1说:我是pc2,我的mac地址是(pc3的mac地址)
pc3对pc2说:我是pc1,我的mac地址是(pc3的mac地址)
仿冒网关
攻击者发送伪造的网关ARP报文,可广播给同网段内的所有其他主机。主机访问网关的流量,被重定向到错误的MAC地址,无法正常访问外网
ARP攻击实例
工具:Arpspoof
1.先查看ARP缓存表,得知目标主机网关的IP与MAC
2.开启IP转发
#echo 1 > /proc/sys/net/ipv4/ip_forward
3.使用Arpsproof命令进行欺骗
#arpspoof -i <网卡名> -t <欺骗目标的IP> <要修改MAC地址到的IP>
arpspoof -i eth0 -t 192.168.1.12 192.168.1.26
使用Wireshark等截取流量
APR欺骗攻击的检测与防御
检测
网络频繁掉线
网速变慢
ARP -a发现有重复的MAC地址条目,或者有网关的MAC地址不正确
局域网内抓包发现很多ARP响应包
防御
设置静态的ARP缓存表,不让主机刷新设置好的缓存表,手动更新缓存表中的记录
将IP和MAC两个地址绑定在一起,不能更改
划分多个范围较小的VLAN
一旦发现正在进行ARP欺骗攻击的主机,及时将其隔离
使用具有ARP攻击的防火墙进行监控
DNS欺骗
DNS欺骗原理
1.客户端从DNS服务器请求主机名
2.DNS server收到了请求的响应,但它返回了一个虚假的IP地址。未与主机名真正的服务器建立连接
3.客户端将请求发送到伪造IP地址后面的恶意主机
4.恶意主机将看似合法的网站页面返回给客户端。但是恶意主机上缺少该域名的安全证书
PS:DNS欺骗的不同攻击点分别在:客户端或本地路由器上、在DNS服务器与客户端的网络连接上、在DNS服务器上
DNS欺骗攻击方法
1.攻击者通过向攻击目标以一定的频率发送伪造的ARP响应数据包改写目标主机的ARP缓存表中的内容,并通过IP续传方式使数据包通过攻击者的主机流向目标主机,攻击者再配以网络嗅探器软件监听DNS请求包,获得解析请求的ID和端口号
2.取得解析请求的ID和端口号后,攻击者立即向目标主机发送伪造的DNS响应数据包,目标主机收到后确认响应的ID和端口号无误,就会以为收到了正确的DNS响应数据包,而实际地址很可能被导向攻击者想让用户访问的恶意网站
DNS欺骗攻击实例
1.使用ping命令查看正常情况下目标靶机解析到的www.baidu.com对应的IP地址。
2.攻击者修改系统中etter.dns这个配置文件。使用nano命令进行编辑,添加记录www.baidu.com A 192.168.1.26
3.使用ettercap命令进行DNS欺骗
ettercap -T -q -P dns_spoof -M arp:remote
4.在受到攻击的主机上查看攻击结果,对域名www.baidu.com的访问已经被指向到192.168.1.26
DNS欺骗攻击的防御
1.使用最新版本的DNS服务器软件,并及时安装补丁。目前大多数DNS服务器软件都有防御DNS欺骗的措施
2.关闭DNS服务器的递归功能。DNS服务器利用缓存表中的记录信息回答查询请求或通过查询其他服务获得查询信息并将其发送给客户机,这两种查询称为递归查询。递归查询方式容易导致DNS欺骗
3.保护内部设备。大多数DNS欺骗都是从网络内部执行攻击的,如果你的网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击
4.直接使用IP地址访问,对少数信息安全级别要求高的网站直接输入IP地址访问,这样可以避开DNS协议对域名的解析过程,也就避开了DNS解析攻击
网络钓鱼技术
基于伪基站的短信钓鱼
伪基站
例:招商银行95555的短信
1.地址略微不同,正常的应该是类似cmbt.com这种地址
2.标点符号全/半角混用
3.短消息点对点协议(CMPP、SMPP)对短信生命周期的约定最长是48小时。另外,手机接收到的短信,都会显示发送者的服务中心(短信中心SMSC)
4.短信链接下载的APP会造成一系列损失,更严重的是,控制者试图偷取受害手机里的X.509证书文件。最后,手机沦为“肉鸡”
克隆钓鱼
钓鱼网站的特点
1.攻击者会注册与要假冒的网站相似的域名,例如1与l互换。0与o互换
例:英语的n与俄语的n几乎一模一样
2.假域名也可能只是真域名的一部分
3.以IP地址的形式显示。大多数用户缺少判断假域名的工具和知识
4.为了创造一个可信的环境,攻击者还可以通过完全替换地址栏或状态栏,达到提供欺骗性提示信息的目的。例如,在浏览器中显示的是真实的网页,但在页面上弹出了一个简单的窗口,要求用户输入个人信息
WIFI钓鱼
一旦被害者的无线设备连接到攻击者搭建的假无线WIFI,就会被钓鱼者反扫描,如果被害者的手机连在网站上进行数据通信,钓鱼者就会获得其用户名和密码
相关思维导图模板
树图思维导图提供 1107文家市玉萍思维导图 在线思维导图免费制作,点击“编辑”按钮,可对 1107文家市玉萍思维导图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:ed943ef641f6dc874860eb6095857ed6
树图思维导图提供 种子思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 种子思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:86f8307a40ea24607c6c79354e09377f
沪公网安备 31011502019485号
上海工商