20159320《网络攻防实践》第6周教材总结

TCP/IP网络协议攻击

一、协议栈攻击

1、网络安全属性：机密性、完整性、可用性。网络安全的其他属性：真实性、不可抵赖性。

2、网络攻击基本模式：（被动）截获、（主动）中断、篡改和伪造。

3、TCP/IP网络协议栈的分层模型：网络接口层、互联网层、传输层和应用层。针对不同的层出现了不同的攻击技术。

4、原始报文伪造技术以及工具：原始套接字（raw socket）、netwox、netwag

二、网络层协议欺骗

1、IP源址欺骗：

原理：只使用数据包中的目标地址进行路由转发，而不对源地址进行真实性的验证。

步骤：对受信任的主机进行拒绝服务攻击、对目标主机的TCP初始序列号（ISN）进行取样和猜测、伪造源地址为受信任的主机IP的SYN数据包发送给主机、等待目标主机将SYN/ACK包发给已经瘫痪的受信任的主机、再次伪装成被信任的目标主机发送ACK包、建立连接。

应用场景：拒绝服务攻击中

工具：netwox、wireshark、nmap

防范措施：使用随机化的初试序列号、使用网络层安全传输协议、避免采用基于IP地址的信任策略、在路由器和网关上实施包过滤。

2、ARP欺骗
原理：攻击者在有线以太网或者无线网上发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的的攻击技术

应用场景：交换式网络、构造中间人攻击、恶意代码即为ARP病毒

工具：DSniff中的Arpspoof、arpison、Ettercap、netwox

防范措施：静态绑定关键主机的IP地址和MAC地址映射关系、使用相应的ARP防范工具、使用VLAN虚拟子网细分网络拓扑、加密是传输数据。

3、ICMP路由重定向攻击
ICMP报文类型：差错报告类（目的站不可达、数据报超时、数据包参数错误）、控制类报文（请求/应答类和通知类）

原理：利用ICMP路由重定向报文改变主机路由表，向目标主机发送重定向消息，伪装成路由器，使得目标机器的数据报文发送至攻击机从而加强监听。

工具：netwox

防范措施：根据类型过滤一些ICMP数据包，设置防火墙过滤，对ICMP重定向报文判断是不是来自本地路由器的。

三、传输层协议攻击

1、TCP RST攻击：伪造TCP重置报文攻击，假冒干扰TCP通信连接的技术方法。

2、TCP会话劫持攻击：劫持通信双方已经建立的连接，假冒其中一方的身份与另一方进行进一步通信。

防范措施：禁用主机上的源路由、采用静态绑定IP-MAC映射表以及避免ARP欺骗，引用和过滤ICMP重定向报文。

3、TCP SYN Flood拒绝服务攻击：难防御，目的是使服务器不能正常访问的用户提供服务。又称为SYN洪泛工具

防范措施：SYN-Cookie技术、防火墙地址状态监控技术。

4、UDP Flood：通过目标主机和网络发送大量的UDP数据包，造成目标主机显著的计算负载提升，或者目标网络的网络拥塞，从而使得目标主机和网络陷入不可用的状态，造成拒绝服务攻击。

防范措施：禁用或过滤监控和响应服务、禁用或过滤其他的UDP服务等。

网络安全防范技术

一、安全模型

1、可信任计算机系统评估准则（TCSEC）

2、动态可适应网络安全模型基于闭环控制理论：PDR模型、P2DR模型。

PDR模型：基于时间的动态安全模型

P2DR模型：网络安全+根据风险分析定制的安全策略+执行安全防护策略+实时检测+实时响应。

二、网络安全防范技术与系统

1、防火墙：认识防火墙关键特性，合理部署和配置防火墙。

2、防火墙技术：包过滤（网络层）、电路级网关（传输层）和应用层代理（应用层）技术。

3、防火墙功能：检查控制进出网络的网络流量、防止脆弱和不安全的协议和服务、防止内部网络信息的外泄、对网络存取和访问进行监控审计、防火墙可以强化网络安全策略并集成其他安全防御机制。

4、网络边界防护机制而先天无法防范的安全威胁：来自网络内部的安全威胁、通过非法外联的网络攻击、计算机病毒传播。

5、技术瓶颈问题而无法有效防范的安全威胁：针对开放服务安全漏洞的渗透攻击、针对网络客户端程序的渗透攻、基于隐蔽通道进行通信的特洛伊木马或僵尸网络。

6、防火墙技术和产品：包过滤技术、基于状态检测的包过滤技术、代理技术（应用层代理技术、电路级代理技术、NAT代理技术）、防火墙产品（集成包过滤功能的路由器、基于通用操作系统的防火墙软件产品、基于安全操作系统的防火墙）

7、防火墙的部署方法：包过滤路由器、双宿主堡垒主机、屏蔽主机屏蔽子网。

8、netfilter/iptables的NAT机制：IP伪装、SNAT机制、DNAT机制。

9、其他网络防御技术：VPN、内网安全管理、内容管理SCM、统一威胁管理。

网络检测技术与系统

1、入侵分类：外部渗透者、假冒者、违法者、秘密用户。

2、入侵检测技术评估指标：参数（检测率和误报率）

3、入侵检测技术：误用检测、异常检测

4、Snort：功能：数据包嗅探、数据包记录和分析、以及各种入侵检测功能。组成部分：数据包嗅探（解码器）、预处理器、检测引擎、输出模块。