2018-2019-2 20189206 《网络攻防实践》第六周作业

课本学习

TCP/IP网络协议栈攻击

网络安全属性与攻击模式

机密性保护网络中的信息安全，通常使用加密算法
完整性信息未经授权不能改变
可用性被授权实体访问并按需求使用的特性
真实性确保通信双方是它所声称的真实实体
不可抵赖性在通信中确保任何一方无法抵赖自己曾作过的操作的安全特性

网络攻击模式

截获
- 一种被动攻击模式，获取网络通信双方的通信信息内容
- 攻击技术：嗅探与监听
中断
- 主动攻击模式，使网络通信和会话无法进行
- 攻击技术：拒绝服务
伪造
- 主动攻击模式，假冒网络通信方的身份，欺骗通信对方达到恶意目的
- 攻击技术：欺骗
篡改
- 主动攻击模式，网络通信工程的信息内容进行篡改，使得通信一方或双方接收到虚假消息
- 攻击技术：数据包篡改，需要进行中间人攻击

中间人攻击

中间人攻击通过技术手段与通信双方建立起各自独立的会话连接，进行消息的双向转发。攻击者需要拦截通信双方的全部通信，注入转发或篡改后的消息，能够对通信双方实现身份欺骗。

TCP/IP网络协议栈安全缺陷与攻击技术

TCP/IP网络协议栈在前面也了解过，分为网络接口层、互联层、传输层与应用层。

网络接口层
- 以太网协议，当网络接口处于混杂模式可以直接嗅探并截获数据包，同时缺乏对MAC地址源的身份验证机制，实现MAC地址欺骗
互联层
- IP协议只根据目的地址进行转发，不检查源IP地址是否真实有效，即缺乏IP地址身份认证机制，容易遭到IP地址欺骗
- 源路由滥用
- IP分片攻击
- ARP协议没有对映射关系的真实性进行任何验证，ARP欺骗
- ICMP重定向 Smurf攻击
传输层
- TCP建立会话之后的连接过程中，非常容易遭受伪造和欺骗攻击，攻击者可以进行TCP RST攻击直接中断会话过程，TCP的三次握手过程存在设计缺陷，攻击者可以进行SYN泛洪攻击。
应用层
- 一些流行的应用层协议HTTP FTP POP3/SMTP DNS等均缺乏安全考虑。

原始报文伪造技术及工具

攻击者可以通过使用原始套接字绕过TCP/IP协议栈的报文封装处理和验证，构造出任意的数据报文。特别需要注意的是，原始套接字需要特权用户权限，因此在此类定制伪造报文的工具或程序都需要以根用户或管理员账户身份运行。

Netwox是一个开源工具包，可以创建任意的TCP/UDP/IP数据报文，支持命令行方式构造及发送伪造包，可以通过脚本编程实现自动化处理。netwag提供了友好的GUI界面。

网络层协议攻击

IP源地址欺骗

IP源地址欺骗的根本原因在于：IP协议在设计时只使用数据包中的目标地址进行路由转发，而不对源地址进行真实性的验证。IP源地址欺骗主要用于攻击者不需要响应包或存在某些技术可以猜测响应的场景中。

当攻击者与假冒IP地址处于同一局域网内，可以实时ARP欺骗或者路由重定向劫持响应包，攻击者就可以完全假冒这些主机进行网络交互。远程主机系统进行IP欺骗攻击比较困哪，攻击机无法获得响应数据包。

利用IP源地址欺骗进行IP假冒过程的步骤

对受信任主机进行拒绝服务攻击，使其丧失工作能力
对目标主机的TCP初始序列号进行取样和猜测，才可以随后在伪造的ACK报文中，将ACK的值正确地设置为目标主机的ISN+1
- TCP序列号ISN是指目标主机在接受SYN报文后，返回SYN/ACK报文中的SEQ值，攻击主机
伪造源地址为受信任主机IP的数据包，发送给目标主机
等待目标主机将SYN/ACK包发送给已经瘫痪的受信任主机
伪造成被信任主机，向目标主机发送ACK包，设置发送数据包的ACK值为预测目标主机ISN+1
建立连接，假冒被信任主机与目标主机通信

利用Netwox进行IP源地址欺骗

netwox的第41号工具是构造ICMP数据包

同样nmap扫描器中也有相应的IP源地址欺骗选项，选项-D后接要伪造的IP地址，同时使用wireshark监听nmap-D选项进行的IP源地址扫描攻击情况。nmap -sS -p 8080 目标主机IP -D 攻击机IP 这个命令是要查看目标主机上的8080端口是否开放，且使用攻击机IP地址进行欺骗。

ARP欺骗原理

ARP欺骗也称为ARP下毒，是指攻击者在有线或以太网上发送伪造的ARP信息，对特定IP所对应的的MAC地址进行假冒欺骗，从而达到恶意目的的攻击技术。

ARP欺骗技术的原理：根源在于ARP协议在设计时认为局域网内部的所有用户都是可信的，但是局域网内可以存在内部攻击者，或者已经渗透进局域网的外部攻击者或恶意代码。这使得ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系。

ARP欺骗攻击步骤
=

源节点A发送数据包给目的节点B时，会通过ARP协议在局域网段广播ARP请求包，询问节点B的IP地址所映射的MAC地址；
攻击节点C说IP目标IP地址所映射的MAC地址是他自己，并不断地向源节点发送ARP响应包
由于攻击节点C不断地发送响应包，这样源节点上会强制以C发送响应包中的信息来更新ARP缓存。
当源节点A要再次发送数据包到节点B时，直接将数据包发送到C对应的MAC地址，即攻击节点C，这样C就通过欺骗假冒了目的节点B
如果ARP欺骗攻击的是网关节点，将导致整个局域网所有节点经过网关出入的数据包都会首先通过攻击节点，可能被嗅探、监听和恶意修改。

利用netwox进行ARP欺骗：

这个实验在上周的活动中利用netwox实现了，过程如下所示

ICMP路由重定向机制原理

指攻击者伪装成路由器发送虚假的ICMP路由路径控制报文，使得受害主机选择攻击者指定的路由路径，从而进行嗅探或假冒攻击的一种技术

ICMP报文分为两类——差错报告和控制类。

差错报告
- 目的站不可达
- 数据报超时
- 数据报参数错误
控制报文
- 请求/应答类：回送请求/应答、地址掩码请求/应答、路由器恳求/应答、时间戳请求/应答
- 通知类:源站抑制和重路由定向

ICMP路由重定向主要用于对网络故障时的数据包处理，当网络拓扑结构发生变化、网络出现故障时，可能会导致主机采用非优化的路由来发送数据，这时路由器便可以使用ICMP重定向报文更新主机的路由表。报文中包括应该使用的路由器IP地址字段，告知接受主机不要用自己作为路由，而用报文中指定的路由器。

ICMP路由重定向攻击技术

利用ICMP路由重定向报文来改变主机的路由表，向目标机器发送重定向消息，自己则可以伪装成路由器，使目标机器的数据报报文发送至攻击机从而加强监听。攻击步骤如下：

攻击节点利用IP源地址欺骗技术，冒充网关IP地址，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点；
被攻击节点收到报文后，进行限制条件检查，由于该报文并不违背限制条件，因此将被接收，被攻击节点选择攻击节点作为其新的路由器；
攻击节点可以可以开启路由转发，充当中间人，对被攻击节点的通信进行全程嗅探监听，达到ARP欺骗类似的攻击效果；
在转发过程中，根据ICMP路由重定向机制的设计原理，攻击节点协议栈可能会向攻击节点发送一个ICMP重定向报文，指定原先网关为新路由器，将欺骗路由路径还原至原先状态。

使用netwox工具进行ICMP路由重定向攻击

工作原理是嗅探到网络中的数据包，每嗅探到一个符合要求的数据包，就向该IP地址发送一个ICMP重定向报文，让IP主机重定向至预先设定的IP地址，命令 netwox 86 -f "host 172.31.4.200" -g 172.31.4.210 -i 172.31.4.1 是指当嗅探到数据包或源目的IP地址为172.31.4.200 就以172.31.4.1的名义向源地址发送一个ICMP重定向报文，使之使用172.31.4.210作为默认路由。

传输层协议攻击

接下来介绍TCP RST攻击、 TCP会话劫持攻击、 TCP SYN泛洪拒绝服务攻击 UDP泛洪拒绝服务攻击

TCP RST攻击

TCP RST攻击也被称为伪造TCP重置报文攻击，是指一种假冒干扰TCP通信连接的技术方法。 TCP协议头有一个reset,该标志位置为1，接收该数据包的主机即将断开这个TCP会话连接。tcp重置报文就是直接关闭掉一个TCP会话连接。

攻击主机C可以通过嗅探方式监视通信双方A B之间的TCP连接，在获得源、目标IP地址及端口、序列号之后，接可以结合IP源地址欺骗技术伪装成通信一方，发送TCP重置报文给通信另一方，在确保端口号一致及序列号落入TCP造成通信双方正常网络通信的中断，达到拒绝服务的效果。

TCP会话劫持攻击技术过程

TCP会话劫持是劫持通信双方已经建立的TCP会话连接，假冒其中一方的身份，与另一方进行进一步通信。其中最核心的就是通过TCP对会话通信方的验证。

TCP会话劫持攻击技术过程：

victim主机与talent服务器进行连接，并通过身份认证建立起会话
talent服务器将会向victim发送响应包，并包含服务器当前序列号（SVR_SEQ）以及期望客户端发送的下一个序列号（SVR_ACK）
攻击者通过ARP欺骗实施中间人攻击，可以嗅探获得victim和talent服务器间的通信内容，然后假冒victim的IP地址及身份，向talent服务器发送数据包，声称自己是victim。
- 攻击者发送数据包中的序列号必须满足条件：SVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WND
victim仍然会继续持续talent服务器之间的连接会话，但是由于与talent服务器之间的ACK值互相不匹配出现AC风暴

TCP SYN Flood拒绝服务攻击原理

TCP SYN Flood拒绝服务攻击又称为SYN泛洪攻击，是目前最为有效和流行的一种拒绝服务攻击形式。

在TCP SYN Flood攻击中，攻击主机向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN/ACK包，并等待源端返回ACK包。如果伪造的源地址主机活跃，将会返回一个RST包直接关闭连接，但大部分伪造源地址是非活跃的，永远不会返回ACK报文，受害主机继续发送SYN+ACK包，当半开连接报文填满，服务器也就拒绝新的连接。

UDP Flood拒绝服务攻击原理

UDP Flood拒绝服务攻击的原理是通过向目标主机和网络发送大量UDP数据包，造成目标主机显著的计算负载提升，或者通过网络拥塞，从而使得目标主机和网络陷入不可用的状态，造成拒绝服务攻击。

网络安全防范技术

防火墙的概念及功能

防火墙是指置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备。技术上说，防火墙属于一种网络上的访问控制机制，通过在不同的网络安全域之间建立起安全控制点，对通过防火墙的网络传输数据进行检查，根据具体的安全需求和策略设置决定是否允许网路访问通过防火墙。

防火墙的功能：防火墙可以在协议栈的各个层次上实施网络访问控制机制，对网络流量和访问进行检查和控制。常常提供以下功能

检查控制进出网络的网络流量
防治脆弱或不安全的协议和服务
防治内部网络信息的外泄
对网络存取和访问进行监控审计
防火墙可以强化网络安全策略并集成其他安全防御机制

存在的威胁如下：

来自网络内部的安全威胁
通过非法外联的网络攻击
计算机病毒传播
针对开放服务安全漏洞的渗透攻击
针对网络客户端程序的渗透攻击
基于隐蔽通道进行通信的特洛伊木马或僵尸网络

防火墙技术和产品

包过滤技术
- 由路由功能基础上进行扩展，通过对网络层和传输层包头信息的检查，根据用户定义的安全策略规则集确定是否应该转发该数据包，将一些不符合安全策略的数据包阻挡在网络的边界处。
- 通常检查的信息包括数据包的源地址和目的地址、网络协议号、网络端口号、ICMP报文类型和号码等

基于状态监测的包过滤技术
- 动态包过滤技术维护所有通过防火墙的网络连接记录，并以此确定数据包是否属于一个新建的连接，或已是建立连接的一部分，或是一个非法数据包
- 除了检查每个独立的数据包之外，还会试图跟踪数据包在网络连接上的上下文关系，并以网络连接状态作为一个附加的匹配标准，以确定是否允许和拒绝通信，即在网络连接层次上匹配和实施防火墙规则

代理技术
- 是一种重要的计算机安全防护功能，允许客户端通过它与另一个网络服务进行非直接的连接，称为“网络代理”。提供代理服务的计算机或其他类型的网络节点称为代理服务器。
- 代理技术根据工作的网络协议栈层次不同，分为：应用层代理、电路级代理和NAT代理
  - 应用层代理技术工作在网络协议栈的应用层，针对于某一层具体的应用层网络服务提供细致而安全的网络保护，能够理解应用层协议的数据内容，并进行深入全面的安全检查。
  - 电路级代理技术工作在传输层，使得电路级代理可以同时为多种不同的应用服务提供支持，而不需要为不同的服务配置不同的代理程序
  - NAT代理技术网络地址转换是防火墙上通常实现的一项特殊代理技术，用来允许多个用户分享少量或单一的IP地址。工作在网络层，由内部网络发送往外部网络的IP数据包，使用了私有IP地址段作为其源代理，在到达NAT代理后，会把源IP地址和源端口部分替换成代理服务器的IP地址和另一指定的源端口。
防火墙产品
- 集成包过滤功能的路由器
- 基于通用操作系统的防火墙软件产品
- 基于安全操作系统的防火墙
- 硬件防火墙设备
防火墙部署方法
- 包过滤路由器
  - 将带有包过滤防火墙功能的路由器作为内部网络和外部网络之间唯一的连接点，路由器在完成其数据包路由转发基本功能的同时，将依据网络管理员配置的访问控制列表，对数据包进行过滤。
- 双宿主堡垒主机
  - 使用应用应用代理网关作为双宿主堡垒主机代替了包过滤路由器。双宿主堡垒主机有两个网络接口，一个使用IP地址连接外部网络，另一个使用私有IP地址连接内部网络，两个网络接口之间并不具备路由转发功能，仅仅由应用代理服务器程序为特定的网络提供应用代理。
- 屏蔽主机
  - 实际上是包过滤防火墙和应用代理技术的集成部署，这种部署模式采用屏蔽路由器和堡垒主机双重安全设施，所有进出内部网络的数据都要经过包过滤防火墙和堡垒主机，保证网络层和应用层的双重安全
- 屏蔽子网
  - 是在屏蔽主机模式的基础上进行改进的防火墙部署模式
Linux开源防火墙netfilter/iptables
- 其中netfilter是Linux内核中的实现防火墙的功能模块，实现了静态包过滤和报文状态检查；iptables是应用态的防火墙管理工具，通过命令行的方式允许用户为netfilter配置各种防火墙过滤和管理规则
- 命令语法为 iptables [-t table] command [match] [target]

其他网络防御技术

VPN 虚拟专用网，主要采用隧道技术、加解密技术、秘钥管理技术和使用者与设备身份认证技术。
- IPsec VPN、SSL VPN、MPLS VPN 是目前VPN最主要的三种技术和产品形态
内网安全管理以防火墙为代表的网络边界防护技术的有效补充
- 分为终端安全管理、终端运维管理、终端补丁分发管理和系统日志管理四部分
内容安全管理SCM 关注网络中传输内容的安全，需要更加深入地分析传输数据包的内容，从应用层中解析和分析出相关的网络行为，并依据网络的安全策略进行合规性检查和控制
统一威胁管理 UTM
- 是指由硬件、软件和网络技术组成的具有专门用途的设备，主要提供一项或多项安全功能

网络检测技术与系统

入侵检测技术

入侵者的分类：

外部渗透着破坏系统的外部边界访问控制机制
假冒者未经授权使用计算机或突破访问控制机制冒用合法用户账户的攻击者
违法者进行了越权操作的合法用户
秘密用户对系统具有完全的控制能力，并使用此能力绕过访问控制，规避安全审计，从而破坏系统的逻辑控制的内部用户

评价入侵加测算法的工具——ROC曲线
- ROC曲线越靠近坐标平面左上方的检测方法，其准确率越高、误报率越低、性能越好
入侵检测技术核心的任务是信息分析
- 误用检测称为特征检测，误用检测通过收集已知入侵行为的特征并进行描述，构成攻击特征库，然后对收集信息进行特征模式匹配，所有符合特征描述的行为均被视为入侵。
- 异常检测通常使用统计分析的方法来检测入侵，针对用户、系统、网络等对象建立起一些测量属性，统计出在正常模式下测量属性的范围轮廓，用于描述系统正常行为，进行检测时轮廓被用来与实际测量属性进行比较，当取值偏移正常轮廓，认为有入侵发生。
入侵检测系统的分类
- 从监测数据来源：基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）
- 从信息分析技术：误用检测方法和异常检测方法
- 采用的体系结构：集中式、层级式和协作式
snort 开源网络入侵加测系统软件，除了是一款跨平台、轻量级的网络入侵检测软件之外，还具备数据包嗅探、数据包分析与记录等多种功能
- 基本架构：
  - 数据包嗅探/解码器
  - 预处理器/插件
  - 检测引擎/插件
  - 输出模块/插件

视频学习

kali密码攻击之在线攻击

cewl 可以爬行网站获取关键信息创建一个密码字典，可以破解出管理员密码。
CAT 一个很小的安全审计工具，可以扫描Cisco路由器的一般性漏洞：例如默认密码，SNMP community字串和一些老的IOS bug （Cisco的操作系统）

findmyhash 在线hash破解工具

- indmyhash MD5 -h  <密文> 可以查到解密的密文

Hydra老牌破解工具

hydra -L user.txt -P pass.txt -F ftp://127.0.0.1:21  破解FTP服务
hydra -L user.txt -P pass.txt -F ssh://127.0.0.1:22  破解SSH服务
hydra -L user.txt -P pass.txt -F smb://127.0.0.1     破解SMB服务
hydra -L user.txt -P pass.txt -F mysql://127.0.0.1:21破解MySQL服务

上面是猜解各个对应服务的用户名及密码

Hydra -gtk 图形化界面版本
Medusa 与hydra类似

NCrack 突出了远程3389爆破的功能命令ncrack -vv -U windows.user -P windows.pwd 192.168.1.101:3389,cl=1 -f

onesixtyone 是一个snmp扫描工具，用于找出设备上的SNMP Community字符串，扫描速度非常快

patator 是一款python编写的多服务工具，如枚举一个服务用户名密码

phrasen|drescher 多线程支持插件式的密码破解工具
THC-PPTP-Bruter 针对PPTP VPN端点的暴力破解程序，支持最新的MSChapV2验证，对Windows和Cisco网关测试通过。

kali密码攻击之离线攻击工具

对于在渗透测试过程中获得的哈希、加密数据又需要离线工具辅助解决

creddump条件
- cache-dump pwddump 均为creddump套件的一部分，基于python的哈希抓取工具

chntpw 用来修改Windows的SAM文件实现系统密码修改，也可用来kali作为启动盘时删除密码的用途

crunch 实用的密码字典生成工具

图中命令生成以0876组合的1~3位的字符串。

dicstat 一款字典分析工具，可以分析出一个现有字典分布的状况，也可以按照一定的过滤器提取字典
fcrackzip 是一款zip压缩包密码破解工具

hashcat

hashcat的使用方式详细介绍

hashid 一款简单易用的哈希分析工具，可以判断哈希或哈希文件是由何种哈希算法加密的

hashidenifyer 与hasdid类似的一款工具
John the ripper 常用于Linux shadow中账户的密码破解工具

可以看到在/etc/shadow文件中账户的密码都是经过加密的

johnny 对应命令行版的John将其图形化

ophcrack 彩虹表Windows密码破译工具，对应有命令行版的phccrack-cli

彩虹表：彩虹表是一个用于加密散列函数逆运算的预先计算好的表, 为破解密码的散列值（或称哈希值、微缩图、摘要、指纹、哈希密文）而准备。一般主流的彩虹表都在100G以上。这样的表常常用于恢复由有限集字符组成的固定长度的纯文本密码。这是空间/时间替换的典型实践, 比每一次尝试都计算哈希的暴力破解处理时间少而储存空间多，但却比简单的对每条输入散列翻查表的破解方式储存空间少而处理时间多。使用加salt的KDF函数可以使这种攻击难以实现。彩虹表是马丁·赫尔曼早期提出的简单算法的应用。

pyrit 是一款无线网络密码破译工具，借助GPU加速，可以让WPA2密码破解更效率

rcrack 彩虹表密码哈希工具，使用了第一代彩虹表格式，按照参数破解即可

rcracki_mt也是一款彩虹表哈希破解工具，此工具支持最新格式的彩虹表进行哈希破解

rsmangler 字典处理工具，可以生成几个字串的所有组合形式，在生成社工字典时也可以用到，可以有选择性地关闭某些选项

使用示例：写一个test，其中包含了root和test两个字符串，使用smangler -f test命令，可以将所有可能的字符串生成。

samdump2 BKhive 是Linux下破解Windows下哈希的工具
- 首先获得Windows下的SAM和system文件
- 借助bkhive从system文件生成一个bootkey文件
- 再利用bootkey和SAM文件通过samdump2生成一个密码hash文件
- 使用John破解即可
SIPCrack 是针对SIP 协议数据包的破解工具，支持PCAP数据包与字典破解
SUCrack 借助su命令对本地root密码进行猜解工具
truecrack 针对truecrypt加密文件的密码破解工具

kali密码攻击之哈希传递攻击

PTH套件

哈希传递：passing the hash，中文一般翻译为hash传递攻击，在windows系统中，系统通常不会存储用户登录密码，而是存储密码的哈希值，在我们远程登录系统的时候，实际上向远程传递的就是密码的hash值。当攻击者获取了存储在计算机上的用户名和密码的hash值的时候，他虽然不知道密码值，但是仍然可以通过直接连接远程主机，通过传送密码的hash值来达到登录的目的。

要进行哈希传递攻击，需要有目标主机的哈希信息，利用Windows下的PWDUMP7抓取HASH。

如果要通过哈希传递远程获得cmdshell可以借助pth-winexe实现

keimpx 哈希传递工具，可以通过已有哈希信息GET一个后面shell 用python实现
metasploit 模块 exploit/windows/smb/psexec可以完成HASH传递攻击

kali密码攻击之无线安全分析工具

需要硬件上的支持，所以只能基于理论上的介绍

RFID/NFC工具可以实现IC卡的攻击与破解
软件定义无线电
蓝牙工具集
无线网络分析工具
- Aircrack -ng 是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测、数据包嗅探、WEP和WPA/WPA2-PSK破解。可以工作在任何支持监听模式的无线网卡上。
- cowpatty WPA-PSK握手包密码破解工具
- EAPMD5PASS 针对EAP-MD5的密码破解工具
- fern wifi cracker wifi密码的破解工具
- MDK3 一款无线DOS攻击测试工具，无线拒绝服务攻击，还具有针对隐藏ESSID的暴力探测模式、802.1X渗透测试、WIDS干扰等功能
- WiFiite是一个自动化的无线网审计工具，由python编写

Python黑帽子

使用urllib2库

在运行课本上的使用GET访问No Starch Press网站时，发现了这个错误，百度后是由于网站禁止网络爬虫而显示的错误，于是我在浏览器上访问这个网站，发现在访问这个网站之前，需要输入验证码，说明是网站限制我们的访问，我将代码改成了百度重新尝试，运行后没有任何显示，我们尝试修改返回body()的编码格式：print body.read().decode("utf-8")

得到结果