教材学习
第五章:TCP/IP网络协议攻击
1、网络安全属性与攻击模式
网络安全是指网络系统的硬件、软件及其系统受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常运行,网络服务不被中断。
网络安全的三个基本属性:机密性、完整性和可用性。国际电信联盟在X.800安全体系标准中还定义了网络安全的其他两个属性:真实性和不可抵赖性。
网络攻击基本模式:在网络通信中,攻击者可采取如下四种基本攻击模式:截获(被动,具体攻击技术为嗅探与监听)、中断、篡改与伪造(主动)。
2、TCP/IP网络协议栈安全缺陷与攻击技术
(1)网络层协议攻击
网络嗅探与协议分析
MAC欺骗攻击
网络嗅探与协议分析网络嗅探分析
(2)互联层协议攻击
IP地址欺骗
IP分片攻击
ICMP路由重定向
ARP欺骗
路由欺骗攻击
(3)传输层协议攻击
TCP RST攻击
TCP SYN Flood攻击
TCP会话劫持
UDP flood
(4)应用层攻击
DNS欺骗
SMB中间人攻击
钓鱼
网页木马攻击
3、常见攻击原理介绍
(1)IP源地址欺骗
原理:IP源地址欺骗的可以实现的根本原因在于IP协议在设计时只使用数据包中的目标地址进行路由转发,而不对源地址进行真实性的验证。通常,攻击者无法获取到响应包,因此IP源地址欺骗技术主要用于攻击者不需要响应包或存在某些技术可以猜测响应包的情况下,如拒绝服务攻击。而且如果攻击者与假冒IP地址处于同一局域网内,可以实施ARP欺骗或路由重定向攻击劫持响应包。
应用场景:普遍应用于拒绝服务中,或网络扫描时,基于IP地址的身份认证等。
IP源地址欺骗的防范措施:
(1)使用随机化的初始序列
(2)使用网络层安全传输协议
(3)避免采用基于IP地址的信任策略
(4)在路由器和网关上实施包过滤
(2) ARP欺骗
原理:ARP欺骗,又称ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,完成欺骗。该技术实施的关键是不断向请求主机广播错误的ARP映射关系,导致正确的被淹没。如果被攻击的是网关节点,那么将导致整个局域网所有节点经过网关出入的数据包都会首先通过攻击节点,从而被嗅探。
应用场景:交换式网络中进行局域网中嗅探,进一步协议分析窃取敏感信息。
防范措施:主要方法有静态绑定关键主机的IP地址与MAC地址映射关系、使用相应的ARP欺骗防范工具(ARP欺骗防火墙)、使用VLAN虚拟子网细分网络拓扑,并加密传输数据以降低ARP欺骗攻击的危害后果等。还可以使用一些工具软件查找ARP欺骗攻击源,如nbtscan和Anti ARP Sniffer。<br>
(3)ICMP路由重定向攻击
ICMP是一种管理数据包的协议,包括差错报告类和控制类。<br>
差错报告类:目的站不可达、数据报超时、数据报参数错误<br>
控制类报文:请求/应答类、通知类,通知类包括源站抑制和路由重定向。<br>
路由重定向就是指定数据包的路径,值得注意的是主机只会接收它之前所用的路由器发来的路由重定向报文,而拒绝其它IP地址的该类报文。<br>
(4)TCP RST攻击
攻击者通过嗅探方式监视通信两端的TCP连接,在获得源、目标IP地址及端口,以及序列号之后,就可以伪装成通信的一方发送TCP重置报文给另一方,即可直接关闭此链接。
(5)TCP会话劫持攻击
目标是劫持通信双方已建立的TCP会话连接,假冒其中一方身份与另一方通信。
(6)TCP SYN Flood拒绝服务攻击
DOS是目前比较有效但又难防御的一种攻击方式,目的是使服务器不能提供正常的网络服务。
TCP SYN Flood又称SYN洪泛攻击,是向主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的连接队列资源,从而不能为正常用户提供服务。
原理:攻击者向受害主机发送大量的伪造源地址的TCP SYN报文,受害主机分配必要的资源,并向源地址返回SYN+ACK包,并等待源端返回ACK包,如果伪造的源地址活跃,将返回一个RST包直接关闭连接,但大多数伪造的源IP地址使非活跃的,这种情况下受害主机一直发送SYN+ACK包,将半开连接放入端口的积压队列中,消耗资源。
(7)UDP Flood拒绝服务攻击
由于UDP协议的无状态不可靠的天然特性,UDP Flood拒绝服务攻击只需向目标主机发送大量的UDP数据包,造成目标主机负载显著提升,或目标网络堵塞。
4、原始报文伪造技术及工具
Netwox:强大且易用的开源工具包,可以创建任意的TCP/UDP/IP数据报文
Netwag:GUI界面,发送伪造的欺骗数据包。
第六章:网络安全防范技术
1、安全模型
为了保障被称为“信息安全金三角”的CIA安全属性,即机密性、完整性和可用性,信息安全领域提出了一系列的安全模型来指导信息系统安全体系建设,以增强信息系统的安全性。在理论模型方面,先后出现了针对机密性的BLP多级安全策略模型、针对完整性保护的Biba模型和Clark-Wilson模型等。但是并没有被广泛接收。
被广泛接受的是PDR模型和PPDR模型。PPDR模型的基本描述为:网络安全=根据风险分析定制安全策略+执行安全防护策略+实时检测+实时响应。(1)策略体系的建立包括安全策略的定制、评估、执行等;(2)防护机制的实现方法主要有防火墙、加密、身份认证和访问控制等方法;(3)主要的检测技术包括入侵检测和漏洞评估;(4)响应措施主要包括应急处理、备份恢复、灾难恢复。
2、网络安全防范技术与系统
2.1 防火墙
(1)防火墙概念
置于不同的网络安全域(如内部网和外部网、专用网与公共网)之间,对网络流量或访问行为实施访问控制的安全组件或设备。
(2)防火墙的功能
-
基本功能:在计算机网络中不同信任程度网络域之间控制数据流的传送。
-
为网络管理员提供如下安全功能:
检查控制进出网络的网络流量;
防止脆弱或不安全的协议和服务;
防止内部网络信息的外泄;
对网络存取和访问进行监控审计;
强化网络安全策略并集成其他安全防御机制;
(3)防火墙的不足
目前防火墙并不能“一劳永逸”应对网络安全威胁,一方面是因为防火墙作为网络边界访问控制机制的先天不足,另一方面则是防火墙技术方面存在的瓶颈。
-
作为网络边界防护机制而先天无法防范的安全威胁:
来自网络内部的安全威胁
通过非法外联的网络攻击
计算机病毒传播 -
由于技术瓶颈问题目前还无法有效防范的安全威胁:
针对开放服务安全漏洞的渗透攻击
针对网络客户端程序的渗透攻击
基于隐蔽通道进行通信的特洛伊木马或僵尸网络
(4)防火墙关键技术
包过滤技术
定义:包过滤防火墙对网络层和传输层包头信息检查,根据用户定义的安全策略规则集,确定是否转发该数据包,将不符合安全策略的数据包阻挡在网络的边界处,起到安全作用。
特点:不关注数据包是否是网络流的一部分,即不存储关于网络连接状态的任何信息,而仅仅根据数据包自身包含的信息进行检查和过滤,通常检查的信息包括数据包的源地址和目的地址、网络协议号、端口号、ICMP报文类型和号码等。
优点:对于小型内部网络来说,经济实用。在实际中,常常在路由器上使用包过滤功能为小型网络构建防火墙;由于无须维护网络连接状态因而非常高效,不会对网络通信性能造成影响。
缺点:安全功能有限。
基于状态检测的包过滤技术
定义:基于状态检测的包过滤技术也称为动态包过滤,动态包过滤技术维护所有通过防火墙的链接记录,并依此确定数据包是否属于一个新的链接,或是已建链接的一部分,或是一个非法数据包。是目前应用最广泛的防火墙技术。
除了检查每个独立的数据包之外,还会试图跟踪数据包在网络链接上的上下文关系。对于基于TCP/UDP网络协议的数据包,进行跟踪的方式有所区别:
对于基于TCP协议的数据包:防火墙依据三次握手特征对数据包所属的链接进行识别,通常情况下,防火墙丢弃外部链接请求,除非在某条匹配策略中处理他们,对于由内往外发出的数据包,防火墙将记录该链接请求,允许外部的响应数据包及随后往来于两个系统之间的通信数据包,直到链接结束为止。
对于基于UDP协议的数据包:对于传入的数据包,若它所使用的地址和协议与传出的某个链接请求相匹配,则允许数据包通过。
优点:比包过滤技术更安全;
缺点:要跟踪和维护所有网络链接的状态,因此实现复杂度较高、对网络传输性能影响较大。
代理技术
定义:代理允许客户端通过它与另一个网络服务进行非直接的链接,也称网络代理。提供代理服务的计算机或其他类型的网络节点称为代理服务器。根据工作的网络协议栈层次的不同,代理技术包括应用层代理、电路级代理和NAT代理。
(1)应用层代理技术:应用层代理工作在网络协议栈的应用层,针对某一种具体的应用层网络服务提供细致而安全的网络保护,可以理解应用层数据,并进行深入全面的安全检查。常见的应用代理服务有:HTTP代理、邮件代理等。
优点:网络内部不直接与外部通信,可以隐藏内网信息;可以对应用层数据进行严格检查;采用存储转发机制,因此可以方便在线审计;可以提供用户级身份认证,让代理服务器为已知的、合法的用户提供服务,进一步保证安全性。
缺点:对于每种不同的应用层服务,都需要相应的一种应用代理服务程序;应用代理的解析和处理内容多,因而处理的速度较慢,不适合应用在主干网络中;需要为每种服务单独设置一个代理服务器,从而代价较高;通常无法支持非公开协议的服务。
(2)电路级代理技术:和应用代理技术的原理基本相似,不同的是,电路级代理工作在传输层,而非应用级代理所在的应用层。
优点:使用电路级代理可以同时为多种不同的应用服务提供支持,而不需要为不同的服务配置不同的代理程序;电路级代理相当于工作在TCP层上的中继,能够在中继过程中检查和处理各种异常的数据包,并和应用代理一样能隐藏内网信息,也可以使用用户级的身份认证技术提供额外的安全保障。
缺点:安全性低于应用层代理
(3)NAT代理技术:即网络地址转换,用来允许多个用户分享少量或单一的IP地址。
原理:NAT技术工作在网络层,由内部发往外部网络的IP数据包,使用了私有IP地址段作为其源地址,在到达NAT代理后,将会把源IP地址和源端口部分代替为代理服务器的IP地址和另一指定的源端口,同时NAT代理将维护地址转化成映射列表,将转换之前的私有网段源地址和原先端口号及转换之后的源端口号之间的映射关系记录在这个列表中,以供NAT代理在接收到该网络链接的响应包时,将其目的地址和目标端口地址转换为私有网段地址和源端口号,并发送给私有网段中的客户端主机。
优点:内部网络使用的IP地址来自于一个保留的私有网段,管理员可以在内网中任意添加和删除主机而不与其他组织使用的IP地址冲突。隐藏了内部的主机IP,而且当向某个外部地址发送出站包时,NAT才允许来自该文外部地址的流量入站,这事NAT具备一定的安全防护能力。
(5)防火墙部署方法
包过滤路由器
带有包过滤防火墙功能的路由器作为内部和外部网络之间唯一的连接点,路由器在完成其数据包路由转发基本功能的同时,将依据网络管理员配置的访问控制列表,对数据包进行过滤。<br>
双宿主堡垒主机
它使用应用代理网关作为双宿主堡垒主机,代替了包过滤路由器。双宿主堡垒主机具有两个接口,一个使用公网IP连接外部网络,一个使用私有IP连接内部网络,两个接口之间并不具备路由转发功能。
缺点:对内部网络对外的网络访问控制过于严格,只能允许访问应用代理所支持的一些网络应用协议;另一方面,双宿主堡垒主机运行在一个通用操作系统的平台上,一旦被攻破,内部网络将暴露在攻击者面前。<br>
屏蔽主机
实际上是包过滤防火墙和应用代理技术的集成部署,这种部署模式采用屏蔽路由和堡垒主机双重安全设施,所有进出内部网络的数据都要经过包过滤防火墙和堡垒主机,由包过滤防火墙进行网络层的访问控制,堡垒主机进行应用安全控制,保证了网络层和应用层的双重安全。
除了为内部网络提供互联网接入之外,如果还想向互联网提供一些服务,如web,也可以在包过滤防火墙之后,在与应用代理服务器同一网段内放置这些服务器,但如果对外开放的服务器被攻破,内部网络也将暴露给攻击者,因此需要更安全的防火墙部署模式解决这一问题。
屏蔽子网
屏蔽子网部署方式如上图所示,是在屏蔽主机的基础上进行改进。它与屏蔽主机的区别在于:在应用代理及对外服务器所构成网段和内部主机之间安装了第二个包过滤防火墙,应用代理及对外服务器所处的网段也被称为DMZ(非军事区)。在DMZ区域中通常包括堡垒主机、modem池以及所有的公共服务器。
在这个防火墙部署模式中,包括两个包过滤防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对内部网络的访问,而且是内部网络的第三道防线。
2.2 其他网络防御技术
VPN
即虚拟专用网(VPN),它的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。
IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
内网安全管理
内网安全技术有效的对内网终端进行安全管理和健康状态监控,从而增强了内部网络的安全性。
内网安全管理一般分为终端安全管理、终端运维管理、终端补丁分发和系统日志管理四部分。
内容安全管理SCM
防火墙主要进行网络层面的访问控制、内容安全管理则主要关注网络中传输内容的安全,需要深入分析数据包,从应用层中解析和分析出相关的网络行为,并依据网络的安全策略进行合规性检查和控制。目前属于此范畴的产品包括网络行为监控审计类设备、绿色上网软件、防蠕虫网管等。
统一威胁管理
统一威胁管理(UTM,Unified Threat Management)是指一个功能全面的安全产品,它能防范多种威胁。UTM产品通常包括防火墙,防病毒软件,内容过滤和垃圾邮件过滤器。
目前它主机代替传统的防火墙,成为主要的网络边界安全防护设备。
网络检测技术与系统
1、概述
入侵检测已成为防火墙等网络防御技术的必要补充。1980年,J.Anderson将入侵者分类且进一步提出入侵检测技术的主要分析模型,异常检测和误用检测。1990年,将网络流作为审计数据的来源,正式形成了基于主机的入侵检测系统和基于网络的入侵检测系统。
2、入侵检测技术评估指标
检测率:检测率指入侵检测系统捕获到的攻击行为数目和全部攻击数目之比。
误报率:对正常行为的误报数目和入侵检测系统所输出的全部报警数目之比。
3、入侵检测技术
信息收集是入侵检测的基础,早期主要是在系统主机层面上收集信息,内容多以操作系统的各种日志记录为主。后期出现了基于网络的入侵检测系统,主要是主动的监视网络流量信息来追踪可疑的攻击行为,扩大了信息收集覆盖面,而不受到特定操作系统和日志软件数据格式的限制。
两种重要的信息分析技术类型:
(1)误用检测
通过收集已知攻击行为的特征并进行描述,构成攻击特征库,然后对收集的信息进行特征模式匹配。
(2)异常检测
建立系统的正常模式轮廓,若实时获得的系统或用户轮廓值与正常的值差异超出指定的阈值,就进行入侵报警。
目前都是以误用检测方法为主,并融合了一些异常检测技术作为补充。
Kali视频学习
KaliSecurity - 密码攻击之在线攻击工具
1、cewl
可通过爬行网站获取关键信息创建一个密码字典。
2、CAT
很小的安全审计工具,扫描Cisco路由器的一般性漏洞,如默认密码,SNMP community字串和一些老的IOS bug(Cisco的操作系统)。
3、Findmyhash
在线哈希破解工具,借助在线哈希网站的接口制作的工具
4、老牌破解工具Hydra
使用参数简单易懂:
破解FTP服务:hydra -L user.txt -F ftp://127.0.0.1:21
破解SSH服务:hydra -L user.txt -F ssh://127.0.0.1:22
SMB:hydra -L user.txt -F ssh://127.0.0.1
破解MSSQL账号密码:hydra -L user.txt -F ssh://127.0.0.1:1433
使用指令打开ssh服务
由于本地没有密码字典,所以错误
5、hydra-gtk图形化界面
6、Medusa
类似hydra
7、NCrack
相似功能基本类似,突出了RDP(3389)爆破功能。
8、onesixtyone
一个snmp扫描工具,用于找出设备上的SNMP Community 子串,扫描速度非常快
9、Patator
一款Python编写的多服务破解工具,如枚举一个服务用户名密码。
10、phrasen|drescher
多线程支持插件式的密码破解工具。
11、THC-PPTP-Bruter
针对PPTP VPN端点(TCP端口1723)的暴力破解程序。
KaliSecurity - 密码攻击之离线攻击工具(一)
1、Creddump套件
kali Linux离线攻击工具中的Cache-dump,lsadump与pwdump均为creddump套件的一部分,基于Python的哈希抓取工具。
2、Chntpw
用来修改Window SAM文件实现系统密码修改,亦可在kali作为启动盘时作删除密码的的用途。
3、Crunch
实用的密码字典生成工具,可以指定位数生成暴力枚举字典。
4、Dictstat
是一款字典分析工具,可以分析出一个现有字典分布情况,也可按照一定的过滤器提取字典。
5、Fcrackzip
kali下一款ZIP压缩包密码破解工具。
6、Hashcat
强大的密码破解软件,系列软件包含Hashcat,oclHashcat,还有一个单独新出的oclRausscrack,其区别为Hashcat只支持CPU破解,oclGausscrack则支持gpu加速,oclHashcat则分为AMD版和NAVID版。
7、Hashid
简单易用的哈希分析工具,可以判断哈希或哈希文件是何种哈希算法加密的。
8、HashIdentify
是一款Hashid类似的一款工具。输入哈希值,判断最有可能的哈希种类。
9、John the ripper
老牌密码破解工具,常用于Linux shadow中账户的密码破解,社区版也支持MD5-RAW等哈希的破解。
KaliSecurity 密码攻击之离线攻击工具(二)
1、Ophcrack
彩虹表Windows密码哈希破解工具,对应有命令行版的ophcrack-cli
2、Pyrit
无线网络密码破解工具,借助GPU加速。
3、Rcrack
彩虹表密码哈希工具,使用了第一代彩虹表(RT格式),当然首先,我们需要有足够容量的彩虹表,按照参数破解即可。
4、Rsmangler
字典处理工具,可以生成几个字串的所有可能组合形式,在生成社工字典时亦可用到,可以有选择性的关闭某系选项。
5、Samdump2与BKhive
Linux下破解Windows下哈希的工具
首先获取win下的文件
SAM文件:C:windowssysytem32configSAM
system文件:C:windowssystem32configsystem
先用bkhive从system文件生成一个bootkey文件
bkhive system bootkey
在用bootkey和SAM文件通过samdump2生成一个密码哈希文件
samdump2 SAM bootkey > hashes
接着用John破解John hashes即可
6、SIPCrack
SIPCrack是针对SIP protocol协议数据包的破解工具,支持PCAP数据包与字典破解。
7、SUCrack
借助su命令进行本地root账户的密码破解。
8、Truecrack
一款针对TrueCrypt加密文件的密码破解工具
KaliSecurity - 密码攻击之哈希传递攻击
在Windows系统中,系统通常不会存储用户登录密码,而是存储密码的哈希值,在我们远程登录系统的时候,实际上向远程传输的就是密码的hash,当攻击者获取了存储在计算机上的用户名和密码的hash值的时候,他虽然不知道密码值,但是仍然可以通过直连远程主机,通过传送密码的hash值来达到登陆的目的。
1、Passing thehash套件
要进行哈希传递攻击,首先我们要有目标主机的哈希信息,以Pwdump7抓取hash为例,pth套件每个工具都针对win下响应的exe文件,如使用pth-winexe可以借助哈希执行程序得到一个cmdshell。
2、Keimpx
一款Python编写的哈希传递工具,可以通过已有的哈希信息GET一个后门shell。
3、Metasploit
模块exploit/windows/smb/psexec亦可完成HAsh传递攻击。
Kali无线安全分析工具
Kali下有丰富的无线网络攻击套件:
RFID/NFC工具:与之相关的是IC卡的工具与破解,有时需要专业的分析硬件如Proxmark3.<br>
蓝牙工具集<br>
无线网络分析工具<br>
1、Aircrack
是一个与801.11标准的无线网络分析有关的安全软件,主要功能:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSK破解,Aircrack-ng可以工作在任何支持监听模式的无线网卡上并嗅探802.11a,802.11b,802.11g的数据。该程序可运行在Linux和Windows上,Linux版本已经被移植到了Zaurus和Maemo平台上。
2、Cowpatty
一款知名的WPA-PSK握手包密码破解工具 。
3、EAPMD5PASS
针对EAP-MD5的密码破解工具
4、图形化的Fern WiFi Cracker
无线网络分析中如果要使用虚拟机中的kali Linux,则需要外置无线网卡。
5、MDK3
是一款无线DOS攻击测试工具,另外还有其他针对隐藏ESSID的暴力探测模式,802.1x渗透测试,WIDS干扰等功能。
6、wifite
自动化的无线网审计工具,可以完成自动化破解,Python脚本编写,结合Aircrack-ng套件与Reaver工具。
7、Reaver
对开启WPS的路由器PIN码进行破解。