網絡監聽
網絡監聽的實現方式:共享乙太網的工作原理
Sniffer(嗅探器)
Sniffer,網絡嗅探器,也叫抓數據包軟體,是一種基於被動偵聽原理的網絡分析方式。使用這種技術方式,可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。
*必須是共享乙太網
*把本機上的網卡設置為雜模式
交換式網絡的的嗅探
*輸入命令:ARPredirect-t192.168.0.2 192.168.0.1
主機A和主機B要進行通信,發送數據幀1給主機B,但主機B和嗅探主機C都可以收到,所以我們只要想辦法使主機C的網卡接收這些數據幀就可以了。而網卡也恰好提供了這樣一種工作模式----混雜模式。在混雜模式下,網卡會接收流經本地主機的所有數據幀。
檢測網絡監聽的手段
*反應時間。由於正常系統主機不會處理,未知物理地址的數據包,因此當向疑為被監聽主機發送大量不存在的物理地址的偽造數據包時,由於監聽程序會對這些數據包一樣進行處理,因此使得響應時間大大延長,而正常的系統主機的回應時間則沒有明顯變化。
*DNS測試。監聽器需要通過發送DNS反向查詢要求的數據包來發現與IP位址有關的域名信息。因些監測被要測主機產生的DNS數據流就可以判斷主機是否遭到監聽。所以當Ping一個偽造的主機IP位址時,如果發再該主機對此IP位址提出了反向查詢的DNS請求,則說明該主機有可能正在實施監聽行為。
*利用Ping進行監測。當懷疑某主機上運行有監聽程序時,可以試著用正確的IP位址和錯誤的物理地址分別去ping,如果兩種情況下主機都做出響應則說明確實有監聽程序在運行,因為正常的機器是不會接受錯誤物理地址的,但此方法依賴於系統IP堆棧,並不適用於所有系統。查找區域網中的ARP攻擊可以通過以下方法,其一,查看交換機的地址映射表來確定攻擊源的MAC地址;其二,也可以反過來通過在網絡中部署嗅探器工具,對ARP攻擊源的MAC地址進行定位;其三,直接Ping網關ip地址,然後用arp-a命令查看與網關IP位址對應的MAC地址,此MAC地址即為攻擊者的真實地址。
*利用ARP數據包進行監測。這個和ping監測差不多,都是防止ARP欺騙攻擊。
練習:
以下關天網絡監聽說法錯誤的是( )
A. 進行網絡監聽時必須把本機上的網卡設置為混雜模式
B. Sniffer實施網絡監聽的網絡必須是共享乙太網
C. 網絡監聽的困難程度跟乙太網的安全性沒有關聯
D. 加密技術可用於了范網絡監聽
答案:C
口令攻擊
口令的攻擊類型及破解方法
~口令的攻擊類型
*字典攻擊。在破解密碼或密鑰時,逐一嘗試用戶自定義詞典中的可能密碼(單詞或短語)的攻擊方式。與暴力破解的區別是,暴力破解會逐一嘗試所有可能的組合密碼,而字典式攻擊會使用一個預先定義好的單詞列表(可能的密碼)。
*強行攻擊。即暴力攻擊,使用大量常見或泄露密碼進行大量訪問嘗試的簡單粗暴的密碼攻擊。強行攻擊許多人認為如果使用足夠長的口令,或者使用足夠完善的加密模式,就能有一個攻不破的口令。事實上沒有攻不破的口令,這只是個時間問題。如果有速度足夠快的計算機能嘗試字母、數字、特殊字符所有的組合,將最終能破解所有的口令。
*組合攻擊。詞典攻擊只能發現詞典單詞口令,但是速度快。強行攻擊能發現所有的口令,但是破解時間很長。鑑於很多管理員要求用戶使用字母和數字,用戶的對策是在口令後面添加幾個數字。如把口令ericgolf變成ericgolf55。錯誤的看法是認為攻擊者不得不使用強行攻擊,這會很費時間,而實際上口令很弱。有一種攻擊使用詞典單詞但是在單詞尾部串接幾個字母和數字。這就是組合攻擊。
~Email口令破解
*利用郵件伺服器作業系統的漏洞
*利用郵件伺服器軟體本身的漏洞
*在郵件傳輸過程中竊聽
~口令攻擊的防護
*使用複雜的口令
*口令的安全管理
練習:
不能破解Email口令的方式是()。
A. 通過郵件伺服器作業系統的漏洞入侵系統
B. 獲取郵件伺服器的root權限
C. 在網絡中安裝Sniffer對郵件進行竊聽
D. 對網絡中的ARP數據包進行監呼
答案:D 。 D是ARP欺騙,並不能破解口令
拒絕服務攻擊
~拒絕服務攻擊的原理
*消耗系統資源(帶寬、內存、隊列、CPU)
*導致目標主機宕機
*阻止授權用戶正常訪問服務(慢、不能連接、沒有響應)
拒絕服務攻擊種類
|
DoS攻擊名稱 |
說明 |
|
同步包風暴 (SYN Flood) |
利用TCP協議缺陷發送大量偽造的TCP連接請求,使得被攻擊者資源耗盡,三次握手,進行了兩次(SYN)(SYN/ACK),不進行第三次握手(ACK),連接隊列處於等待狀態,大量的這樣的等待,占滿全部隊列空間,系統掛起。 |
|
Ping of Death (死亡之Ping) |
攻擊者故意發送大於65535位元組的IP數據包給對方,導致內存溢出,這時主機就會出現內存分配錯誤而導致TCP/IP堆棧崩潰,導致死機! |
|
Teardrop (淚滴) |
分段攻擊,偽造數據報文向目標主機發送含有重疊偏移的數據分段,通過將各個分段重疊來使目標系統崩潰或掛起。 |
|
Winnuke (藍色炸彈) |
針對windows系統開放的139埠,只要向該埠發送1位元組的TCP帶外數據OOB,就可以使windows系統出現藍屏錯誤,並且網絡功能完全癱瘓。 |
|
LAND |
也是利用三次握手的缺陷進行攻擊,將SYN數據包的源地址和目的地址都設置為目標主機的地址,目標主機向自己回以SYN+ACK包,導致自己又給自己回一個ACK並建立自己與自己的連接,當這種無效連接達到一定數量,目標主機將會拒絕新的連接請求。 |
|
Smurf |
攻擊者偽裝目標主機向區域網的廣播地址發送大量欺騙性的ICMP ECHO請求,這些包被放大,並發送到被欺騙的地址,大量的計算機向一台計算機回應ECHO包,目標系統將會崩潰。 |
|
電子郵件轟炸 |
針對服務埠(SMTP埠,即25埠)的攻擊方式,攻擊者通過連接到郵件伺服器的25埠,按照SMTP協議發送幾行頭信息加上一堆文字垃圾,反覆發送形成郵件轟炸。 |
|
低速率拒絕服務攻擊(LDOS) |
與洪泛式拒絕服務攻擊截然不同,量大特點是不需要維持高速率攻擊流,耗盡受害者端所有可用資源,而是利用網絡協議或應用服務中常見的自適應機制,如TCP的擁塞控制機制中所存在的安全漏洞,通過周期性地在一個特定的短暫時間間隔內突發性地發送大量攻擊數據包,從而降低被攻擊端服務性能。 |
|
分布式拒絕服務攻擊(DDOS) |
引入了分布式攻擊和C/S結構,客戶端運行在攻擊者的主機上,用來發起控制代理端;代理端運行在已被攻擊者侵入並獲得控制的主機上,從主控端接收命令,負責對目標實施實際的攻擊,利用C/S技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。 |
練習:
有一種攻擊是不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓。這種攻擊叫做()。
A. 重放攻擊
B. 拒絕服務攻擊
C. 反射攻擊
D. 服務攻擊
答案:B
屬於DDOS的攻擊方式是()。
A. 通過主控程序控制代理端實施攻擊
B. 利用網絡協議的安全漏洞周期性的發送大量攻擊數據包
C. 利用目標受害系統的自身資源實現攻擊意圖
D. 使用IP廣播和IP欺騙的方法,發送偽造的數據包給目標網絡的IP廣播地址
答案:A。 B網絡風暴 C,UDP洪泛攻擊 D,smurf攻擊