针对TCP/IP各层的常见攻击
思考题
为什么ARP欺骗攻击容易实现？ 如何实现IP欺骗攻击？ TCP协议与UDP协议有何区别？ 为什么TCP建立连接是三次握手，而断开连接是四次握手？
Thank you
设备破坏攻击的目的主要是为了中断网络服务
设备破坏攻击防范
主要靠非技术方面的因素，比如建造坚固的机房，指定严格的安 全管理制度，对于需要铺设在外部环境中的通信电缆等，采用各 种加强保护措施及安全管理措施
线路侦听
物理层网络设备
集线器
中继器
无线网络 对线路侦听的防范
侦听者
对于网络中使用集线器，中继器之类的，有条件的话置换设备为交换机 等
提供应用程序网络接口 建立端到端连接 寻址和路由选择 物理介质访问
套接字
HTTP FTP
Telnet SMTP
DNS
80
20/21 23
25
53
TFTP
69
SNMP
161
TCP
UDP
IP 数 据 包
套 源套接字：源IP地址＋协议＋源端口
接
字 目的套接字：目的IP地址＋协议＋目的端口
数据链路层协议
接收方
应用层
解 封
传输层
装 过 网络层
程
数据链路层
1010101101010100101010001110
TCP/IP协议栈各层作用
应用层 HTTP, Telnet, FTP,TFTP, DNS
传输层
TCP/UDP
网络层
ICMP, IGMP
IP
ARP, RARP
数据链路层 Ethernet, 802.3, PPP, HDLC, FR
ack
1
1 54002 11001
A 信任 B 主机 B
TCP拒绝服务——SYN Flood攻击
Syn 攻击者
Server
SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文 ，造成大量未完全建立的TCP连接，占用被攻击者的资源。
UDP拒绝服务——UDP Flood攻击
攻击者
UDP
对于无线网络，使用强的认证及加密机制，这样窃听者即使能获取到传 输信号，也很难把原始信息还原出来
MAC欺骗
MAC欺骗是一种非常直观的攻击，攻击者将自己的MAC地址更改为 受信任系统的地址。
对于MAC攻击的防范措施
在交换机上配置静态条目，将特定的MAC地址始终与特定的端口绑定
F0-DE-F1-33-7F-DA
目标
学完本课程后，您将能够:
了解OSI模型 理解TCP/IP协议原理 了解TCP/IP协议存在的安全隐患 理解针对TCP/IP各层常见攻击的技术原理
目录
1. TCP/IP协议基础 2. TCP/IP协议安全 3. 常见网络攻击方式
OSI模型的提出
OSI模型提出的目的 OSI模型设计原则 OSI模型的优点
Port Scan
攻击者
缓冲区溢出攻击
攻击软件系统的行为中，最常见的一种方法 可以从本地实施，也可以从远端实施 利用软件系统（操作系统，网络服务，程序
库）实现中对内存操作的缺陷，以高操作权 限运行攻击代码 漏洞与操作系统和体系结构相关，需要攻击 者有较高的知识/技巧
Stack
Data Code
IP欺骗攻击（IP Spoofing）
节点间的信任关系有时会根据IP地址来建立 攻击者使用相同的IP地址可以模仿网络上合法主机，访问关键信息
A: 192.168.0.1
Sniffer 192.168.0.1
B:192.168.0.6
攻瘫 sniffered
request
Smurf 攻击
192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5
192.168.1.1 攻击者
TCP欺骗
非授权连接
攻击主机 C
SYN seq
ack
1 11000
0
spoofed packet from C to A
ACK seq
ack
1 11001 54003
spoofed packet from B to A
拒绝服务攻击 from C to B
主机 A
SYN ACK seq
ICMP Echo request, src=128.100.100.2 dest = 192.168.1.255
192.168.1.1
ICMP Echo replies
Attacker controls this host
Victim: 128.100.100.2
ICMP 重定向和不可达攻击
192.168.1.2
Attacker controls this host
为什么收不 到数据包？
受害主机 128.1MP报文探测目标地址，或者使用TCP/UDP报文对一定 地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确 实存活着并且连接在目标网络上。
192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5
以太网协议封装
目的地址 源地址 类型
6字节
6字节
2字节
类型信息
类型，0x0800：代表IP 类型，0x0806：代表ARP 类型，0x8035：代表RARP
数据
46-1500字节
CRC
4字节
网络层协议
0
4
8
16
19
31
版本 报文长度 服务类型
总 长度
标识符
标志
片偏移
生存时间TTL
协议
报头校验和
三次握手
Client
Server
断开TCP连接
四次握手
主动关闭方
被动关闭方
目录
1. TCP/IP协议基础 2. TCP/IP协议安全 3. 常见网络攻击方式
TCP/IP协议栈-IPV4安全隐患
缺乏数据源验证
1
机制
3
缺乏机密性保 障机制
2 缺乏完整性验证 机制
TCP/IP协议栈常见安全风险
关系 OSI
TCP/IP
应用层 表示层 会话层 传输层 网络层
应用层
传输层 网络层
数据链路层
数据链路层
物理层
TCP/IP协议栈封装解封装过程
发送方
应用层 传输层 网络层
APP 用户数据
封 装 TCP APP 用户数据 过 程 IP TCP APP 用户数据
数据链路层
Eth IP TCP APP 用户数据
针对WEB应用的攻击
常见的攻击
对客户端的
含有恶意代码的网页，利用浏览器的漏洞，威胁本地系统
对Web服务器的
利用Apache/IIS…的漏洞 利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞
通过Web服务器，入侵数据库
目录
1. TCP/IP协议基础 2. TCP/IP协议安全 3. 常见网络攻击方式
192.168.1.3
192.168.1.4 Many ICMP Redirect
192.168.1.5
Many ICMP dest unreachable flood to 192.168.1.x, src=128.100.100.2
192.168.1.1
网关收到不 到数据包
Attacker controls this host
Server
攻击者通过向服务器发送大量的UDP报文，占用服务器的链路带宽 ，导致服务器负担过重而不能正常向外提供服务。
端口扫描攻击防范
Port Scan 攻 击 通 常 使 用 一 些 软 件 ， 向 大 范 围 的 主 机 的 一 系 列 TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口 提供服务。
数据链路层
物理层
A
Router A 网络层
数据链路层
物理层
D C
B Router B 网络层
数据链路层
物理层
E Router C 网络层
数据链路层
物理层
应用层 表示层 会话层 传输层 网络层
数据链路层
物理层
TCP/IP和OSI的对应关系
TCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应
被动攻击
主机 A
Internet
侦听
主机 B
我要获取机密 信息
主动攻击
企业业务资源
Internet
主机 A
假冒攻击 假冒部位 数据载荷
篡改攻击
报文首部 篡改内容
拒绝服务攻击
中间人攻击
主机 A
被 动 攻 击
Internet
信息 窃取
信息 篡改
攻击者
主机 B
主 动 攻 击
总结
OSI模型 TCP/IP协议原理 TCP/IP协议存在的安全问题
漏洞、缓冲区溢出攻击 WEB应用的攻击、病毒及木马、……
TCP 欺骗、TCP拒绝服务、UDP拒绝服务 端口扫描、……
IP欺骗、Smurf攻击、ICMP攻击 地址扫描、 ……
MAC欺骗、MAC泛洪、ARP欺骗 ……
设备破坏、线路侦听
应用层 传输层 网络层 链路层 物理层
设备破坏
物理设备破坏
指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者 网络的传输通信设施等
E0
E1 我也是:F0-DE-F1-33-7F-DA
仿冒者
MAC泛洪
MAC泛洪攻击利用了：
交换机的MAC学习机制 MAC表项的数目限制 交换机的转发机制