网络攻防技术与实践笔记-TCP/IP网络协议攻击

本文主要介绍网络协议层面的攻击技术

一、TCP/IP协议栈

1、网络协议栈面临的攻击

2、协议攻击工具：Netwag、Netwox

二、网络层协议攻击

1、IP源地址欺骗：

（1）原理：攻击者伪造具有虚假地址的IP数据包进行发送，以达到隐藏发送者身份、假冒其他计算机等目的。

（2）应用场景：最主要用在拒绝服务攻击中，攻击机向目标主机发送大量构造的虚假IP地址，攻击者不需要获取到来自目标主机的返回的数据包，因为这样会攻击者的网络资源，采用虚假IP地址的拒绝服务供给也会起到隐藏真正发起攻击的网络位置；

拒绝服务攻击范例：利用中间人攻击技术嗅探到通信双方的通信过程，抓取通信双方在三次握手建立连接

（3）防范措施：使用随机化的初始序列号，是的远程攻击者无法猜测道通过源地址欺骗伪装建立TCP；连接所需的序列号；使用IPsec，对传输的数据包进行加密，避免泄露信息；在局域网网关上启动入展过滤机制，阻断来自外部单源IP地址却属于内部网络的数据包。

2、ARP欺骗

（1）原理：攻击者在有线以太网或是无线网络上发送伪造的ARP消息，对特定IP所对应MAC地址进行欺骗，使局域网内主机记录的MAC-IP地址映射表中被攻击者的条目的MAC地址修改为攻击者指定的MAC地址，这样局域网内发送给被攻击者的数据包就会发送给修改后的MAC地址主机。

（2）应用场景：ARP欺骗技术实现网络嗅探；ARP欺骗技术实现中间人攻击；

（3）防范措施：采用静态的IP地址-MAC地址绑定

3、ICMP重定向攻击

（1）原理：攻击者伪装成路由器（IP地址欺骗：冒充为网关）发送虚假的ICMP重定向路由路径控制报文，使得受害主机选择攻击者指定的路径，从而实现嗅探或假冒攻击。这里存在一个现象：再转发的过程中，攻击节点协议栈可能会向被攻击者发送ICMP重定向报文，说明直接发送给真实的网关比发送给攻击机少一跳，这个报文将会是欺骗路径更改至原路径。

（2）应用场景：中间人攻击、网络嗅探

（3）防范措施：设置防火墙过滤，对于ICMP重定向报文判断是不是来自本地路由器

三、传输层协议攻击

1、TCP RST 攻击

（1）原理：伪造TCP重置报文攻击，是一种假冒干扰TCP通信连接的技术方法。攻击者通过嗅探的方式来监视通信双方，在获得源、目的IP地址即端口，以及序号之后就可以结合IP地址欺骗技术伪装成通信一方，在确保端口号一致和序列号落入TCP窗口之内的情况下，发送TCP重置报文给通信另一方，就可以中断双方正常的网络通信，达到拒绝服务的目的。

（2）应用场景：中断TCP连接。

2、TCP会话劫持

（1）原理：攻击者通过实施中间人攻击，嗅探到建立连接的通信双方的序列号，通过假冒用户的IP地址向Telnet服务器发送数据包，宣称自己就是用户。而攻击者发送的数据包中的序列号必须满足SVR_ACK<=序列号<=SVR_ACK+SVR_WND，其中的SVR_END为Telnet服务器的接收窗口，Telnet服务器才会接收该数据包。

ACK风暴：由于中间人攻击的局限性，用户的数据包仍然有可能会发送Telnet服务器或是接收到数据包，Telnet服务器会发现用户的数据包中的ACK与期望的值不一致，此时服务器会发送期望的ACK值，企图重新建立起同步状态，用户接收到服务器的响应报文后，也会发现ACK值不正确，会返回一个ACK包，此时会陷入死循环。ACK风暴是的TCP会话劫持攻击很容易被管理员发现，因此攻击者往往会发送RST重置掉用户和服务器之间的连接。

中间人攻击技术选取：ICMP路由重定向攻击、ARP欺骗攻击，大多数路由设备都禁用ICMP路由重定向，所以目前比较普遍的方法是ARP欺骗技术来进行TCP会话劫持。

（2）防范措施：采用静态IP-MAC绑定。避免中间人攻击。

3、TCP SYN Flood

（1）原理：又称为SYN洪泛攻击模式拒绝服务攻击的一种，利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的连接队列资源，从而不能够为正常用户提供服务。

（2）防范措施：SYN-Cookie技术，该技术改变的资源分配策略：当服务器收到一个SYN报文后，不立即分配缓冲区，而是将连接信息生成一个cookie，并将这个Cookie作为将要返回的SYN+ACK报文的初始序列号。单客户端返回一个ACK报文是，根据报头信息计算cookie，与返回的确认号（初始的序列号+1）的前24位进行比较，如果相同，那么是一个正常连接，分配资源，建立连接。

4、UDP Flood拒接服务攻击

（1）原理：通过向目标主机和网络发送大量的UDP报文，造成目标主机显著的计算负载提升，或者目标网络拥塞，从而使得目标主机和网络陷入不可用状态，造成拒绝服务攻击。

（2）防范措施：防火墙和代理机制来过滤掉一些非预期的网络流量。