• / 34
  • 下载费用:5 金币  

9中间人攻击.ppt

关 键 词:
中间人 攻击
资源描述:
中间人攻击,小组成员:张金玲 2015140971李生 2015140933,,,目录,什么是中间人攻击中间人攻击产生的原因中间人攻击的案例中间人攻击的类型中间人攻击的典型手段及其网络环境实验演示——实战ARP欺骗结束语,一、什么是中间人攻击,你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比。但你不知道的是有人正在监视你,他们监视着你的各种网络活动,盗取你的银行凭证,家庭住址,个人电子邮件和联系人,当你发现的时候,已经晚了。 现在的小偷已经不仅仅是简单的在地铁上偷你的钱包,更高级的是使用网络攻击获取你的各种信息,当你在咖啡馆上网检查你的账户信息的时候,也许黑客就拦截了你电脑和WiFi之间的通信,监视着你的一举一动。这种方法就是“中间人攻击”(Man-in-the-Middle Attack,简称“MITM攻击”),而这种攻击还仅仅是黑客用于攻击你的众多方法之一。,中间人攻击是一种通过窃取或窜改通信物理、逻辑链路间接完成攻击行为的网络攻击方法。这种攻击模式通过各种攻击手段入侵控制,或者直接以物理接入方式操控两台通信计算机之间的主机,并通过这台主机达到攻击两台通信计算机中任意一方的目的。这个被攻击者控制的通信节点就是所谓的“中间人”。由于两个原始计算机用户仍然认为他们是在互相通信,并不知道“中间人”的存在,因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到今天还具有极大的扩展空间。其实该思想可以追溯到上千年前的古代,春秋战国时期窃符救赵的信陵君,窃取兵符控制军队即是针对魏王与军队之间信息传递方式的典型中间人攻击。,中间人攻击示意图,二、产生的原因,在网络通信系统最被被设计出来时,安全因素并没有被考虑到,互联网工程任务组(IETF)设计的ARP、DNS、DHCP等常用协议都没有考虑网络通信被人恶意窜改的情况,即使在局域网中没有攻击者,只要有个别操作人员错误的配置了网络中的一个非关键结点(如多启动一个DHCP服务器),就有可能影响网络中其它结点的正常网络通信。这些早期的协议更无法对简单的物理连接改变而可能引发的安全问题进行防御。网络标准的向下兼容性决定了现代网络继承了这些问题,大家依然会被这些问题困扰。严格说起来,中间人攻击算是一种“概念”,它有很多实现方式。进行攻击的黑客,首先要找到网络协议的漏洞,对中间的网络设备进行偷天换日,神不知鬼不觉的把自己替换成网络传输过程必经的中间站,再纪录下特定网段内的数据包。,三、中间人攻击的案例,“心脏出血”事件 2014年,https爆出“心脏出血”事件成为了当时前讨论最热烈的OpenSSL(安全套接字层密码库)漏洞。消息曝光称攻击者可以追踪OpenSSL所分配的64KB缓存,将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容如密码,信用卡信息和服务器的私钥等就会以每次64KB的速度进行泄露。“心脏出血”漏洞影响了百分之66的互联网用户,包括一些主流网站如雅虎,Flickr, Pinterest等等。这个漏洞使得MITM更加危险。即使HTTPS已经开启,但是攻击者可以用盗来的证书获取有价值的数据,基本使你处于毫无防备的状态。,威胁难以消除 即使像“心脏出血”之类的漏洞已经被修补,但由于操作系统工作的基本性质,MITM的威胁仍然存在。这是因为攻击技术模拟了正常的网络协议,所以如果操作系统厂商试图阻止MITM攻击,他们需要打破设备连接到合法网络的方式,而这样做就使得问题变得更加糟糕。很遗憾,所有基于IP的设备都存在MITM能够找得到的漏洞。,MITM在未来可能造成的威胁   市场研究公司IC Insights发布的最新《2015年IC市场驱动报告》称,到2015年,全球手机用户量将首次超过全球人口总数。届时,全球人口总数将超过74亿,而手机用户总数将略高于75亿。 随着手机数量即将超过地球人口数量,毫无疑问手机将成为下一波黑客攻击的前沿地带。除了设备的数量,员工在企业私人安全网络之外的消费预计在2017年形成爆炸形势,据估计所有移动数据流量的60%将转移到公共网络,这种不安全的公共网络的转变将导致MITM数量的明显增加。因此,很多人转向通过安装杀毒软件来保护自己的移动设备。但是杀毒软件并不适合移动架构,这种解决方案如果没有root权限访问设备的操作系统的话,也是不能够监控设备的活动情况。而且传统个人电脑的安全方法将对移动设备产生不必要的影响:操作系统变慢,电池消耗更快,且占用更多的内存空间等。此外,杀毒软件没有能力发现网络检测以及类似于MITM之类的行为,而是去寻找已知的恶意签名。,,由此可见,中间人攻击仍然存在且难以消除,值得我们去认识并了解它。那么,中间人攻击有哪几种类型?它的攻击手段又有哪些呢? 接下来为大家一一介绍。,四、中间人攻击的类型,信息篡改(基于代理) 当主机A、和机B通信时,都由主机C来为其“转发”,如下图,而A、B之间并没有真正意思上的直接通信,他们之间的信息传递同C作为中介来完成,但是A、B却不会意识到,而以为它们之间是在直接通信。这样攻击主机在中间成为了一个转发器,C可以不仅窃听A、B的通信还可以对信息进行篡改再传给对方,C便可以将恶意信息传递给A、B以达到自己的目的。,信息窃取(基于代理或基于监听) 这种类型与信息篡改的区别是:当A、B通信时,C不主动去为其“转发”,只是把他们的传输的数据备份,以获取用户网络的活动,包括账户、密码等敏感信息,这种被动攻击也是非常难被发现的。身份仿冒(基于监听) 这种类型通常是攻击者窃取目标用户的Cookie(用于维持浏览器和登陆网站间会话状态),然后就能够模拟真实用户的访问,将窃取的Cookie发给网站服务器,这样就能冒充合法的会话连接获得在网站资源的相应权限。攻击者一旦通过窃取Cookie完成对网站服务器的会话欺骗,受害者在网站上的个人数据将被任意查看和修改,受害者的帐号也可能被用于基于社交网络的攻击与诈骗。,五、中间人攻击的典型手段,典型的中间人攻击手段有ARP欺骗、DNS欺骗及会话劫持等。ARP欺骗( ARP Spoofing )  ARP欺骗是现代中间人攻击中最早出现的攻击形式,能够让与受害主机在相同子网的攻击者主机窃取目标主机的所有网络流,是比较容易执行且相当有效的中间人攻击形式。1.什么是ARP欺骗 两台计算机在局域网上通信时,会使用MAC地址。当一台计算机希望发送数据到另一台时,它在自己的ARP缓存中查找目的计算机的MAC地址。如果地址不在缓存中,它将会发送广播来找回之。这种获取地址的方法依赖于其相信只有正确的计算机会将响应并且以正确的MAC地址响应。,ARP是个无状态的协议。这样它就不保持对请求和响应的跟踪。任何计算机都可以不必接收请求而发送响应,结果导致接收的计算机更新它们的ARP缓存,攻击计算机可以发送出响应来操纵目标计算机的ARP缓存。这称为ARP欺骗。 作为ARP欺骗的结果,攻击计算机可以接收来自目标计算机的数据,然后将这些通信转发到其预期的目的地。这可以允许攻击计算机按其需要截取、中断或修改通信。2.主要类型 ARP欺骗主要有仿冒网关或仿冒用户两类,由于子网内的主机与外网通信均需要经过网关,因此通过仿冒网关而进行的中间人攻击最为常见。,仿冒网关,因为攻击主机仿冒网关向目标主机发送了伪造的网关ARP报文,导致目标主机的ARP表中记录了错误的网关地址映射关系,正常的数据从而不能被网关接收。目标主机原本通过网关发送到外网的所有数据报文都按照学习到的错误ARP表项发送到了攻击者控制的主机,此时攻击主机可以把目标主机的报文解析修改后转发给网关,并在后续将网关转回的外网回应报文解析修改后转发给目标主机,成为目标主句与网关之间的“中间人”。3.防御方法 防御ARP欺骗的主要方法有在整个局域网使用静态ARP,及通过主机ARP防护软件或交换机、路由器对ARP进行过滤及安全确认,其核心目标均是建立正确的ARP表项。静态ARP通过手动配置或自动学习后再固化的方式,在主机及网络设备上建立静态不变的正确ARP表项。,而伪造ARP报文的检测,需要由主机或网络设备提借额外的安全功能。伪造ARP报文具有如下特点:源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。精确的过滤与安全确认能有效的阻止ARP欺骗的发生。,DNS欺骗(DNS Spoofing) DNS欺骗攻击是一种非常危险的中间人攻击,它容易被攻击者利用并且窃取用户的机密信息。事实上,DNS欺骗是一个一般概念,有无数种方法可以实现一个DNS欺骗攻击。 在一个DNS欺骗攻击中,攻击者可以利用一个漏洞来伪造网络流量。因此,要理解DNS欺骗攻击,必须理解DNS是怎样工作的。1.DNS简介 DNS(域名系统)在互联网中是一个非常重要的协议。它负责在网络上映射域名到他们各自的IP上。DNS定位主机/服务器通过查看友好域名,使用域名系统,DNS将域名和IP地址相互映射 。这些设备(路由器、服务器等)连接到你的电脑不能理解一些友好的名称(www.baidu.com),他们只了解一个IP地址,而DNS负责翻译它。,主机和本地DNS服务器的正常通信: DNS服务器包含着一个主数据库,其中包括信息的IP地址,因为这涉及到相应的域名。所以在这些正常的通信中,一个主机发送请求到DNS服务器,之后服务器响应正确的信息。如果DNS没有信息传入的请求,它将发送请求到外部DNS服务器来获取正确的响应。,2.如何实施DNS欺骗 攻击者通过截取会话,将目标主机DNS请求发送到攻击者这里,然后攻击者伪造DNS响应,将正确的IP地址替换为其他IP,这样就将会话转移到一个假网站上。例如:用户希望访问google.com,并且谷歌的IP地址为173.194.35.37,攻击者就可以使用DNS欺骗技术拦截会话,并将用户重定向到假冒的网站,假网站IP可以为任意IP。而在这个假网站上,攻击者可以骗取用户输入他们想得到的信息,如银行账号及密码等。,3.如何防御 对于个人用户来说,要防范DNS欺骗应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易,最重要的一点是记清你想去网站的域名,当然,你还可以把你常去的一些涉及到机密信息提交的网站的IP地址记下来,需要时直接输入IP地址登录。,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:9中间人攻击.ppt
链接地址:http://www.gold-doc.com/p-257105.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开