常见内网攻击1

内网攻击

arp中间人攻击

原理

通过构造arp响应报文,导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器。攻击者再对目标和网关之间的数据进行转发,则可作为一个“中间人”,实现监听目标却又不影响目标正常上网的目的。

防御

arp防御

主机中手动建立arp表

主机中用arp防火墙固化arp表

交换机使用dai(动态arp检测技术)

ICMP重定向防御

原理

当路由器收到 IP 数据报,发现数据报的目的地址在路由表上却不存在时,它发送 ICMP 重定向报文给源发送方,提醒它接收的地址不存在,需要重新发送给其他地址进行查找。通过发送icmp重定向报文可以进行中间人攻击,也可让对方无法上网

防御

关闭重定向

主机不处理重定向

Tcp syn攻擊

原理

它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

防御

cookie源认证:

原理是syn报文首先由DDOS防护系统来响应syn_ack。带上特定的sequence number (记为cookie)。真实的客户端会返回一个ack 并且Acknowledgment number 为cookie+1。 而伪造的客户端,将不会作出响应。这样我们就可以知道那些IP对应的客户端是真实的,将真实客户端IP加入白名单。下次访问直接通过,而其他伪造的syn报文就被拦截。

reset认证:

Reset认证利用的是TCP协议的可靠性,也是首先由DDOS防护系统来响应syn。防护设备收到syn后响应syn_ack,将Acknowledgement number (确认号)设为特定值(记为cookie)。当真实客户端收到这个报文时,发现确认号不正确,将发送reset报文,并且sequence number 为cookie + 1。 而伪造的源,将不会有任何回应。这样我们就可以将真实的客户端IP加入白名单。

TCP首包丢弃:

该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态(五元组),在该源IP的第2个syn包到达时进行验证,然后放行。

tcp rst攻擊

原理

正常情况下,客户端与服务器端不再通信时,需要通过四次挥手断开连接。利用该机制,用户可以手动发送 TCP 重置包,断开客户端与服务器之间的连接,干扰正常的数据传输。

例子

icmp重定向攻击

netwox 86 功能:sniff and send ICMP4/ICMP6 redirect (嗅探和发送icmp重定向报文)

cat /proc/sys/net/ipv4/conf/all/accept_redirects #打开重定向选项
sysctl -w net.ipv4.conf.all.accept_redirects=1 #ip_forward与accept_redirects相反?sysctl命令用于运行时配置内核参数,-w临时修改。

netwox 86 -f "host ${被攻击主机ip地址}" -g "${新指定的网关ip地址}" -i "${当前网关ip地址}"
注:被攻击的主机需要有向外部发送的数据包
	-f 用来过滤指定ip目标,不指定-f 就是针对所有主机

攻击机:192.168.228.131

网关:192.168.228.2

攻击目标:192.168.228.157

攻击者
C:\Users\1.LI-THINKPAD\AppData\Roaming\Typora\typora-user-images\1584235099298.png

攻击目标

常见内网攻击1_第1张图片

tcp rst攻击

环境

常见内网攻击1_第2张图片

pc1与pc2 进行ssh连接

在这里插入图片描述
攻击者使用

netwox 78 -i  192.168.228.154

pc2出现
在这里插入图片描述

你可能感兴趣的:(安全)