假消息攻击

利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的。

假消息攻击的分类：

1. 应用层：DNS欺骗，SMB中间人攻击
2. 传输层：SYN Flood攻击，IP欺骗
3. 网络层：ICMP重定向攻击，IP分片攻击
4. 数据连接层：ARP欺骗

ARP欺骗

ARP 协议的作用：IP地址----》地址解析协议（ARP）----》物理地址
ARP协议的效率：响应ARP请求的主机将请求者的IP-MAC映射缓存；主动的ARP应答会被视为有效的信息接收。

欺骗过程：

• 攻击者在局域网段发送虚假的IP／MAC对应信息，篡改网关的MAC地址，使自己成为假网关
• 受害者将数据包发送给假网关（攻击者）
• （攻击者）假网关将分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包）
• 假网关再包数据包转换为真正的网关

欺骗产生的原因：

• ARP协议设计之初没有考虑安全性问题，所以任何计算机都可以发送虚假的ARP数据包
• ARP协议无状态性。响应数据包和请求数据包之间没有什么关系，如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求
• ARP缓存需要定时更新，给攻击者可乘之机

ARP欺骗产生危害：

• 嗅探
• 拒绝服务攻击
• 中间人攻击

ARP欺骗的防范：

• 网关建立静态IP／MAC对应关系，各主机建立MAC数据库
• 建立DHCP服务器
• IDS监听网络安全

ICMP重定向攻击

ICMP重定向报文：

• 当路由器检测到主机在启动时具有一定的路由信息，但不一定是最优的。
• 路由器检测到IP数据报经非优路由传输，就通知主机去往该目的地的最优路径

功能：保证主机拥有动态的、既小且优的路由表
限制：ICMP重定向机制只能在同一网络的路由器和主机之间使用

ICMP重定向攻击的危害

• 改变对方的路由表
• 也可用作嗅探，中间人攻击，拒绝服务攻击

ICMP重定向攻击的局限性

• ICMP重定向攻击一次只能指定一个目的地址
• 新路由必须是直达的
• 重定向包必须来自去往目标的当前路由
• 重定向包不能通知主机用自己做路由
• 被改变的路由必须是一条间接路由

重定向攻击的防范

• 修改系统和防火墙配制，拒绝接受ICMP重定向包
• 在Windows2000里可以修改注册表
• 通过Route Print命令来查看本机路由

IP欺骗

利用主机之间的正常信任关心发动的攻击

IP欺骗过程：

• 得到TCP 的ACK初始序列号
• 如果攻击者与受害者主机在同一局域网内，则可以结合嗅探的手段直接获取该序列号；否则只能通过猜测的方法

IP欺骗的危害：

• 可以信任的身份与服务器建立连接
• 伪造源IP地址，隐藏攻击者身份，消除攻击痕迹

IP欺骗的防范：

• 抛弃基于地址的信任策略
• 进行包过滤，只信任内部主机
• 利用路由器屏蔽掉所有外部希望向内部发出的连接请求
• 使用加密传输和验证的方法（重点记忆）
• 使用随机化的初始序列号，使得TCP序列号难以猜测