ARP缓存中毒过程
- ARP请求
PC-A需要其默认网关(R1)的MAC地址;因此,它将发送ARP请求以获取192.168.10.1的MAC地址。
- ARP响应
R1用PC-A的IP和MAC地址更新其ARP缓存。R1向PC-A发送ARP答复,然后PC-A用R1的IP和MAC地址更新其ARP缓存。
欺诈性ARP答复
在图中,威胁参与者使用其自己的MAC地址作为指示的目标IP地址发送了两个欺骗性免费ARP答复。PC-A使用其默认网关更新其ARP缓存,该默认网关现在指向威胁参与者的主机MAC地址。R1还使用PC-A的IP地址(指向威胁参与者的MAC地址)更新其ARP缓存。
威胁参与者的主机正在执行ARP中毒攻击。ARP中毒攻击可以是被动的也可以是主动的。被动ARP中毒是威胁参与者窃取机密信息的地方。主动ARP中毒是威胁行为者修改传输中的数据或注入恶意数据的地方。
DNS攻击
域名服务(DNS)协议定义了一种自动服务,该服务将资源名称(例如www.cisco.com)与所需的数字网络地址(例如IPv4或IPv6地址)进行匹配。它包括查询,响应和数据的格式,并使用资源记录(RR)识别DNS响应的类型。
保护DNS的安全通常被忽略。但是,它对于网络的运行至关重要,应相应地加以保护。
DNS攻击包括以下内容:
- DNS开放解析器攻击
- DNS隐身攻击
- DNS域影子攻击
- DNS隧道攻击
DNS开放解析器攻击
许多组织使用诸如GoogleDNS(8.8.8.8)之类的公开开放DNS服务器的服务来提供对查询的响应。这种类型的DNS服务器称为开放解析器。DNS开放解析器会回答来自其管理域之外的客户端的查询。DNS开放解析器容易受到表中所述的多种恶意活动的攻击。
DNS隐身攻击
为了隐藏其身份,威胁参与者还使用表中描述的DNS隐身技术进行攻击。
DNS域影子攻击
域屏蔽涉及威胁参与者收集域帐户凭据,以便静默创建要在攻击期间使用的多个子域。这些子域通常指向恶意服务器,而不会警告父域的实际所有者。
DNS隧道
使用DNS隧道的威胁参与者将非DNS流量放置在DNS流量中。当威胁参与者希望与受保护网络内的漫游器进行通信,或从组织中窃取数据(例如密码数据库)时,此方法通常会绕过安全解决方案。当威胁参与者使用DNS隧道时,将更改不同类型的DNS记录。这是DNS隧道对发送到僵尸网络的CnC命令的工作方式:
- 命令数据被分成多个编码块。
- 每个块都放置在DNS查询的较低级别的域名标签中。
- 因为没有来自本地或网络DNS的查询响应,所以该请求被发送到ISP的递归DNS服务器。
- 递归DNS服务会将查询转发到威胁参与者的权威名称服务器。
- 重复该过程,直到发送包含chunk的所有查询为止。
- 当威胁参与者的权威名称服务器从受感染的设备接收DNS查询时,它将为每个DNS查询发送响应,其中包含封装的编码后的CnC命令。
- 受感染主机上的恶意软件会重新组合这些块并执行DNS记录中隐藏的命令。
要停止DNS隧道,网络管理员必须使用检查DNS流量的过滤器。请密切注意比平均时间长的DNS查询或具有可疑域名的DNS查询。像Cisco OpenDNS这样的DNS解决方案通过识别可疑域来阻止许多DNS隧道通信。
DHCP服务器
DHCP服务器动态地向客户端提供IP配置信息。该图显示了客户端和服务器之间DHCP消息交换的典型顺序。
DHCP攻击
DHCP欺骗攻击
当流氓DHCP服务器连接到网络并向合法客户端提供错误的IP配置参数时,就会发生DHCP欺骗攻击。流氓服务器可能会提供各种误导性信息:
- 错误的默认网关 -Threat actor提供了无效的网关或其主机的IP地址来创建MITM(中间人攻击)。由于入侵者拦截了通过网络的数据流,因此可能完全未被检测到。
- 错误的DNS服务器 -威胁参与者提供了错误的DNS服务器地址,将用户指向恶意网站。
- IP地址错误 -Threat actor提供了无效的IP地址,无效的默认网关IP地址或两者。然后,威胁参与者会在DHCP客户端上发起DoS攻击。
假设威胁参与者已成功将恶意DHCP服务器连接到与目标客户端位于同一子网上的交换机端口。流氓服务器的目标是向客户端提供错误的IP配置信息。
1106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
