内网攻击
arp中间人攻击
原理
通过构造arp响应报文,导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器。攻击者再对目标和网关之间的数据进行转发,则可作为一个“中间人”,实现监听目标却又不影响目标正常上网的目的。
防御
arp防御
主机中手动建立arp表
主机中用arp防火墙固化arp表
交换机使用dai(动态arp检测技术)
ICMP重定向防御
原理
当路由器收到 IP 数据报,发现数据报的目的地址在路由表上却不存在时,它发送 ICMP 重定向报文给源发送方,提醒它接收的地址不存在,需要重新发送给其他地址进行查找。通过发送icmp重定向报文可以进行中间人攻击,也可让对方无法上网
防御
关闭重定向
主机不处理重定向
Tcp syn攻擊
原理
它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
防御
cookie源认证:
原理是syn报文首先由DDOS防护系统来响应syn_ack。带上特定的sequence number (记为cookie)。真实的客户端会返回一个ack 并且Acknowledgment number 为cookie+1。 而伪造的客户端,将不会作出响应。这样我们就可以知道那些IP对应的客户端是真实的,将真实客户端IP加入白名单。下次访问直接通过,而其他伪造的syn报文就被拦截。
reset认证:
Reset认证利用的是TCP协议的可靠性,也是首先由DDOS防护系统来响应syn。防护设备收到syn后响应syn_ack,将Acknowledgement number (确认号)设为特定值(记为cookie)。当真实客户端收到这个报文时,发现确认号不正确,将发送reset报文,并且sequence number 为cookie + 1。 而伪造的源,将不会有任何回应。这样我们就可以将真实的客户端IP加入白名单。
TCP首包丢弃:
该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态(五元组),在该源IP的第2个syn包到达时进行验证,然后放行。
tcp rst攻擊
原理
正常情况下,客户端与服务器端不再通信时,需要通过四次挥手断开连接。利用该机制,用户可以手动发送 TCP 重置包,断开客户端与服务器之间的连接,干扰正常的数据传输。
例子
icmp重定向攻击
netwox 86 功能:sniff and send ICMP4/ICMP6 redirect (嗅探和发送icmp重定向报文)
cat /proc/sys/net/ipv4/conf/all/accept_redirects #打开重定向选项
sysctl -w net.ipv4.conf.all.accept_redirects=1 #ip_forward与accept_redirects相反?sysctl命令用于运行时配置内核参数,-w临时修改。
netwox 86 -f "host ${被攻击主机ip地址}" -g "${新指定的网关ip地址}" -i "${当前网关ip地址}"
注:被攻击的主机需要有向外部发送的数据包
-f 用来过滤指定ip目标,不指定-f 就是针对所有主机
攻击机:192.168.228.131
网关:192.168.228.2
攻击目标:192.168.228.157
攻击者
攻击目标
tcp rst攻击
环境
pc1与pc2 进行ssh连接
攻击者使用
netwox 78 -i 192.168.228.154
pc2出现