源路由攻击及网络安全威胁总结

源路由攻击

源路由机制

• 宽松源路由：允许数据包在到达指定节点前经过其他路由器。
• 严格源路由：数据包必须严格按照指定路径转发。

过程描述

• 发送者操作：发送者在IP头部包含一系列路由器IP地址。
• 路由器行为：
  • 宽松模式：数据包在到达指定节点前可能经过其他路由器。
  • 严格模式：数据包必须严格按照指定路径转发。

冒充信任IP地址

• 绕过防火墙：攻击者利用源路由选项绕过防火墙或其他安全设备。
• 冒充IP地址：攻击者可以冒充被信任的IP地址发动攻击。

实例

• 实例1：假设攻击者想要绕过某个企业的防火墙，可以通过设置源路由选项，让数据包先经过几个中继点，再到达目标网络。
• 实例2：攻击者冒充内部网络的可信IP地址，发送恶意数据包到服务器，从而获得更高的权限。

利用信任关系

• 命令种类：系统中存在一系列以'r'开头的命令（如rlogin、rexec）。
• 设计缺陷：这些命令在设计之初未充分考虑安全性，允许远程用户直接登录到另一台机器。
• 潜在风险：如果被滥用，这些命令可能成为攻击者进入系统的途径。

实例

• 实例1：攻击者利用rlogin命令，通过弱密码登录到内部网络的一台服务器，进而横向移动到其他重要系统。
• 实例2：使用rexec命令执行远程命令，攻击者可以安装木马程序或窃取敏感数据。

TCP会话劫持原理

结合嗅探与欺骗技术

• 监听网络流量：获取序列号等关键信息。
• 伪造数据包：欺骗接收端接受来自攻击者的伪造数据包。

序列号机制

• 保证数据包顺序：TCP协议使用序列号确保数据包按顺序送达。
• 预测序列号：攻击者通过监视TCP流来预测序列号，从而发送伪造的数据包。

寻找合适的攻击目标

• 猜测序列号：尝试预测TCP连接中的序列号，以伪造数据包。
• 使客户主机下线：发送错误的RST包使合法客户端断开连接，接管会话。
• 接管会话：成功插入后与服务器交互，取代合法客户端。

实例

• 实例1：攻击者通过监听网络流量，获取目标主机的TCP序列号，并发送伪造的数据包，接管会话。
• 实例2：攻击者发送错误的RST包，导致合法客户端断开连接，然后插入自己到TCP会话中，继续与服务器交互。

防范措施

防范源路由欺骗

• 关闭源路由功能：关闭路由器上的源路由功能。
• 禁止接收带源路由选项的数据包：在防火墙策略中禁止接收带有源路由选项的数据包。

防范信任关系欺骗

• 引入多因素认证：增强身份验证机制，如多因素认证。

防范会话劫持攻击

• 使用加密协议：使用TLS等加密协议保护数据传输。
• 实施严格的访问控制策略：定期更新系统补丁，修补已知漏洞。
• 用户教育：教育用户提高警惕，识别潜在威胁。

实例

• 实例1：企业部署TLS加密协议，保护内部网络通信，防止数据被窃听或篡改。
• 实例2：定期培训员工识别钓鱼邮件和其他潜在威胁，提高整体安全意识。

ARP攻击与防范

ARP数据包

• ARP请求包：用于请求网络层地址与物理层地址映射。
• ARP应答包：回应请求，提供地址映射信息。

ARP欺骗原理

• 改变MAC地址映射：攻击者通过ARP欺骗改变网络设备间的MAC地址映射。
• 中间人攻击：成为主机与网关间的“中间人”，监控或篡改通信数据。

防范ARP欺骗

• 使用静态ARP表：固定MAC地址与IP地址的映射关系。
• 定期清理ARP缓存：防止旧的映射信息被恶意利用。
• 部署入侵检测系统：实时监控网络流量，及时发现异常行为。

实例

• 实例1：攻击者向主机发送虚假的ARP响应，声称自己的MAC地址对应网关的IP地址，从而截获所有网络流量。
• 实例2：企业部署入侵检测系统，实时监测ARP表变化，及时发现并阻止ARP欺骗攻击。

电子邮件欺骗

实例

• 伪造发件人地址：攻击者伪造发件人地址发送钓鱼邮件，诱骗收件人泄露敏感信息。

防范

• 使用SPF、DKIM等技术：验证邮件的真实来源，减少电子邮件欺骗的成功率。

实例

• 实例1：攻击者发送伪造的银行通知邮件，诱使用户点击链接并输入银行账户信息。
• 实例2：企业部署SPF和DKIM技术，确保收到的邮件来自可信源，减少钓鱼邮件的影响。

DNS欺骗

工作原理

• 域名解析：DNS通过域名解析成IP地址支持互联网定位服务。

欺骗过程

• 操纵DNS响应：攻击者操纵DNS响应，返回指向其控制服务器的IP地址。

实例

• 实例1：攻击者篡改DNS记录，将用户的请求重定向到恶意网站。
• 实例2：攻击者利用DNS缓存中毒技术，长时间保持错误的IP地址映射。

Web欺骗

过程

• 创建假冒网站：模仿合法站点外观，诱使用户提供个人信息或下载恶意软件。

实例

• 实例1：攻击者创建假冒的银行登录页面，诱骗用户输入用户名和密码。
• 实例2：假冒购物网站，收集用户的信用卡信息，进行金融欺诈。

知识点间的关系梳理

源路由攻击与TCP会话劫持的关系

• 欺骗技术：源路由攻击与TCP会话劫持均涉及欺骗技术，但侧重点不同。
• 控制路径：源路由攻击主要利用IP数据包中的源路由选项来控制数据包的路径。
• 接管会话：TCP会话劫持侧重于接管现有的TCP连接，通过预测序列号来发送伪造的数据包。

ARP攻击与TCP会话劫持的关系

• 中间人攻击：ARP攻击常被用作TCP会话劫持的一个辅助手段。
• 篡改MAC地址：通过改变网络设备间的MAC地址映射，攻击者可以成为主机与网关之间的“中间人”。
• 更容易实施会话劫持：从而更容易地实施TCP会话劫持。

电子邮件欺骗、DNS欺骗与Web欺骗的关系

• 应用层攻击：这三种欺骗方式均属于应用层攻击。
• 利用信任：它们利用了用户对某些信息的信任来达到欺骗的目的。
• 具体形式：
  • 电子邮件欺骗：伪造发件人地址发送钓鱼邮件。
  • DNS欺骗：操纵DNS响应指向攻击者控制的服务器。
  • Web欺骗：创建假冒网站模仿合法站点。

综合防范措施

虽然上述攻击各有特点，但综合防范措施可以有效减少被攻击的风险：

• 加强身份验证机制：如多因素认证。
• 使用加密技术：保护数据传输。
• 定期更新系统补丁：修补已知漏洞。
• 教育用户：提高警惕，识别潜在威胁。
• 实施访问控制策略：在网络层面实施访问控制策略。
• 使用防火墙策略：禁止接收带源路由选项的数据包。