第四節課:幾種常見的攻擊方式
阿新 • • 發佈:2017-09-24
pxc wql ptc hvm oid hsv ffd stl -1 1.中間人攻擊 局域網ARP攻擊
受害者經過攻擊者向網關發送數據。當主機A、和主機B通信時,都由主機C來為其“轉發”,如圖一,而A、B之間並沒有真正意思上的直接通信,他們之間的信息傳遞同C作為中介來完成,但是A、B卻不會意識到,而以為它們之間是在直接通信。這樣攻擊主機在中間成為了一個轉發器,C可以不僅竊聽A、B的通信還可以對信息進行篡改再傳給對方,C便可以將惡意信息傳遞給A、B以達到自己的目的。
2.ARP 16字節包頭:6原Mac 6目的Mac 2:幀類型
3.s->setuid:臨時提高權限,在程序運行時,臨時提高為程序擁有者的權限
-rws(可讀可寫可提高權限) 文件一般有紅色底色
4.ARP攻擊:向外發送假的mac地址到其他路由器的arp緩存中,當其他機子想連接時發現無法找到目的主機.
兩個虛擬機:1號機:ifconfig查看ip列表;若有2號機緩存則sudo arp -d ip地址刪除arp緩存
2號機:ifconfig查看本機ip地址;sudo netwox 80 -e 偽裝ip地址 -I 本機ip地址,向外發送假的Mac地址
1號機:ping 2號機ip地址時,ping失敗
5.ip數據報
ttl:time to alive ,發送時初始一個TTL,每經過一個路由TTL-1,當TTL為-時不可達,RIP協議就是通過設置不同TTL來找經過的路由
IP分片
為什麽分片?應為一個IP數據報可包含65535個字節,但一個MTU最大傳輸單元為1500字節。
如何分片?IP數據報有一個標識位,可以產生數據報標識(屬於哪一個數據報),有一個標誌位(MF為1:不是最後一個分片,MF=0,最後一個數據報,DF=0不允許分片,DF=1允許分片),有一個片偏移,可以知道是第幾個分片
思考:
(Tiny fragment attack)
為防止SYN包攻擊,檢查所有TCP協議,將發送SYN包的報文丟棄,TCP報頭在IP數據包的數據區域,一般IP數據報包頭為20字節,TCP包頭8字節(原端口和目的端口),這樣即使IP數據報分片也只需檢查第一個分片即可,其余分片不用檢查,以此為漏洞,出現了Tiny分片攻擊。根據IP協議文檔,數據報不能小於68字節,但IP數據報報頭可以擴充到60字節,加上TCP首部的8個字節,SYN包將會被分到第二個分片,此時防火墻不會檢測第二個分片,等分片重組為IP數據報後就會發送SYN攻擊
方法二:覆蓋攻擊(overlapping attack)若操作系統處理兩個分片覆蓋的方法是第二個分片覆蓋第一個分片,可以將SYN包寫入第二個分片內,通過覆蓋的方法組合成IP數據包進行SYN攻擊
- 若有最後一個分片沒收到,你怎麽做?
- 若有分片的覆蓋(第二個分片和第一個分片有重疊)你怎麽做?
- 如果加上最後一個分片超過了數據包長度你怎麽做?
IP攻擊方法:
- DOS(Denial of service attack)
第四節課:幾種常見的攻擊方式