当前课程知识点:网络技术与应用 > 第9讲 网络安全 > 9.1 网络安全概述 > 9.1-2 网络攻击举例
网络攻击是利用网络的漏洞和网络安全缺陷
破坏网络和网络上资源的行为
下面就来看几个具体的网络攻击例子
这些例子攻击原理在前面学习过了
下面主要是看这些攻击利用这些原理怎么样实施攻击的过程
首先看一下第一个SYN泛洪攻击
先来看一下攻击原理
一个终端要访问某一个Web服务器
首先要和Web服务器建立TCP连接
这是TCP报文的首部控制信息
在控制信息当中 有一个控制位 是SYN位
在建立连接的过程当中
这位置成1
也就是说TCP连接的过程就是常说的三次握手的过程
在连接的过程当中
每建立一个连接 Web服务器里面
在TCP会话表当中增加一项会话项
会话项记录着整个TCP连接信息交换过程中的相关信息
SYN泛洪攻击就是
通过快速消耗掉Web服务器TCP会话表中的连接项
使得正常的TCP连接建立过程无法正常进行的攻击行为
因为TCP会话表连接项是有限的
下面看一下攻击过程
这是一个Web服务器
假设它的TCP会话表当中可以存放10项会话项
黑客终端连接到网络当中
和Web服务器连接以后 它伪造出一批终端
也就是伪造出一批IP地址
然后以这个IP地址作为源IP地址
和Web服务器建立TCP连接
每发送一个TCP请求 Web服务器就给它一个连接响应
并且在TCP会话表当中 增加一个会话项
这些会话项增加以后
给伪造出来的终端发送一个TCP连接响应
但是因为IP地址是伪造出来的
因此没有办法给Web服务器发送一个确认报文
也就是无法完成三次握手的过程
Web服务器就始终处于连接建立过程当中
由于黑客终端是在短时间内
快速发送这么多的TCP连接请
就使得Web服务器的TCP会话表的会话项快速消耗掉
从而使得正常的终端如果发送TCP连接请求的话
就无法提供相应的服务了
这个攻击最重要的一点是IP地址是伪造的
如果IP地址不是伪造的 是真实的某个终端的IP地址
是某一个终端的IP地址
如果IP地址不是伪造的 是真实的某个终端的IP地址
当Web服务器发送连接响应的时候
如果IP地址不是伪造的 是真实的某个终端的IP地址
当Web服务器发送连接响应的时候
这个终端会判别出来 TCP控制信息里有个复位项
把复位项置为1 发送一个报文给Web服务器
当Web服务器收到这样一个报文以后
马上就把TCP连接表里相应的会话项删掉
从而终止会话过程
这是SYN泛洪攻击的过程
第二个 看一下Smurf攻击
网络当中某台终端跟另外一台终端是否相通
是不是存在连接通路
可以执行一个ping加目的IP地址的命令
比如终端A执行一个ping命令
也就是终端A发送一个ICMP ECHO请求报文
比如终端A执行一个ping命令
也就是终端A发送一个ICMP ECHO请求报文
终端B如果收到这个请求报文的话
说明两个终端之间存在传输通路
就给终端A发送一个响应报文
攻击者就利用这样一个原理
通过一个间接的攻击过程对一个终端实施攻击
比如有个黑客终端 终端D是一个被攻击的终端
黑客终端假冒被攻击终端D给普通终端P
发送一个ECHO请求报文
也就是说源IP地址是IP D
目的IP地址是IP P
普通终端发送ECHO响应报文的时候
不是发送给黑客终端而是发送给被攻击的目标终端
但是就光发送这样一个报文的话对目标终端没危险
关键是把攻击过程放大
比如这是一个黑客终端在网络拓扑图中
它发送一个报文的源IP地址是攻击目标的IP地址IP D
目的IP地址是一个广播地址
也就是给多个终端发送ECHO请求报文
这个时候 这些终端收到请求报文以后
它都给被攻击目标终端发送响应报文
我们来看一下严重的时候
比如这是一个黑客终端 在这个网络拓扑图当中
这个是一个被攻击的终端
它只要发送两个ECHO请求报文
就可以把被攻击终端的某些网络通路堵塞了
这两个报文都以被攻击终端的IP地址为源IP地址
一个以LAN3对应的直接广播地址为目的地址
发送一个ECHO请求报文
第二个以LAN4对应的直接广播地址为目的地址
也发送一个ECHO报文
然后收到这些ECHO报文的终端
都给被攻击终端发送一个响应报文
这样的话 就把被攻击终端和LAN3和LAN4之间的
数据传输通路堵塞了
这是第二类攻击
第三 看一下DHCP欺骗攻击
我们知道一个终端要和网络当中的其它终端进行通信
或者获取网络当中的资源 必须要配置相应的IP地址信息
IP地址信息可以手工配置
也可以通过DHCP服务器自动获取
DHCP服务器在网络当中可能有多个
终端可选择其中一个DHCP服务器提供的IP地址信息
黑客就利用这样一个原理伪造出一个DHCP服务器
并且把它接入到网络当中
由于终端无法辨认DHCP服务器的真假
如果从黑客伪造的DHCP服务器当中获取相应的IP地址信息
那么后续的相关的网络通信行为
都被黑客终端所掌握了
我们来看一下一个钓鱼网站的欺骗
这是一个网络拓扑图
这是一个真实的DHCP服务器
这是一个真实的DNS服务器
这是一个真实的网站服务器
这个时候 DHCP服务器当中设置两个作用域
由这两个作用域对网络当中的终端分配IP地址信息
真实的DNS服务器对于www.a.com这样一个域名
解析出的IP地址是一个真实网站的服务器的IP地址
是192.1.3.2
如果现在黑客伪造出一个DHCP服务器
然后接入到这个网络当中
又伪造出黑客的DNS服务器
再伪造出一个钓鱼网站服务器
在黑客DHCP服务器当中
也有一个作用域可以给终端分配相应的IP地址信息
这个IP地址和默认网关的信息跟真实的DHCP服务器
的设置是一样的
所不同的是真实的DHCP服务器的DNS服务器是192.1.2.1
而伪造出来的DHCP服务器的DNS服务器的IP地址
是192.1.2.3
伪造的DNS服务器对www.a.com域名解析的IP地址
和真实的是不一样的
比如真实的是192.1.3.2 而伪造的是192.1.3.1
如果某个终端由黑客DHCP服务器分配IP地址信息
那么它以后访问真实网站的网络服务器的所有信息
都映射到钓鱼网站服务器上了
后续所有的行为都由钓鱼网站服务器控制了
这是DHCP欺骗攻击
下面再来看一种ARP欺骗攻击
先来看一下ARP欺骗攻击的原理
我们知道在以太网当中
一个终端要和另外一个终端互相通信的话
必须要知道对方的MAC地址
如果知道对方的IP地址 不知道对方的MAC地址
可以通过ARP协议获取对方的MAC地址
比如用户C要和路由器进行通信
知道路由器的IP地址不知道路由器的MAC地址
可以发送这样一个ARP请求帧
这个请求帧里面有用户C的IP地址以及MAC地址
还有路由器的IP地址IP R
发送这样一个ARP请求帧以后
在这个网络当中
许多终端都能收到ARP请求
收到ARP请求的终端和路由器
就会在它自己的ARP缓存器里面
增加一项用户C的IP地址和MAC地址的对应项
下一次如果要跟用户C进行通信的话
就可以直接从缓存器里面获知IP C对应的MAC C
ARP欺骗攻击就利用这样一个原理
比如终端C是一个黑客终端
它要对用户A实施欺骗攻击
可以发送这样一个ARP请求帧
这个ARP请求帧里是用户A的IP地址
和黑客终端的MAC地址
也就是说是IP A对应的MAC地址是MAC C
是它自己的MAC地址
然后发送给网络中的所有终端
如果路由器接收到ARP请求帧以后
路由器的ARP缓存器里面
保存了IP A对应的MAC地址是MAC C
因此如果路由器接收到这样一个IP分组
其中的目的IP地址是IP A
在传输过程当中
IP分组封装成目的MAC地址是MAC C
源MAC地址是路由器的MAC地址MAC R的MAC帧
然后把这个MAC帧传输给黑客终端了
也就是说以后所有发送到用户终端A的IP分组
全部由黑客终端接管
这是ARP欺骗攻击
下面看一下路由项欺骗攻击
这是一个网络拓扑图
这个网络当中有三个路由器
每个路由器有各自的路由表
路由表可以手工配置也可以由RIP协议动态生成
动态生成的过程是相邻的路由器各自交换路由项
路由项欺骗攻击就是利用这样一个原理
比如这里面有一个黑客终端
黑客终端接入到LAN2网络中
假设给网络当中发送这样一个路由信息
这个路由信息里面目的网络是LAN4
到目的网络的距离是0
也就是说它是直接连接在LAN4当中的
目的地址是广播地址
源IP地址是黑客终端的IP地址
当网络当中的路由器接收到这样一个路由信息以后
比如R1接收到这个路由信息以后
就跟它路由表当中的路由项进行比较
路由表当中记录距离LAN4的距离是2
因此就采纳了黑客终端发送的路由信息
也就把路由表改成LAN4 距离改成1跳
下一跳IP地址改成黑客终端的IP地址
这样的话
以后所有通过路由器R1发送给LAN4的所有IP分组
都由黑客终端接管
比如有这样一个IP分组
这个IP分组的目的IP地址是IP B
本来是应该沿着这样一个传输通路传输的
也就是说R1的下一跳应该是R2
但是因为黑客终端修改了R1的路由表
因此这个IP分组就先传输给了黑客终端
然后由黑客终端做下一步的处理
通过刚才的这些攻击的例子
我们了解了黑客攻击的原理
以便于我们防范这些攻击
也就是进行一些网络安全的技术和其它方法的研究
知己知彼才能百战不殆
安全技术随着攻击手段的发展而不断发展
要不断地了解这些攻击技术
同时了解攻击过程能够更好地理解网络安全技术
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
