[精选]Internet协议安全性分析.pptx

《[精选]Internet协议安全性分析.pptx》由会员分享，可在线阅读，更多相关《[精选]Internet协议安全性分析.pptx（120页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、InternetInternet协议平安性分析协议平安性分析 信息平安信息平安6/1/20231 2.1 Internet 2.1 Internet 的平安性需求的平安性需求 2.2 2.2 平安套接层与传输层的平安平安套接层与传输层的平安 2.3 2.3 KerberosKerberos认证系统认证系统 2.4 2.4 PGPPGP电子邮件加密电子邮件加密 2.5 2.5 平安电子交易平安电子交易 本章主要内容本章主要内容6/1/202322.1.1 Internet存在的威协存在的威协 1缺乏对用户身份的认证缺乏对用户身份的认证2缺乏对路由协议的认证缺乏对路由协议的认证 3TCPUDP的缺

2、陷的缺陷 4对对Web平安平安性威胁威胁WebWeb效劳器、效劳器、效劳器、效劳器、WebWeb浏览器、浏览器、浏览器、浏览器、WebWeb传输过程传输过程传输过程传输过程2.1 Internet 的平安性需求的平安性需求6/1/202332.1.1 Internet存在的威协存在的威协 缺乏对用户身份的认证缺乏对用户身份的认证在网络中传送的在网络中传送的在网络中传送的在网络中传送的IPIP包，对包，对包，对包，对IPIP地址不进行认证。地址不进行认证。地址不进行认证。地址不进行认证。存在几种欺骗攻击方式：存在几种欺骗攻击方式：存在几种欺骗攻击方式：存在几种欺骗攻击方式：MACMAC欺骗欺骗欺

3、骗欺骗ARPARP欺骗欺骗欺骗欺骗IPIP欺骗欺骗欺骗欺骗DNSDNS欺骗欺骗欺骗欺骗6/1/202341.MAC攻击攻击MAC攻击之一：攻击之一：MAC地址欺骗地址欺骗 将合法的将合法的MAC 地地址修改成不存在的址修改成不存在的MAC 地址或其它计地址或其它计算机的算机的MAC 地址，地址，从而隐藏自己真实从而隐藏自己真实的的MAC，来到达一，来到达一些不可告人的目的，些不可告人的目的，这就是这就是MAC 地址欺地址欺骗。骗。6/1/20235MAC攻击攻击MAC攻击之二：攻击之二：MAC地址洪泛攻击地址洪泛攻击交换机内部的交换机内部的MAC地址表空间是有限的，地址表空间是有限的，MAC攻

4、击会很快占满交换机内部攻击会很快占满交换机内部MAC地址表，使得单地址表，使得单播包在交换机内部也变成播送包向同一个播包在交换机内部也变成播送包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个以收到该报文，交换机变成了一个Hub，用户的，用户的信息传输也没有平安保障了。信息传输也没有平安保障了。6/1/20236MAC攻击攻击交换机交换机攻击者攻击者MAC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交换机内部的交换机内部的MAC地址表空间很快被地址表空间很快被不存在的源不存

5、在的源MAC地地址占满。没有空间址占满。没有空间学习合法的学习合法的MAC B，MAC C流量流量 CB流量流量 CB流量流量CB单播流量在交换机内部以单播流量在交换机内部以广播包方式在所有端口转广播包方式在所有端口转发，非法者也能接受到这发，非法者也能接受到这些报文些报文MAC攻击：每秒发攻击：每秒发送成千上万个随机送成千上万个随机源源MAC的报文的报文6/1/20237MAC攻击攻击交换机交换机攻击者攻击者 FTP 效劳器效劳器PC C用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名：用户名：unit密码：密码：qy7ttvj7vgSniffer截取数据包截取

6、数据包利用利用MAC地址洪泛地址洪泛攻击截获客户信息攻击截获客户信息6/1/20238MAC攻击攻击6/1/20239MAC攻击攻击防范：防范：1、MAC静态地址锁静态地址锁 2、802.1x自动绑定自动绑定MAC地址地址 3、限定交换机某个端口上可以学习的、限定交换机某个端口上可以学习的MAC数量数量6/1/202310MAC攻击攻击 交换机交换机攻击者攻击者 当端口学习的源当端口学习的源MAC地地址数量大于一定的数量址数量大于一定的数量这个值可以自己设定或这个值可以自己设定或源源MAC地址和端口绑定地址和端口绑定的不一样，受到的数据帧的不一样，受到的数据帧丢弃丢弃/发送警告信息通知发送警告

7、信息通知网管员网管员/端口可关闭端口可关闭MAC攻击防范攻击防范6/1/202311欺骗攻击欺骗攻击1.MAC2.ARP3.IP4.DNS6/1/2023122.ARP欺骗欺骗ARP攻击就是通过伪造攻击就是通过伪造IP地址和地址和MAC地址地址实现实现ARP欺骗，能够在欺骗，能够在网络网络中产生大量的中产生大量的ARP通信通信量使网络阻塞，攻击者只要持续量使网络阻塞，攻击者只要持续不断的发出伪造的不断的发出伪造的ARP响应包就能更改目响应包就能更改目标主机标主机ARP缓存中的缓存中的IP-MAC条目，造成网条目，造成网络中断或中间人攻击。络中断或中间人攻击。ARP攻击主要是存攻击主要是存在于局

8、域网网络中，局域网中假设有一台在于局域网网络中，局域网中假设有一台计算机计算机感染感染ARP木马，则感染该木马，则感染该ARP 木马木马的系统将会试图通过的系统将会试图通过“ARP欺骗手段截获欺骗手段截获所在网络内其它计算机的通信信息，并因所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。此造成网内其它计算机的通信故障。6/1/202313ARP攻击攻击 ARP协议原理：协议原理：局域网中两台局域网中两台PC通讯，一台通讯，一台PC B要和另一台要和另一台PC A通讯，通讯，首先需要知道首先需要知道PC A的的MAC地址。地址。PC B先查找机器缓存中存贮的先查找机器缓存中存

9、贮的ARP表。如果没有，必表。如果没有，必须先发出一个须先发出一个ARP请求的播送报文。请求的播送报文。局域网里的局域网里的PC都会收到都会收到ARP请求报文，并查看自己的请求报文，并查看自己的IP是否是是否是PC A，如果是则响应。，如果是则响应。PC APC BPC CPC DARP请求：请求：IP A?ARP响应：响应：IP AMAC A6/1/202314ARP攻击攻击 按照按照RFC的规定，的规定，PC在发在发ARP响应时，不需要一定要先收响应时，不需要一定要先收到到ARP请求报文，局域网中任何一台请求报文，局域网中任何一台PC都可以向网络内其它都可以向网络内其它PC通告：自己就是通

10、告：自己就是PC A和和MAC A的对应关系，这就给攻击的对应关系，这就给攻击者带来可乘人之危的漏洞者带来可乘人之危的漏洞！ARP协议的缺陷协议的缺陷PC APC BPC CPC D非法非法ARP响应：响应：IP AMAC C6/1/202315ARP攻击攻击ARP攻击之一：攻击之一：ARP欺骗欺骗ARP欺骗：利用上页讲到的欺骗：利用上页讲到的ARP漏洞，发送虚假漏洞，发送虚假的的ARP请求报文和响应报文，报文中的源请求报文和响应报文，报文中的源IP和源和源MAC均为虚假的，扰乱局域网中被攻击均为虚假的，扰乱局域网中被攻击PC中保中保存的存的ARP表，使得网络中被攻击表，使得网络中被攻击PC的

11、流量都可流的流量都可流入到攻击者手中。入到攻击者手中。6/1/202316ARP攻击攻击PC B攻击者：攻击者：发送发送ARP欺欺骗骗192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC CARP表刷新，表刷新，192.168.10.1对应的是对应的是MAC C发送到发送到PC A的的流量均到攻击流量均到攻击者手中者手中MAC C发送发送ARP响应，告响应，告诉：诉：192.168.10.2对对应的应的MAC是是MAC CARP表刷新，表刷新，192.16

12、8.10.2对对应的是应的是MAC CPC A6/1/202317ARP攻击攻击ARP攻击之二：攻击之二：ARP恶作剧恶作剧ARP恶作剧：和恶作剧：和ARP欺骗的原理一样，报文中的欺骗的原理一样，报文中的源源IP和源和源MAC均为虚假的，或错误的网关均为虚假的，或错误的网关IP和网和网关关MAC对应关系。它的主要目的不是窃取报文，对应关系。它的主要目的不是窃取报文，而是扰乱局域网中合法而是扰乱局域网中合法PC中保存的中保存的ARP表，使得表，使得网络中的合法网络中的合法PC无法正常上网、通讯中断。无法正常上网、通讯中断。6/1/202318ARP攻击攻击PC B攻击者：攻击者：发送发送ARP欺

13、骗欺骗192.168.10.1 MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，告诉：响应，告诉：192.168.10.1对应的对应的MAC是是MAC XARP表刷新，表刷新，192.168.10.1对应对应的是的是MAC X网关网关找不到正确的网关，找不到正确的网关，所有所有 的数据都无法的数据都无法得到回应得到回应6/1/202319ARP攻击攻击发包工具发包工具TouchStone6/1/202320ARP攻击攻击ARP攻击之三：攻击之三：ARP洪泛洪泛ARP洪泛：网络病毒利用洪泛：网络病毒利用ARP协议，在网络中大协议，在网络中大量发送

14、伪造量发送伪造ARP报文，扰乱网络中主机和设备的报文，扰乱网络中主机和设备的ARP缓存，导致无法正常访问网络的攻击行为。缓存，导致无法正常访问网络的攻击行为。相关病毒：相关病毒：TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952 6/1/202321ARP攻击攻击防范：防范：需要使用专用的交换机端口需要使用专用的交换机端口ARP Check功能功能 ARP-Check技术对流入的技术对流入的ARP报文内容进行合法性检查，报文内容进行合法性检查，丢弃非法报文，防止受控端口下联的主机对网关或其它丢弃非法报文，防

15、止受控端口下联的主机对网关或其它主机发起主机发起ARP欺骗攻击。欺骗攻击。ARP-Check通常需要结合通常需要结合SAM认证，用户通过认证后将认证，用户通过认证后将在在NAS上绑定用户的上绑定用户的IP和和MAC信息；信息；ARP-Check根据在根据在NAS上动态绑定用户的上动态绑定用户的IP和和MAC信息来检查信息来检查ARP报文内报文内容，转发合法报文，丢弃非法报文容，转发合法报文，丢弃非法报文。6/1/202322ARP攻击攻击PC B攻击者：攻击者：发送发送ARP欺骗欺骗192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应，响应，说：说：PC A对

16、应的对应的MAC是是MAC C发送发送ARP响应，说：响应，说：PC B对应的对应的MAC是是MAC CARP攻击防范攻击防范192.168.10.1MAC APC A6/1/2023234.4 欺骗攻击欺骗攻击1.MAC2.ARP3.IP4.DNS6/1/2023243、IP欺骗攻击欺骗攻击IP欺骗：盗用合法用户的欺骗：盗用合法用户的IP地址，隐藏自己的真正地址，隐藏自己的真正身份。身份。IP欺骗和欺骗和MAC欺骗相结合，伪装成其他人进行网欺骗相结合，伪装成其他人进行网络访问。络访问。不断修改不断修改IP，发送，发送TCP SYN连接，攻击连接，攻击Server，造成造成SYN Flood

17、攻击。攻击。6/1/202325IP欺骗攻击过程6/1/202326IP欺骗欺骗用网络配置工具改变机器的用网络配置工具改变机器的IP地址地址注意：注意：注意：注意：只能发送数据包只能发送数据包只能发送数据包只能发送数据包 收不到回包收不到回包收不到回包收不到回包 防火墙可能阻挡防火墙可能阻挡防火墙可能阻挡防火墙可能阻挡在在Linux平台上平台上用用用用ifconfigifconfig方式方式方式方式1 1：改变自己的地址：改变自己的地址：改变自己的地址：改变自己的地址6/1/202327IP欺骗欺骗发送发送IP包，包，IP包头填上假冒的源包头填上假冒的源IP地址地址在在在在Unix/Linux

18、Unix/Linux平台上，直接用平台上，直接用平台上，直接用平台上，直接用socketsocket就可以就可以就可以就可以发送，但是需要发送，但是需要发送，但是需要发送，但是需要rootroot权限权限权限权限在在在在WindowsWindows平台上，不能使用平台上，不能使用平台上，不能使用平台上，不能使用WinsockWinsock 可以使用可以使用可以使用可以使用winpcapwinpcap可以用可以用可以用可以用libnetlibnet构造构造构造构造IPIP包包包包方式方式方式方式2 2：用程序实现：用程序实现：用程序实现：用程序实现6/1/202328Libnet1在在在在Uni

19、xUnix系统平台上的网络平安工具开发中，目前系统平台上的网络平安工具开发中，目前系统平台上的网络平安工具开发中，目前系统平台上的网络平安工具开发中，目前最为流行的最为流行的最为流行的最为流行的C API libraryC API library有有有有libnetlibnet、libpcaplibpcap、libnidslibnids和和和和libicmplibicmp等。它们分别从不同层次和角度等。它们分别从不同层次和角度等。它们分别从不同层次和角度等。它们分别从不同层次和角度提供了不同的功能函数。使网络开发人员能够忽提供了不同的功能函数。使网络开发人员能够忽提供了不同的功能函数。使网络开

20、发人员能够忽提供了不同的功能函数。使网络开发人员能够忽略网络底层细节的实现，从而专注于程序本身具略网络底层细节的实现，从而专注于程序本身具略网络底层细节的实现，从而专注于程序本身具略网络底层细节的实现，从而专注于程序本身具体功能的设计与开发。其中，体功能的设计与开发。其中，体功能的设计与开发。其中，体功能的设计与开发。其中，libnetlibnet提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造和发送过程。和发送过程。和发送过程。和发送过程。libpcaplibpcap提供的

21、接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截获有关的过程。获有关的过程。获有关的过程。获有关的过程。libnidslibnids提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测系统所必须的一些结构框架。系统所必须的一些结构框架。系统所必须的一些结构框架。系统所必须的一些结构框架。libicmplibicmp相对较为简单，它封装的是相对较为简单，它封装的是相对较为简单，它封装的

22、是相对较为简单，它封装的是ICMPICMP数据包的主数据包的主数据包的主数据包的主要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。6/1/202329Libnet2libnetlibnet库一共约库一共约库一共约库一共约76007600行行行行C C源代码，源代码，源代码，源代码，3333个源程序个源程序个源程序个源程序文件，文件，文件，文件，1212个个个个C C头文件，头文件，头文件，头文件，5050余个自定义函数，提余个自定义函数，提余个自定义函数，提余个自定义函数，提供的接口函数包含供的接口函数包含供的接口函数包含

23、供的接口函数包含1515种数据包生成器和两种种数据包生成器和两种种数据包生成器和两种种数据包生成器和两种数据包发送器数据包发送器数据包发送器数据包发送器IPIP层和数据链路层。目前层和数据链路层。目前层和数据链路层。目前层和数据链路层。目前只支持只支持只支持只支持IPv4IPv4，不支持，不支持，不支持，不支持IPv6IPv6。libnetlibnet提供的接口函数按其作用可分为四类：提供的接口函数按其作用可分为四类：提供的接口函数按其作用可分为四类：提供的接口函数按其作用可分为四类：内存管理分配和释放函数内存管理分配和释放函数内存管理分配和释放函数内存管理分配和释放函数 地址解析函数地址解析

24、函数地址解析函数地址解析函数 数据包构造函数数据包构造函数数据包构造函数数据包构造函数 数据包发送函数数据包发送函数数据包发送函数数据包发送函数6/1/202330WinPcap winpcapwinpcapwindows packet capturewindows packet capture是是是是Win32Win32平台下平台下平台下平台下一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发winpcapwinpcap这这这这个工程的目的在于为个工程的目的在于为个工程的目的在于为个工程的目的在于为

25、win32win32应用程序提供访问网络底应用程序提供访问网络底应用程序提供访问网络底应用程序提供访问网络底层的能力。它提供了以下的各项功能：层的能力。它提供了以下的各项功能：层的能力。它提供了以下的各项功能：层的能力。它提供了以下的各项功能：捕获原始数据报，包括在共享网络上各主机发送捕获原始数据报，包括在共享网络上各主机发送捕获原始数据报，包括在共享网络上各主机发送捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；接收的以及相互之间交换的数据报；接收的以及相互之间交换的数据报；接收的以及相互之间交换的数据报；在数据报发往应用程序之前，按照自定义的规则在数据报发往应用

26、程序之前，按照自定义的规则在数据报发往应用程序之前，按照自定义的规则在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；将某些特殊的数据报过滤掉；将某些特殊的数据报过滤掉；将某些特殊的数据报过滤掉；在网络上发送原始的数据报；在网络上发送原始的数据报；在网络上发送原始的数据报；在网络上发送原始的数据报；收集网络通信过程中的统计信息。收集网络通信过程中的统计信息。收集网络通信过程中的统计信息。收集网络通信过程中的统计信息。6/1/202331用程序实现用程序实现IP欺骗代码例如欺骗代码例如sockfd=socketsockfd=socketAF_INET,SOCK_RAW,255A

27、F_INET,SOCK_RAW,255;setsockoptsetsockoptsockfd,IPPROTO_IP,IP_HDRINCL,&on,sockfd,IPPROTO_IP,IP_HDRINCL,&on,sizeofsizeofonon;struct ip*ip;struct ip*ip;struct tcphdr*tcp;struct tcphdr*tcp;struct pseudohdr pseudoheader;struct pseudohdr pseudoheader;ip-ip_src.s_addr=xxx;ip-ip_src.s_addr=xxx;/填充填充填充填充IPIP

28、和和和和TCPTCP头的其他字段，并计算校验和头的其他字段，并计算校验和头的其他字段，并计算校验和头的其他字段，并计算校验和pseudoheader.saddr.s_addr=ip-ip_src.s_addr;pseudoheader.saddr.s_addr=ip-ip_src.s_addr;tcp-check=tcpchksumtcp-check=tcpchksumu_short*u_short*&pseudoheader,&pseudoheader,12+sizeof12+sizeofstruct tcphdrstruct tcphdr;/计算计算计算计算校验和校验和校验和校验和send

29、tosendtosockfd,buf,len,0,sockfd,buf,len,0,const sockaddr*const sockaddr*addr,addr,sizeofsizeofstruct sockaddr_instruct sockaddr_in;在在Linux平台上，翻开一个平台上，翻开一个raw socket，自己填写，自己填写IP头和传输层数据，然头和传输层数据，然后发送出去后发送出去6/1/202332IP欺骗攻击欺骗攻击SYN FloodSYN Flood利用利用TCP协议缺陷，变化协议缺陷，变化IP，发送了大量伪造，发送了大量伪造的的TCP连接请求，使得被攻击方资源耗

30、尽，无法及时回应连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的效劳请求；或处理正常的效劳请求；l 在效劳器端发送应答包后，如果客户端不发出确认，效在效劳器端发送应答包后，如果客户端不发出确认，效劳器会等待到超时，期间这些半连接状态都劳器会等待到超时，期间这些半连接状态都保存在效劳器保存在效劳器保存在效劳器保存在效劳器一个空间有限的缓存队列中一个空间有限的缓存队列中一个空间有限的缓存队列中一个空间有限的缓存队列中；l 如果大量的如果大量的SYN包发到效劳器端后没有应答，就会使效包发到效劳器端后没有应答，就会使效劳器端的劳器端的TCP资源迅速耗尽，导致正常的连接不能进入，资源迅速耗尽，导

31、致正常的连接不能进入，甚至会导致效劳器的系统崩溃。甚至会导致效劳器的系统崩溃。6/1/202333IP欺骗攻击欺骗攻击防范：防范：1、交换机端口静态绑定、交换机端口静态绑定IP地址地址 2、交换机端口静态绑定、交换机端口静态绑定IP和和MAC地址地址 3、802.1x自动绑定自动绑定IP和和MAC地址地址 4、DHCP动态绑定动态绑定 5、路由器上设置欺骗过滤器、路由器上设置欺骗过滤器 入口过滤，外来的包带有内部入口过滤，外来的包带有内部IP地址地址 出口过滤，内部的包带有外部出口过滤，内部的包带有外部IP地址地址6/1/2023344.4 欺骗攻击欺骗攻击1.MAC2.ARP3.IP4.DN

32、S6/1/2023354.DNS欺骗攻击欺骗攻击与与与与DNSDNS相关的一些攻击案例相关的一些攻击案例相关的一些攻击案例相关的一些攻击案例 事件事件事件事件1 1：百度遇：百度遇：百度遇：百度遇DDOSDDOS攻击事件攻击事件攻击事件攻击事件 20062006年年年年0909月月月月1212日日日日1717点点点点3030分，有北京、重庆等分，有北京、重庆等分，有北京、重庆等分，有北京、重庆等地的网友反映百度无法正常使用，出现地的网友反映百度无法正常使用，出现地的网友反映百度无法正常使用，出现地的网友反映百度无法正常使用，出现“请求超请求超请求超请求超时时时时Request timed ou

33、tRequest timed out的信息。这次攻击造的信息。这次攻击造的信息。这次攻击造的信息。这次攻击造成了百度搜索效劳在全国各地出现了近成了百度搜索效劳在全国各地出现了近成了百度搜索效劳在全国各地出现了近成了百度搜索效劳在全国各地出现了近3030分钟的分钟的分钟的分钟的故障。随后，百度技术部门的员工们快速反响，故障。随后，百度技术部门的员工们快速反响，故障。随后，百度技术部门的员工们快速反响，故障。随后，百度技术部门的员工们快速反响，将问题解决并恢复百度效劳。将问题解决并恢复百度效劳。将问题解决并恢复百度效劳。将问题解决并恢复百度效劳。9 9月月月月1212日晚上日晚上日晚上日晚上111

34、1时时时时3737分，百度空间发表了针对不明攻击事件的声明。分，百度空间发表了针对不明攻击事件的声明。分，百度空间发表了针对不明攻击事件的声明。分，百度空间发表了针对不明攻击事件的声明。“今天下午，百度遭受有史以来最大规模的不明今天下午，百度遭受有史以来最大规模的不明今天下午，百度遭受有史以来最大规模的不明今天下午，百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索效劳在全国各地出身份黑客攻击，导致百度搜索效劳在全国各地出身份黑客攻击，导致百度搜索效劳在全国各地出身份黑客攻击，导致百度搜索效劳在全国各地出现了近现了近现了近现了近3030分钟的故障。分钟的故障。分钟的故障。分钟的故障。6/

35、1/2023366/1/202337与与DNS相关的一些攻击案例相关的一些攻击案例 事件事件事件事件2 2：全球云计算平安厂商趋势科技与全球云计算平安厂商趋势科技与全球云计算平安厂商趋势科技与全球云计算平安厂商趋势科技与 FBI FBI携手合作破获全携手合作破获全携手合作破获全携手合作破获全球僵尸网络球僵尸网络球僵尸网络球僵尸网络/傀儡网络傀儡网络傀儡网络傀儡网络 Botnet Botnet犯罪集团，击溃百万网络僵犯罪集团，击溃百万网络僵犯罪集团，击溃百万网络僵犯罪集团，击溃百万网络僵尸大尸大尸大尸大 ！纽约时间！纽约时间！纽约时间！纽约时间1111月月月月8 8日，警方破获以日，警方破获以日

36、，警方破获以日，警方破获以Rove Digital Rove Digital 为首为首为首为首的网络犯罪集团在纽约以及芝加哥的数据中心，顺利在爱的网络犯罪集团在纽约以及芝加哥的数据中心，顺利在爱的网络犯罪集团在纽约以及芝加哥的数据中心，顺利在爱的网络犯罪集团在纽约以及芝加哥的数据中心，顺利在爱沙尼亚逮捕此犯罪集团母公司沙尼亚逮捕此犯罪集团母公司沙尼亚逮捕此犯罪集团母公司沙尼亚逮捕此犯罪集团母公司 Rove Digital CEO Vladimir Rove Digital CEO Vladimir TsastsinTsastsin。此集团除了透过木马程序入侵用户计算机并更。此集团除了透过木马程

37、序入侵用户计算机并更。此集团除了透过木马程序入侵用户计算机并更。此集团除了透过木马程序入侵用户计算机并更改用户的改用户的改用户的改用户的DNSDNS网域，一旦使用者上网浏览网页将会被转址网域，一旦使用者上网浏览网页将会被转址网域，一旦使用者上网浏览网页将会被转址网域，一旦使用者上网浏览网页将会被转址到特定的网址下载其他恶意软件，借此从事不法行为，更到特定的网址下载其他恶意软件，借此从事不法行为，更到特定的网址下载其他恶意软件，借此从事不法行为，更到特定的网址下载其他恶意软件，借此从事不法行为，更透过谎称中毒的讯息诱骗用户付费购置假防病毒软件。估透过谎称中毒的讯息诱骗用户付费购置假防病毒软件。估

38、透过谎称中毒的讯息诱骗用户付费购置假防病毒软件。估透过谎称中毒的讯息诱骗用户付费购置假防病毒软件。估计受害计算机超过计受害计算机超过计受害计算机超过计受害计算机超过 4 4百万台，受害者普及全球百万台，受害者普及全球百万台，受害者普及全球百万台，受害者普及全球100100个国家，个国家，个国家，个国家，总犯罪获利达总犯罪获利达总犯罪获利达总犯罪获利达14001400万美元。万美元。万美元。万美元。6/1/202338 事件事件事件事件3 3：暴风影音事件：暴风影音事件：暴风影音事件：暴风影音事件20232023年年年年5 5月月月月1818日晚上日晚上日晚上日晚上2222点左右，点左右，点左右

39、，点左右，DNSPodDNSPod主站及多个主站及多个主站及多个主站及多个DNSDNS效劳器遭受超过效劳器遭受超过效劳器遭受超过效劳器遭受超过10G10G流量的恶意攻击。耗尽了整个机流量的恶意攻击。耗尽了整个机流量的恶意攻击。耗尽了整个机流量的恶意攻击。耗尽了整个机房约三分之一的带宽资源，为了不影响机房其他用户，最房约三分之一的带宽资源，为了不影响机房其他用户，最房约三分之一的带宽资源，为了不影响机房其他用户，最房约三分之一的带宽资源，为了不影响机房其他用户，最终导致终导致终导致终导致DNSDNS效劳器被迫离线。该事件关联导致了使用效劳器被迫离线。该事件关联导致了使用效劳器被迫离线。该事件关联

40、导致了使用效劳器被迫离线。该事件关联导致了使用DNSPodDNSPod进行解析的暴风影音程序频繁的发生域名重新申进行解析的暴风影音程序频繁的发生域名重新申进行解析的暴风影音程序频繁的发生域名重新申进行解析的暴风影音程序频繁的发生域名重新申请，产生请求风暴，大量积累的不断访问申请导致各地电请，产生请求风暴，大量积累的不断访问申请导致各地电请，产生请求风暴，大量积累的不断访问申请导致各地电请，产生请求风暴，大量积累的不断访问申请导致各地电信网络负担成倍增加，网络出现堵塞。于信网络负担成倍增加，网络出现堵塞。于信网络负担成倍增加，网络出现堵塞。于信网络负担成倍增加，网络出现堵塞。于20232023年

41、年年年5 5月月月月1919日晚日晚日晚日晚2121时左右开始，江苏、安徽、广西、海南、甘肃、浙江六时左右开始，江苏、安徽、广西、海南、甘肃、浙江六时左右开始，江苏、安徽、广西、海南、甘肃、浙江六时左右开始，江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障，很多省陆续出现大规模网络故障，很多省陆续出现大规模网络故障，很多省陆续出现大规模网络故障，很多互联网互联网互联网互联网用户出现访问互用户出现访问互用户出现访问互用户出现访问互联网速度变慢或者无法访问网站等情况。在零点以前，局联网速度变慢或者无法访问网站等情况。在零点以前，局联网速度变慢或者无法访问网站等情况。在零点以前，局联网速

42、度变慢或者无法访问网站等情况。在零点以前，局部地区运营商将暴风影音效劳器部地区运营商将暴风影音效劳器部地区运营商将暴风影音效劳器部地区运营商将暴风影音效劳器IPIP参加参加参加参加DNSDNS缓存或者禁止缓存或者禁止缓存或者禁止缓存或者禁止其域名解析，网络情况陆续开始恢复。其域名解析，网络情况陆续开始恢复。其域名解析，网络情况陆续开始恢复。其域名解析，网络情况陆续开始恢复。6/1/202339DNS攻击的主要方法攻击的主要方法6/1/202340方式一：利用方式一：利用DNS效劳器效劳器进行进行DDOS攻击攻击6/1/202341方式二：方式二：DNS缓存感染缓存感染 黑客会熟练的使用DNS请

43、求，将数据放入一个没有设防的DNS效劳器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web效劳器或邮件效劳器上，然后黑客从这些效劳器上获取用户信息。6/1/202342方式三：方式三：DNS劫持劫持6/1/202343关于欺骗技术 从这些欺骗技术，我们可以看到从这些欺骗技术，我们可以看到从这些欺骗技术，我们可以看到从这些欺骗技术，我们可以看到 IPIP协议的脆弱性协议的脆弱性协议的脆弱性协议的脆弱性 应用层上也缺乏有效的平安措施应用层上也缺乏有效的平安措施应用层上也缺乏有效的平安措施应用层上也缺乏有效的平安措施 在网络攻击技术中，欺骗术是

44、比较初级的，技术含量在网络攻击技术中，欺骗术是比较初级的，技术含量在网络攻击技术中，欺骗术是比较初级的，技术含量在网络攻击技术中，欺骗术是比较初级的，技术含量并不高，它是针对并不高，它是针对并不高，它是针对并不高，它是针对InternetInternet中各种不完善的机制而开展中各种不完善的机制而开展中各种不完善的机制而开展中各种不完善的机制而开展起来的起来的起来的起来的非技术性的欺骗非技术性的欺骗非技术性的欺骗非技术性的欺骗 比方，实施社会工程比方，实施社会工程比方，实施社会工程比方，实施社会工程 毕竟网络世界与现实世界是紧密相关的毕竟网络世界与现实世界是紧密相关的毕竟网络世界与现实世界是紧

45、密相关的毕竟网络世界与现实世界是紧密相关的防止被欺骗最好的方法是教育、教育、再教育防止被欺骗最好的方法是教育、教育、再教育防止被欺骗最好的方法是教育、教育、再教育防止被欺骗最好的方法是教育、教育、再教育 增强每一个增强每一个增强每一个增强每一个InternetInternet用户的平安意识，网络管理人员以用户的平安意识，网络管理人员以用户的平安意识，网络管理人员以用户的平安意识，网络管理人员以及软件开发人员的平安意识更加重要及软件开发人员的平安意识更加重要及软件开发人员的平安意识更加重要及软件开发人员的平安意识更加重要6/1/2023442.1 Internet 2.1 Internet 的平

46、安性需求的平安性需求 2.1.1 Internet2.1.1 Internet2.1.1 Internet2.1.1 Internet存在的威协存在的威协存在的威协存在的威协 1 1缺乏对用户身份的认证缺乏对用户身份的认证缺乏对用户身份的认证缺乏对用户身份的认证2 2缺乏对路由协议的认证缺乏对路由协议的认证缺乏对路由协议的认证缺乏对路由协议的认证 在在在在路路路路由由由由协协协协议议议议中中中中，主主主主机机机机利利利利用用用用重重重重定定定定向向向向报报报报文文文文来来来来改改改改变变变变或或或或优优优优化化化化路路路路由由由由。如如如如果果果果一一一一个个个个路路路路由由由由器器器器发发发

47、发送送送送非非非非法法法法的的的的重重重重定定定定向向向向报报报报文文文文，就就就就可可可可以以以以伪伪伪伪造造造造路路路路由由由由表表表表，错错错错误误误误引引引引导导导导非非非非本本本本地地地地的的的的数数数数据据据据报报报报。另另另另外外外外，各各各各个个个个路路路路由由由由器器器器都都都都会会会会定定定定期期期期向向向向其其其其相相相相邻邻邻邻的的的的路路路路由由由由器器器器播播播播送送送送路路路路由由由由信信信信息息息息，如如如如果果果果使使使使用用用用RIPRIP特特特特权权权权的的的的主主主主机机机机的的的的520520端端端端口口口口播播播播送送送送非非非非法法法法路路路路由由

48、由由信信信信息息息息，也可以到达路由欺骗的目的。也可以到达路由欺骗的目的。也可以到达路由欺骗的目的。也可以到达路由欺骗的目的。3 3TCPTCPUDPUDP的缺陷的缺陷的缺陷的缺陷 4 4对对对对WebWeb平安平安平安平安性性威胁威胁威胁威胁6/1/202345利用路由协议攻击RIPRIP路由欺骗：路由欺骗：路由欺骗：路由欺骗：路由器在收到路由器在收到路由器在收到路由器在收到RIPRIPRIPRIP数据包时一般数据包时一般数据包时一般数据包时一般不作检查，即不对不作检查，即不对不作检查，即不对不作检查，即不对RIPRIPRIPRIP数据包发送者进行认证。数据包发送者进行认证。数据包发送者进行

49、认证。数据包发送者进行认证。攻击者可以声称他所控制的路由器攻击者可以声称他所控制的路由器攻击者可以声称他所控制的路由器攻击者可以声称他所控制的路由器A A A A可以最快地可以最快地可以最快地可以最快地到达某一站点到达某一站点到达某一站点到达某一站点B B B B，从而诱使发往，从而诱使发往，从而诱使发往，从而诱使发往B B B B的数据包由的数据包由的数据包由的数据包由A A A A中中中中转。由于转。由于转。由于转。由于A A A A受攻击者控制，攻击者可侦听、篡改受攻击者控制，攻击者可侦听、篡改受攻击者控制，攻击者可侦听、篡改受攻击者控制，攻击者可侦听、篡改数据。数据。数据。数据。6/1

50、/202346IP源路由欺骗 IPIPIPIP报文首部的可选项中有报文首部的可选项中有报文首部的可选项中有报文首部的可选项中有“源站选路源站选路源站选路源站选路,可以指定到达可以指定到达可以指定到达可以指定到达目的站点的路由。正常情况下目的站点的路由。正常情况下目的站点的路由。正常情况下目的站点的路由。正常情况下,目的主机如果有应答或目的主机如果有应答或目的主机如果有应答或目的主机如果有应答或其他信息返回源站其他信息返回源站其他信息返回源站其他信息返回源站,就可以直接将该路由反向运用作为就可以直接将该路由反向运用作为就可以直接将该路由反向运用作为就可以直接将该路由反向运用作为应答的回复路径。应