第5章加密文件系統(tǒng)的規(guī)劃、實現和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現EFS在使用PKI的域環(huán)境中規(guī)劃和實現EFS實現EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現和故障排除EFS簡介欺1欺騙攻擊（IP,ARP，DNS）純技術性利用了TCP/IP協議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25，凱文.米特尼克利用IP欺騙技術攻破了SanDiego計算中心 1999年，RSASecurity公司網站遭受DNS欺騙攻擊 1998年，臺灣某電子商務網站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術性2ARP欺騙攻擊ARP欺騙攻擊3ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經過Hacker，然后由Hacker進行轉發(fā)。于是Hacker可以捕獲到所有A與B之間的數據傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:4ARP欺騙攻擊ARP欺騙攻擊5ARP欺騙木馬局域網某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網所有主機和路由器，讓所有上網的流量必須經過病毒主機， ?原來由路由器上網的計算機現在轉由病毒主機上網發(fā)作時，用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包，導致局域網通訊擁塞，用戶會感覺到上網的速度越來越慢?當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線ARP欺騙木馬局域網某臺主機運行ARP欺騙的木馬程序6ARP欺騙出現的癥狀網絡時斷時通；網絡中斷，重啟網關設備，網絡短暫連通；內網通訊正常、網關不通；頻繁提示IP地址沖突；硬件設備正常，局域網不通；特定IP網絡不通，更換IP地址，網絡正常；禁用-啟用網卡，網絡短暫連通；網頁被重定向。ARP欺騙出現的癥狀網絡時斷時通；7ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網關的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙8IP欺騙：基礎TCP協議把通過連接而傳輸的數據看成是字節(jié)流，用一個32位整數對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產生。攻擊者如果向目標主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進攻主機到目標主機之間數據包傳送的來回時間RTT。利用ISN和RTT，就可以預測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發(fā)出TCP連接，并預測到目標主機的TCP序列號，攻擊者就能使用有害數據包，從而蒙騙目標主機IP欺騙：基礎TCP協議把通過連接而傳輸的數據看成是字節(jié)流，9IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）10IP欺騙攻擊過程IP欺騙攻擊過程11IP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機，發(fā)送SYN請求建立連接4、等待目標主機發(fā)送SYN+ACK，黑客看不到該數據包5、再次偽裝成被信任主機發(fā)送ACK，并帶有預測的目標機的ISN+16、建立連接，通過其它已知漏洞獲得Root權限，安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如La12IP欺騙攻擊攻擊的難點：ISN的預測TCP使用32位計數器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現連接增加64000無連接情況下每9.32小時復位一次IP欺騙攻擊攻擊的難點：ISN的預測13IP欺騙的防范措施安裝VPN網關，實現加密和身份認證實施PKICA,實現身份認證通信加密IP欺騙的防范措施安裝VPN網關，實現加密和身份認證14DNS欺騙攻擊復雜，使用簡單RSASecurity網站曾被成功攻擊DNS欺騙原理 IP與域名的關系 DNS的域名解析 RandPorttoDNSs53DNS’··DNS欺騙攻擊復雜，使用簡單15DNS欺騙原理DNS欺騙原理16第5章加密文件系統(tǒng)的規(guī)劃、實現和故障排除EFS簡介在獨立MicrosoftWindowsXP環(huán)境中實現EFS在使用PKI的域環(huán)境中規(guī)劃和實現EFS實現EFS文件共享EFS故障排除欺騙攻擊第5章加密文件系統(tǒng)的規(guī)劃、實現和故障排除EFS簡介欺17欺騙攻擊（IP,ARP，DNS）純技術性利用了TCP/IP協議的缺陷不涉及系統(tǒng)漏洞較為罕見 1994.12.25，凱文.米特尼克利用IP欺騙技術攻破了SanDiego計算中心 1999年，RSASecurity公司網站遭受DNS欺騙攻擊 1998年，臺灣某電子商務網站遭受Web欺騙攻擊，造成大量客戶的 信用卡密碼泄漏欺騙攻擊的主要類型： ARP欺騙 IP欺騙攻擊 Web欺騙攻擊 DNS欺騙攻擊欺騙攻擊（IP,ARP，DNS）純技術性18ARP欺騙攻擊ARP欺騙攻擊19ARP欺騙攻擊Meet-in-Middle: Hacker發(fā)送偽裝的ARPReply告訴A，計算機B的MAC地址是Hacker計算機的MAC地址。 Hacker發(fā)送偽裝的ARPReply告訴B，計算機A的MAC地址是Hacker計算機的MAC地址。 這樣A與B之間的通訊都將先經過Hacker，然后由Hacker進行轉發(fā)。于是Hacker可以捕獲到所有A與B之間的數據傳輸（如用戶名和密碼）。 這是一種典型的中間人攻擊方法。ARP欺騙攻擊Meet-in-Middle:20ARP欺騙攻擊ARP欺騙攻擊21ARP欺騙木馬局域網某臺主機運行ARP欺騙的木馬程序 ?會欺騙局域網所有主機和路由器，讓所有上網的流量必須經過病毒主機， ?原來由路由器上網的計算機現在轉由病毒主機上網發(fā)作時，用戶會斷一次線?ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包，導致局域網通訊擁塞，用戶會感覺到上網的速度越來越慢?當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線ARP欺騙木馬局域網某臺主機運行ARP欺騙的木馬程序22ARP欺騙出現的癥狀網絡時斷時通；網絡中斷，重啟網關設備，網絡短暫連通；內網通訊正常、網關不通；頻繁提示IP地址沖突；硬件設備正常，局域網不通；特定IP網絡不通，更換IP地址，網絡正常；禁用-啟用網卡，網絡短暫連通；網頁被重定向。ARP欺騙出現的癥狀網絡時斷時通；23ARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙攻擊2MAC地址與IP地址雙向綁定 所有機器上把網關的IP和MAC綁定一次 編個批處理 arp-d arp-s192.168.1.100-0A-EB-DB-03-D2 路由器上再把用戶的IP地址和MAC綁定一次修改注冊表項，如：regaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vStaticArp/d“arp–s192.168.1.100-0a-eb-db-03-d2”3查找ARP欺騙木馬 Antiarp nbtscan4劃分VLANARP欺騙攻擊的防范措施1安裝入侵檢測系統(tǒng)，檢測ARP欺騙24IP欺騙：基礎TCP協議把通過連接而傳輸的數據看成是字節(jié)流，用一個32位整數對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產生。攻擊者如果向目標主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進攻主機到目標主機之間數據包傳送的來回時間RTT。利用ISN和RTT，就可以預測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發(fā)出TCP連接，并預測到目標主機的TCP序列號，攻擊者就能使用有害數據包，從而蒙騙目標主機IP欺騙：基礎TCP協議把通過連接而傳輸的數據看成是字節(jié)流，25IPSpoofing（IP欺騙）IPSpoofing（IP欺騙）26IP欺騙攻擊過程IP欺騙攻擊過程27IP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如Land攻擊、SYN洪水2、序列號采樣和猜測。猜測ISN的基值和增加規(guī)律3、將源地址偽裝成被信任主機，發(fā)送SYN請求建立連接4、等待目標主機發(fā)送SYN+ACK，黑客看不到該數據包5、再次偽裝成被信任主機發(fā)送ACK，并帶有預測的目標機的ISN+16、建立連接，通過其它已知漏洞獲得Root權限，安裝后門并清除LogIP欺騙攻擊過程1、屏蔽主機B。方法：Dos攻擊，如La28IP欺騙攻擊攻擊的難點：ISN的預測TCP使用32位計數器每一個連接選擇一個ISN不同的系統(tǒng)的ISN有不同的變化規(guī)律ISN每秒增加128000，出現連接增加64000無連接情況下每9.32小時復位一次IP欺騙攻擊攻擊的難點：ISN的預測