局域网中间人攻击与防御分析ppt课件.pptx

局域网中间人攻击与防御分析,内容提纲,中间人攻击简介ARP欺骗会话劫持分析WPAD会话劫持分析如何防范局域网中间人,中间人攻击简介,中间人攻击Man-in-the-Middle Attack，简称“MITM攻击”黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间通过各种技术手段将一台受控的计算机虚拟放置在网络连接中的两台通信计算机之间，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，而两个原始计算机用户却认为他们是在互相通信这种“拦截数据修改数据发送数据”的过程被称为“会话劫持”,中间人攻击的目的,窃取敏感信息用户名/口令信用卡信息机密文件篡改通讯内容插入广告插入恶意代码劫持加密通讯,局域网中间人攻击的主要手段,ARP欺骗通常同时欺骗受害者和网关需要与受害者在同一个VLAN下实施伪造代理服务器主要用于劫持浏览器通讯需要辅助手段让受害者使用攻击者的代理服务器（如：社会工程学、WPAD漏洞等）,内容提纲,中间人攻击简介ARP欺骗会话劫持分析WPAD会话劫持分析如何防范局域网中间人,ARP欺骗原理,ARP欺骗会话劫持的特点,不会造成通讯中断、不影响用户访问会话被劫持的主机自己很难发觉,被欺骗前的ARP表,被欺骗后的ARP表,ARP欺骗会话劫持的分析方法,利用科来网络分析系统抓包分析需要做交换机的全端口（或整个VLAN）入站流量镜像,ARP欺骗会话劫持的特征,特征1：IP地址冲突诊断若干IP（一般是网关和受害者IP）反复出现IP地址冲突现象某MAC触发两个以上IP地址冲突,ARP欺骗会话劫持的特征,特征1：IP地址冲突诊断若干IP（一般是网关和受害者IP）反复出现IP地址冲突现象某MAC触发两个以上IP地址冲突,ARP欺骗会话劫持的特征,特征2：出现IP标识相同但MAC地址有变化的数据包,ARP欺骗会话劫持的特征,某些基于ARP欺骗的中间人攻击还可能触发“ARP格式违规”“ARP请求风暴”“ARP扫描”“ARP太多主动应答”等链路层诊断事件识别出攻击者ARP报文中以太帧头的源MAC地址，再在交换机上查看MAC地址表就能够快速定位实施攻击的主机,内容提纲,中间人攻击简介ARP欺骗会话劫持分析WPAD会话劫持分析如何防范局域网中间人,WPAD原理,WPAD（Web Proxy Auto Discovery，Web代理自动发现机制）是Web浏览器自动定位和下载代理服务器配置信息的机制，目前主要的几种浏览器都支持WPAD机制，例如：IE、FireFox、Chrome、Safari等等。,WPAD原理,function FindProxyForURL(url, host) return PROXY :8080 ;,WPAD会话劫持原理,通过WPAD漏洞获取用户信息,WPAD会话劫持特征,在节点浏览器中定位“NetBIOS Name Service”协议，能够看到“WPAD”主机名查询的应答,WPAD会话劫持特征,受害者访问WPAD主机的80端口，并请求“wpad.dat”文件,WPAD会话劫持特征,受害者获取wpad.dat文件后，所有Web访问都会通过制定的代理服务器转发,WPAD会话劫持特征,WPAD会话劫持比较隐蔽，而且异常特征出现的时间非常短暂往往需要长期分析才能捕获到攻击实施过程建议部署回溯分析系统长期监控，并通过警报设置及时发现问题,WPAD会话劫持特征,WPAD会话劫持比较隐蔽，而且异常特征出现的时间非常短暂往往需要长期分析才能捕获到攻击实施过程建议部署回溯分析系统长期监控，并通过警报设置及时发现问题,内容提纲,中间人攻击简介ARP欺骗会话劫持分析WPAD会话劫持分析如何防范局域网中间人,防范ARP欺骗,静态ARP绑定在网关设备和客户端主机上静态设置ARP表，将重要主机的IP-MAC手工配置在系统中，可以有效防止ARP欺骗。这种方式对于大型网络会带来很大的工作量。操作系统安全性不同操作系统对ARP的操作有所区别Linux系统可以忽略非主动请求的ARP应答报文Solaris系统只在ARP条目超时后才会更新ARP表Windows系统只能调整ARP缓存时间，无法拒绝ARP主动应答,防范ARP欺骗,ARP防火墙安装在客户机上的ARP防火墙能够有效阻止本机及网关被ARP欺骗但很多ARP防火墙会持续发送ARP报文，往往会被IDS等监控设备识别为ARP攻击行为，给排查真正的攻击行为带来难度端口隔离VLAN某些交换机支持配置端口隔离VLAN，可以让VLAN内的主机不能相互通信，而只能和网关进行通信，例如Cisco的Private VLAN技术这种配置适合于公共接入型的网络，如酒店、咖啡厅等，不太适合企业使用,防范ARP欺骗,使用具有ARP防护功能的交换机某些高端交换机支持的ARP防护手段，能阻止转发所有主机的ARP报文，而用交换机自己的IP-MAC映射表给用户做出正确的ARP回应，例如Cisco的IP Secure Guard技术这可以说是防范各种ARP问题的最好方法，只是支持类似技术的交换机一般成本会比较高,防范ARP欺骗,基于ARP欺骗的中间人攻击需要一些前期准备直接接入受害者内部网络通过木马、病毒等载体控制受害者内部网络或DMZ区中某台主机攻击者有可能就是内部人员通过技术以及制度手段及时发现并阻止上述行为，能够从源头上减少中间人攻击的可能性对网络进行长期数据包级监控和回溯分析部署准入机制，加强网络行为审计,防范WPAD会话劫持,关闭浏览器自动检测代理配置的功能更改hosts文件，将wpad解析为127.0.0.1或者0.0.0.0需要使用代理服务器时，一定要手工配置或者自己编写PAC文件,加密通讯的风险,中间人攻击不仅能够窃取或篡改明文通信的数据也可以窃取或篡改加密会话的数据（如SSL、SSH等）保护加密通讯的注意事项加强网络安全意识，杜绝使用不可靠的代理服务器访问加密站点的情况在访问SSL站点时，注意浏览器的安全警报，出现警报不要直接点击继续访问对于平常使用https连接的站点，一旦发现地址栏协议类型变成了http，不要继续输入用户名/口令，立即关闭浏览器并做数据包分析排查中间人攻击访问非PKI会话（如SSH）时，最好通过可靠途径获取对端的公钥（例如通过U盘拷贝），防止公钥传递过程中被篡改,谢谢！,