利用P2P进行攻击或传播病毒的原理是什么?
主要其实就是ARP欺骗加钓鱼或者嗅探有利信息,中了病毒的那台电脑会影响和这台电脑在同一局域网的电脑,中了病毒的电脑会自动向路由发送其他电脑的MAC地址,(解释一下山么叫MAC地址:其实在局域网里计算机的通信不是通过IP,IP主要起识别作用真正的通信是通过物理网卡MAC地址来进行的,所以必须将MAC和IP绑定才能防止ARP欺骗才能突破P2P限制)这样另外的电脑上网的所有信息就必须经过这台电脑,也就是说另外的电脑把中了病毒的电脑当成路由器了。只要在中了病毒的机器上面装上SNIFFER就能嗅探银行卡,QQ,MSN等等的密码信息。P2P攻击可以使用P2P终结者,或者小榕的P2Psniffer。。等等。。。传播病毒也只能影响局域网的机器,不会影响外网。
ddos是怎么实现的?如何防御?
一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。
每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。
防御方式:
1、全面综合地设计网络的安全体系,注意所使用的安全产品和网络设备。
2、提高网络管理人员的素质,关注安全信息,遵从有关安全措施,及时地升级系统,加强系统抗击攻击的能力。
3、在系统中加装防火墙系统,利用防火墙系统对所有出入的数据包进行过滤,检查边界安全规则,确保输出的包受到正确限制。
4、优化路由及网络结构。对路由器进行合理设置,降低攻击的可能性。
5、安装入侵检测工具(如NIPC、NGREP),经常扫描检查系统,解决系统的漏洞,对系统文件和应用程序进行加密,并定期检查这些文件的变化。
扩展资料:
DDoS攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
在这类攻击中。攻击者和代理端机器之间的通信是绝对不允许的。这类攻击的攻击阶段绝大部分被限制用一个单一的命令来实现,攻击的所有特征,例如攻击的类型,持续的时间和受害者的地址在攻击代码中都预先用程序实现。
网络安全-TCP-IP攻击
概述
1. SYN-Flooding攻击效果,受害者系统卡死.
2. TCP-RST攻击实现已经建立的TCP连接断开.
3. TCP会话劫持,劫持TCP会话,并实现反向Shell.
实验环境
1. 三台Linux系统主机,一台作为攻击者,一台作为受害者,一台作为观察者.
2. 为了简化TCP序列号和源端口号的“猜测”,实验处于同一局域网内,你可以使用嗅探器来获取受害者信息.
SYN-Flooding攻击
1. SYN-Flooding攻击原理
SYN-Flooding是DoS攻击的一种,攻击者向受害者的TCP端口发送很多SYN请求,但攻击者无意完成三次握手过程.
攻击者要么使用欺骗性的假的IP地址,要么不要继续完成整个三次握手过程.
通过这种攻击,攻击者可以淹没用于半连接的受害者队列,即已完成SYN,SYN-ACK但尚未得到最终ACK的连接.
当这个队列已满时,受害者不能再进行任何连接.
正常三次握手过程:
在Linux中,我们可以使用以下命令检查
我们可以使用命令“netstat -na”来检查队列的使用情况,即与监听端口相关联的半连接的数量.
这种半连接的状态是SYN-RECV。如果三次握手完成,则连接的状态将为ESTABLISHED.
在这个任务中,你需要演示SYN-Flooding攻击:
您可以使用Netwox来执行攻击,然后使用嗅探器捕获攻击性数据包.
在攻击发生时,在受害机器上运行“netstat -na”命令,并将结果与攻击前的结果进行比较.
2. Netwox 76简介
3. SYN Cookie防御机制
如果你的攻击看起来不成功,你可以检查是否启用了SYN cookie机制.
SYN cookie是抵抗SYN-Flooding的防御机制.
防御原理简介:
在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,
而是根据这个SYN包计算出一个cookie值.
在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性.
如果合法,再分配专门的数据区进行处理未来的TCP连接.
你可以使用sysctl命令打开/关闭SYN cookie机制:
4. 实验结果分析
比较 netstat -na 前后状态如下:
产生大量的TCP半连接,阻塞了队列,导致后续正常TCP连接无法建立!!
TCP-RST攻击
1. FTP协议
2. TELNET协议
3. SSH协议
4. Newox 78简介
5. 实验结果分析
-** FTP**
FTP服务器地址: 192.168.59.146/24
FTP客户端地址: 192.168.59.144/24
攻击者地址: 192.168.59.1/24
攻击者终端对受害者进行TCP-RST打击:
结果显示:已经建立的TCP连接断开.
Telnet服务器地址: 192.168.59.146/24
Telnet客户端地址: 192.168.59.144/24
攻击者地址: 192.168.59.1/24
攻击者终端对受害者进行TCP-RST打击:
结果显示:已经建立的TCP连接断开.
SSH服务器地址: 192.168.59.146/24
SSH客户端地址: 192.168.59.144/24
攻击者地址: 192.168.59.1/24
攻击者终端对受害者进行TCP-RST打击:
结果显示:已经建立的TCP连接断开.
TCP会话劫持
1. 会话劫持简介
TCP会话劫持攻击的目标是通过向该会话中注入恶意内容来劫持两名受害者之间的现有TCP连接(会话).
如果这个连接是一个telnet会话,攻击者可以在这个会话中注入恶意命令(例如删除重要文件),导致受害者执行恶意命令.
2. Wireshark简介
如果您使用Wireshark观察网络流量,当Wireshark显示TCP序列号时,
默认情况下会显示相对序列号,它等于实际序列号减去初始序列号.
如果想查看包中的实际序列号,则需要右键单击Wireshark输出的TCP部分,
然后选择"Protocol Preference". 在弹出窗口中,取消选"Relative Sequence Number"选项.
3. Netwox 40简介
4. 实验结果分析
Telnet服务器地址: 192.168.59.148/24
Telnet客户端地址: 192.168.59.146/24
攻击者地址: 192.168.59.1/24
攻击者终端对受害者进行TCP会话劫持:
我们要伪造发下一个包:
所以直接采用nextseq作为下一个包的ack,采用ack作为下一个包的seq.
最后一个Telnet数据包内容如下:
我们伪造向服务器 192.168.59.148 发送 ls 命令,
通过netwox构造我们的攻击指令如下:
在wireshark上显示抓包数据如下:
来创建我们的肉鸡~
现在我们来通过NC反弹一个Shell,来控制我们受害者:
首先是构造NC命令:
实验结果如图:
首先看结果:我们成功拿到了服务器上的用户gu的所有权限!
咱们再来看看抓包数据,通过抓包数据,你可以看到最后一条Telnet的TCP数据,通过这些数据,就可以很方便通过Netwox构造攻击语句了!!
0条大神的评论