【正文】 網(wǎng)絡(luò)協(xié)議攻擊 1 攻擊（ 6） 網(wǎng)絡(luò)協(xié)議攻擊 網(wǎng)絡(luò)協(xié)議攻擊 2 網(wǎng)絡(luò)協(xié)議攻擊 1 TCP/IP協(xié)議棧 2 鏈路層協(xié)議攻擊 3 網(wǎng)絡(luò)層協(xié)議攻擊 4 傳輸層協(xié)議攻擊 5 應(yīng)用層協(xié)議攻擊 網(wǎng)絡(luò)協(xié)議攻擊 3 1 TCP/IP協(xié)議棧 ISO/OSI模型將網(wǎng)絡(luò)表示為一個垂直的模塊 (或分層 )協(xié)議棧 。 每層完成特定的功能 。 TCP/IP協(xié)議棧只是許多支持 ISO/OSI分層模型的協(xié)議棧的一種 。 TCP/IP通常被認為是一個四層協(xié)議系統(tǒng) ， 如圖 1所示 。 網(wǎng)絡(luò)協(xié)議攻擊 4 應(yīng)用程序p r o g r a mR A R PA R P鏈路層物理層數(shù)據(jù)鏈路層硬件接口I G M PI C M P網(wǎng)絡(luò)層 IPUDPTCP傳輸層p r o g r a m應(yīng)用層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層圖 1 ISO/OSI模型與 TCP/IP協(xié)議棧 網(wǎng)絡(luò)協(xié)議攻擊 5 ISO/OSI參考模型將網(wǎng)絡(luò)設(shè)計劃分成七個功能層 。但此模型只起到一個指導作用 ， 它本身并不是一個規(guī)范 。 例如 ， TCP/IP網(wǎng)絡(luò)只使用 ISO/OSI模型中的五層 。圖 2顯示了一個簡單的五層網(wǎng)絡(luò)模型 ， 其中每層都采用了 TCP/IP協(xié)議 。 網(wǎng)絡(luò)層和相應(yīng)的協(xié)議形成了一個模型 ，數(shù)據(jù)通過此模型在應(yīng)用程序和網(wǎng)絡(luò)硬件之間進行傳遞 。 網(wǎng)絡(luò)協(xié)議攻擊 6 應(yīng)用程序p r o g r a m p r o g r a m p r o g r a m p r o g r a mT C P UDPI C M P I G M PA R P R A R P應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層物理層IP硬件接口傳輸線圖 2 TCP/IP協(xié)議棧各相關(guān)協(xié)議 網(wǎng)絡(luò)協(xié)議攻擊 7 圖 2中 ， 有箭頭的線表示不同的網(wǎng)絡(luò)軟件和硬件之間可能的通信信道 。 例如 ， 為了和傳輸層通信 ， 應(yīng)用程序必須與用戶數(shù)據(jù)報協(xié)議 (UDP)或傳輸控制協(xié)議 (TCP)模塊對話 。 為了和網(wǎng)絡(luò)層通信 ， 應(yīng)用程序必須與互聯(lián)網(wǎng)控制報文協(xié)議 (ICMP)或者互聯(lián)網(wǎng)協(xié)議 (IP)模塊對話 。 但是 ， 不管數(shù)據(jù)通過什么路徑從應(yīng)用層到網(wǎng)絡(luò)層 ， 數(shù)據(jù)都必須經(jīng)過 IP模塊才能到達網(wǎng)絡(luò)硬件 。 在 TCP/IP協(xié)議體系結(jié)構(gòu)中 ， 每層各自負責不同的網(wǎng)絡(luò)通信功能 。 (1) 鏈路層：有時也稱作數(shù)據(jù)鏈路層或網(wǎng)絡(luò)接口層 ， 通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序和計算機中對應(yīng)的網(wǎng)絡(luò)接口卡 。 它們一起處理與電纜 (或其他任何傳輸媒介 )的物理接口細節(jié) ， 以及數(shù)據(jù)幀 (Frame)的組裝 。 典型的協(xié)議包括ARP(地址解析協(xié)議 )和 RARP。 網(wǎng)絡(luò)協(xié)議攻擊 8 (2) 網(wǎng)絡(luò)層：有時也稱作互聯(lián)網(wǎng)層 ， 處理分組(Packet)在網(wǎng)絡(luò)中的活動 ， 例如分組的選路 。 在 TCP/IP協(xié)議族中 ， 網(wǎng)絡(luò)層協(xié)議包括 IP協(xié)議 (網(wǎng)際協(xié)議 )， ICMP協(xié)議 (互聯(lián)網(wǎng)控制報文協(xié)議 )， 以及 IGMP協(xié)議 (因特網(wǎng)組管理協(xié)議 )。 (3) 傳輸層：主要為兩臺主機上的應(yīng)用程序提供端到端的通信。在 TCP/IP協(xié)議族中，有兩個互不相同的傳輸協(xié)議： TCP(傳輸控制協(xié)議 )和 UDP(用戶數(shù)據(jù)報協(xié)議 )。 TCP為兩臺主機提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊 (段： Segment)交給下面的網(wǎng)絡(luò)層，確認接收到的分組報文，設(shè)置發(fā)送最后確認分組的超時時鐘等。 網(wǎng)絡(luò)協(xié)議攻擊 9 由于傳輸層提供了高可靠性的端到端的通信 ， 因此應(yīng)用層可以忽略所有這些細節(jié) 。 而另一方面 ， UDP則為應(yīng)用層提供一種非常簡單的服務(wù) 。 它只是把稱作數(shù)據(jù)報 (Datagram)的分組從一臺主機發(fā)送到另一臺主機 ，但并不保證該數(shù)據(jù)報能到達另一端 。 任何必要的可靠性必須由應(yīng)用層自己負責提供 。 (4) 應(yīng)用層：負責處理特定的應(yīng)用程序細節(jié) 。 幾乎各種不同的 TCP/IP實現(xiàn)都會提供以下這些通用的應(yīng)用程序： (1) ?Tel遠程登錄； 網(wǎng)絡(luò)協(xié)議攻擊 10 (2) ?FTP文件傳輸協(xié)議； (3) ?SMTP簡單郵件傳輸協(xié)議； (4) ?SNMP簡單網(wǎng)絡(luò)管理協(xié)議 。 下面將以圖 2的層次依次介紹對各層典型協(xié)議的攻擊。 網(wǎng)絡(luò)協(xié)議攻擊 11 2 鏈路層協(xié)議攻擊 ARP簡介 IP包是被封裝在以太網(wǎng)幀內(nèi)的 。 以太網(wǎng)硬件并不知道有 IP地址 ， 也不理解 IP地址的格式 。 以太網(wǎng)有它自己的地址方案 ， 它采用的是 6字節(jié) 48?bit的惟一硬件(MAC)地址 。 以太網(wǎng)數(shù)據(jù)報頭包含源和目的硬件地址 。以太網(wǎng)幀通過電纜從源接口送到目標接口 ， 目標接口幾乎總是在同一本地網(wǎng)絡(luò)內(nèi) ， 因為路由是在 IP層完成的 ， 而不是以太網(wǎng)接口層 。 網(wǎng)絡(luò)協(xié)議攻擊 12 IP對目標接口的硬件地址一無所知 ， 它只知道分配給接口的 IP地址 (一個硬件接口可以有多個 IP地址 ， 但是同一網(wǎng)絡(luò)內(nèi)的多個接口不能共享同一個 IP地址 )。 實現(xiàn) IP地址和硬件地址之間的轉(zhuǎn)換包括 ARP協(xié)議 (Address Resolution Protocol， 把 IP地址轉(zhuǎn)換為硬件地址 )和與之對應(yīng)的 RARP協(xié)議 (Reveres Address Resolution Protocol， 一般用于無盤工作站 boot時向服務(wù)器查詢自己的 IP地址 )。 主機 A要向主機 B建立通信連接 ， 當主機 A的 ARP緩存中沒有主機 B的 IPMAC映射記錄時 ， 主機 A在網(wǎng)絡(luò)中廣播 ARP請求數(shù)據(jù)包 。 網(wǎng)絡(luò)協(xié)議攻擊 13 該數(shù)據(jù)包被本地網(wǎng)段的所有主機 (主機 B、 C、 D)接收 ， 這些主機將主機 A的 IP地址 ()和對應(yīng) MAC地址 ()保存在各自的 ARP緩存中；同時主機 B發(fā)現(xiàn)該數(shù)據(jù)包中的目的 IP地址 ()與自身 IP地址一致 ， 對該數(shù)據(jù)包響應(yīng) ， 如圖 4所示；其他主機 (主機 C、D)不響應(yīng) 。 主機 A接收到 ARP響應(yīng)后獲得主機 B的 IPMAC映射 ， 刷新 ARP緩存 。 網(wǎng)絡(luò)協(xié)議攻擊 14 圖 3 ARP請求 網(wǎng)絡(luò)協(xié)議攻擊 15 圖 4 ARP響應(yīng) 網(wǎng)絡(luò)協(xié)議攻擊 16 ARP欺騙 前面提到 ， 網(wǎng)段上的主機接收到 ARP請求包后 ， 將請求包中的源 IP和源 MAC取出并刷新 Cache；同時接收到ARP響應(yīng)時 ， 也會刷新 Cache。 但 ARP本身是 無類協(xié)議 ，本身不攜帶任何狀態(tài)信息 。 當主機收到 ARP數(shù)據(jù)包時 ， 不會進行任何的認證就刷新 Cache。 利用這一點可以實現(xiàn)ARP欺騙 ， 造成 ARP緩存中毒 (Cache Poisoning)。 所謂的 ARP緩存中毒就是用錯誤的 IPMAC映射刷新主機的 ARP緩存 。 有兩種攻擊方式： 網(wǎng)絡(luò)協(xié)議攻擊 17 (1) 當目標發(fā)送 ARP響應(yīng)時，會完全相信 ARP響應(yīng)來自于正確的設(shè)備。這樣，當目標 A(如圖 4)發(fā)送ARP請求以獲得主機 B的 MAC地址時，在 B響應(yīng)前，主機 C以某個 IPMAC映 射對作出響應(yīng) ，則主機 A的緩存設(shè)置了錯誤的 MAC地址。從而實現(xiàn) ARP欺騙。 利用這種方式的 ARP欺騙可實現(xiàn)中間人攻擊 (Man in the Middle)， 如圖 5所示 。 在圖中，攻擊者接入本地網(wǎng)絡(luò)，分別向主機 A和 B發(fā)送適當偽造的 ARP響應(yīng)包，使 A、 B之間的通信都經(jīng)過攻擊者，同時，攻擊者建立轉(zhuǎn)發(fā)規(guī)則，實現(xiàn) A與 B之間的數(shù)據(jù)通信。 網(wǎng)絡(luò)協(xié)議攻擊 18 圖 5 中間人攻擊 網(wǎng)絡(luò)協(xié)議攻擊 19 采用這種攻擊方式 ， 可以監(jiān)聽 、