局域网中间人攻击与防御分析

朱欣嘉Tel:13911529940Email:xinjia.zhu@colasoft.com.cnWeb:局域网中间人攻击与防御分析内容提纲•中间人攻击简介•ARP欺骗会话劫持分析•WPAD会话劫持分析•如何防范局域网中间人中间人攻击简介•中间人攻击——Man-in-the-MiddleAttack，简称“MITM攻击”•黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间•通过各种技术手段将一台受控的计算机虚拟放置在网络连接中的两台通信计算机之间，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，而两个原始计算机用户却认为他们是在互相通信•这种“拦截数据——修改数据——发送数据”的过程被称为“会话劫持”中间人攻击的目的•窃取敏感信息•用户名/口令•信用卡信息•机密文件•……•篡改通讯内容•插入广告•插入恶意代码•劫持加密通讯•……局域网中间人攻击的主要手段•ARP欺骗•通常同时欺骗受害者和网关•需要与受害者在同一个VLAN下实施•伪造代理服务器•主要用于劫持浏览器通讯•需要辅助手段让受害者使用攻击者的代理服务器（如：社会工程学、WPAD漏洞等）内容提纲•中间人攻击简介•ARP欺骗会话劫持分析•WPAD会话劫持分析•如何防范局域网中间人ARP欺骗原理ARP欺骗会话劫持的特点•不会造成通讯中断、不影响用户访问•会话被劫持的主机自己很难发觉ARP欺骗会话劫持的分析方法•利用科来网络分析系统抓包分析•需要做交换机的全端口（或整个VLAN）入站流量镜像科来网络分析系统ARP欺骗会话劫持的特征•特征1：IP地址冲突诊断•若干IP（一般是网关和受害者IP）反复出现IP地址冲突现象•某MAC触发两个以上IP地址冲突ARP欺骗会话劫持的特征•特征1：IP地址冲突诊断•若干IP（一般是网关和受害者IP）反复出现IP地址冲突现象•某MAC触发两个以上IP地址冲突ARP欺骗会话劫持的特征•特征2：出现IP标识相同但MAC地址有变化的数据包ARP欺骗会话劫持的特征•某些基于ARP欺骗的中间人攻击还可能触发•“ARP格式违规”•“ARP请求风暴”•“ARP扫描”•“ARP太多主动应答”等链路层诊断事件•识别出攻击者ARP报文中以太帧头的源MAC地址，再在交换机上查看MAC地址表就能够快速定位实施攻击的主机内容提纲•中间人攻击简介•ARP欺骗会话劫持分析•WPAD会话劫持分析•如何防范局域网中间人WPAD原理•WPAD（WebProxyAutoDiscovery，Web代理自动发现机制）是Web浏览器自动定位和下载代理服务器配置信息的机制，目前主要的几种浏览器都支持WPAD机制，例如：IE、FireFox、Chrome、Safari等等。WPAD原理functionFindProxyForURL(url,host){returnPROXYproxy.example.com:8080;}WPAD会话劫持原理通过WPAD漏洞获取用户信息WPAD会话劫持特征•在节点浏览器中定位“NetBIOSNameService”协议，能够看到“WPAD”主机名查询的应答WPAD会话劫持特征•受害者访问WPAD主机的80端口，并请求“wpad.dat”文件WPAD会话劫持特征•受害者获取wpad.dat文件后，所有Web访问都会通过制定的代理服务器转发WPAD会话劫持特征•WPAD会话劫持比较隐蔽，而且异常特征出现的时间非常短暂•往往需要长期分析才能捕获到攻击实施过程•建议部署回溯分析系统长期监控，并通过警报设置及时发现问题WPAD会话劫持特征•WPAD会话劫持比较隐蔽，而且异常特征出现的时间非常短暂•往往需要长期分析才能捕获到攻击实施过程•建议部署回溯分析系统长期监控，并通过警报设置及时发现问题内容提纲•中间人攻击简介•ARP欺骗会话劫持分析•WPAD会话劫持分析•如何防范局域网中间人防范ARP欺骗•静态ARP绑定•在网关设备和客户端主机上静态设置ARP表，将重要主机的IP-MAC手工配置在系统中，可以有效防止ARP欺骗。•这种方式对于大型网络会带来很大的工作量。•操作系统安全性•不同操作系统对ARP的操作有所区别•Linux系统可以忽略非主动请求的ARP应答报文•Solaris系统只在ARP条目超时后才会更新ARP表•Windows系统只能调整ARP缓存时间，无法拒绝ARP主动应答防范ARP欺骗•ARP防火墙•安装在客户机上的ARP防火墙能够有效阻止本机及网关被ARP欺骗•但很多ARP防火墙会持续发送ARP报文，往往会被IDS等监控设备识别为ARP攻击行为，给排查真正的攻击行为带来难度•端口隔离VLAN•某些交换机支持配置端口隔离VLAN，可以让VLAN内的主机不能相互通信，而只能和网关进行通信，例如Cisco的PrivateVLAN技术•这种配置适合于公共接入型的网络，如酒店、咖啡厅等，不太适合企业使用防范ARP欺骗•使用具有ARP防护功能的交换机•某些高端交换机支持的ARP防护手段，能阻止转发所有主机的ARP报文，而用交换机自己的IP-MAC映射表给用户做出正确的ARP回应，例如Cisco的IPSecureGuard技术•这可以说是防范各种ARP问题的最好方法，只是支持类似技术的交换机一般成本会比较高防范ARP欺骗•基于ARP欺骗的中间人攻击需要一些前期准备•直接接入受害者内部网络•通过木马、病毒等载体控制受害者内部网络或DMZ区中某台主机•攻击者有可能就是内部人员•通过技术以及制度手段及时发现并阻止上述行为，能够从源头上减少中间人攻击的可能性•对网络进行长期数据包级监控和回溯分析•部署准入机制，加强网络行为审计•……防范WPAD会话劫持•关闭浏览器自动检测代理配置的功能•更改hosts文件，将wpad解析为127.0.0.1或者0.0.0.0•需要使用代理服务器时，一定要手工配置或者自己编写PAC文件加密通讯的风险•中间人攻击不仅能够窃取或篡改明文通信的数据也可以窃取或篡改加密会话的数据（如SSL、SSH等）•保护加密通讯的注意事项•加强网络安全意识，杜绝使用不可靠的代理服务器访问加密站点的情况•在访问SSL站点时，注意浏览器的安全警报，出现警报不要直接点击继续访问•对于平常使用https连接的站点，一旦发现地址栏协议类型变成了http，不要继续输入用户名/口令，立即关闭浏览器并做数据包分析排查中间人攻击•访问非PKI会话（如SSH）时，最好通过可靠途径获取对端的公钥（例如通过U盘拷贝），防止公钥传递过程中被篡改谢谢！