1、假消息攻击是指利用网络协议设计中的安全缺陷，通过发送伪装的数据包达到欺骗目标、从中获利的目的。

是一种内网渗透方法。

（1）TCP / IP协议的设计缺陷

① 缺乏有效的信息加密机制，通信内容容易被第三方截获。

② 缺乏有效的身份鉴别和认证机制，通信双方无法确认彼此的身份。

（2）假消息攻击的类型：

① 应用层 —— DNS欺骗、SMB中间人

② 传输层 —— IP欺骗，SYN Flood

③ 网络层 —— ICMP重定向、IP分片攻击

④ 数据链路层 —— ARP欺骗

2、ARP欺骗

（1）ARP：地址解析协议（IP地址得物理地址）； RARP：反向地址解析协议

把我的IP告诉整个网络，询问**IP是谁，对应的回答，其他的缓存。最后四字节目的地址请求包是空的，响应包是填全的。

ARP缓存机制：ARP请求是一种广播包，为了避免网络中出现过多广播包，提高网络效率，每台主机使用一个数据结构保存最近使用过的MAC地址。

ARP缓存更新：① 收到ARP请求包时，会将发送者的 IP-MAC 映射信息更新至缓存。② 收到ARP应答包时，同样也会更新发送者的IP-MAC映射信息。③ 为保证缓存的有效性，ARP缓存定时清空。

（2）ARP欺骗

在APR请求、应答中伪造发送者 IP-MAC 映射。让网管认为我（C）激素是B，那么网管就会把B的信息发给我。

（3）ARP欺骗的危害：① 拒绝服务攻击：ARP扫描；② 嗅探；③ zh9nogjianren攻击

使服务器ARP缓存达到上限，就会拒绝新的服务。

嗅探（另一个主机的包由我转发，就相当于截获）只是看看；进一步篡改，中间人攻击。

（4）ARP欺骗的防范：

① 主机中建立静态IP/MAC对应关系  —— 永久建立，再欺骗，不更新。但是不够灵活，换个主机就得通知所有人给更新下缓存。

② 局域网中建立 MAC数据库

③ 局域网监听ARP数据包 ——  虽然C说 IpB-MacC，但是B也在发生，只是被C大量的包淹没了，发现B的包，一会B、一会C，就知道ARP欺骗。

3、ICMP重定向攻击

ICMP报文：差错报告报文、查询报文

（1）ICMP重定向报文

主机在启动时具有一定的路由信息，但不一定是最优的。路由器检测到IP数据报经非优路由传输，就通知主机去往该目的地的最优路径。

功能：保证主机拥有动态的、既小且优的路由表

※ 重定向报文由当前路由器发送

（发包告诉原机器，下次给那个目的地址发时，不要走我这，而是去哪哪哪，然后原机器就会更新他的路由表）

（2）ICMP重定向的危害：① 改变对方的路由表；② 与ARP欺骗类似，ICMP重定向攻击也可以用来做拒绝服务、嗅探或中间人攻击等。

（3）ICMP重定向的限制：① ICMP重定向攻击一次只能指定一个目的地址。② 新路由必须是直达的。③ 重定向包必须来自去往目标的当前路由 。

② ：让被攻击者认为我是路由，然后欺骗他。因为直达 -->  是一个网络的，不能经过转发。

③ ：重定向报文必须当前路由发送，所以想重定向攻击，要把源IP地址伪造成原来那个路由器，不然发了人家也不收。

（4）ICMP重定向攻击的防范：① 配置防火墙，拒绝接收ICMP重定向报文；② 在Windows里可修改注册表； ③ 通过route print命令来查看本机的路由表。

4、IP欺骗

最初IP欺骗用来对基于源IP地址信任的应用进行攻击。IP欺骗需要伪造IP头部和源IP地址。

ACK = 收到的SYN+1。两次的SYN是随机的。

IP欺骗的难点在于得到TCP的ACK初始序列号。

 攻击者与受害者在同一局域网内，可以结合嗅探的手段直接获取该序列号。否则只能通过猜测的方法（截获其他的SYN值，来缩减猜测范围）。

IP欺骗的危害：① 以可信任的身份与服务器建立链接；② 伪造源IP地址，隐藏攻击者身份，消除攻击痕迹。（能查到的只是那台受害机）

IP欺骗的防范：① 抛弃基于地址的的信任策略；（可以加验证码、注册账号等，eg：微信要关注后才能投票）② 进行包过滤，只信任内部主机；③ 利用路由器屏蔽掉所有外部希望向内部发出的链接请求；④ 使用随机化的出事序列号，使TCP序列号难以猜测。

5、SYN Flood攻击

（1）原理

等待 --> 会一直占用服务器资源：

① 分配的缓冲区。三次握手中，服务器分配缓冲区的时机是在第三次握手过来、链接建立前就分好的，一直占用他的资源，使他无法为真正的请求分配，越来越慢。

② 链接数量达到上限，无法建立新的链接。

③ 除了内存、链接数，资源还有CPU、磁盘空间、打印机等等，均可占用达到攻击效果。

（2）SYN Flood攻击的危害：服务过载而导致拒绝服务。

拒绝服务攻击：一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户可用。

拒绝服务攻击的发展趋势 --> DDOS（分布式拒绝服务攻击）

（3）SYN Flood攻击的防范：① 缩短SYN Timeout时间；② SYN Cookie

两个作用：得到ACK之后再分配资源、建立连接 —— 是资源尽可能靠后分配；用cookie校验 —— 确认源IP书否真实。

这里cookie类似hash，没有服务器返回的SYN+ACK的cookie，攻击者即使命中SYN，伪造源IP发过去，cookie也过不了。

6、DNS欺骗

DNS的作用：实现域名解析，将域名对应到相应的地址。

若没有，向上一级继续去咨询。

（1）DNS欺骗的原理：客户端以特定的标识ID向DNS服务器发送域名查询数据包，DNS服务器查询之后以同样的ID返回给客户端响应数据包，攻击者拦截该响应数据包，并修改其内容，返回客户端。

一般用于钓鱼，使其解析到特定的IP中。

难点：如何获取标志号ID -->  可以结合ARP欺骗或ICMP重定向等手段，采用嗅探的方法得到。（要将外网攻击转化为内网攻击，在内网假设，截获标识ID）

（2）DNS欺骗的原因：① UDP协议是无状态、不可靠的协议；② DNS协议本身没有好的身份认证机制

（3）DNS欺骗的危害：① 将用户访问的合法网址重定向到另一个网址； 使用户在不知情的情况下访问恶意网站。② 可能导致断网的现象。

（4）DNS欺骗额防范

构造静态的域名-IP映射，eg：Windows系统的hosts文件直接用IP地址链接服务器。

7、SMB中间人攻击（MTM攻击）

间接的入侵攻击。

SMB协议：用于不同计算机之间共享文件、打印机、通信对象等各种计算机资源的协议。

早起SMB协议使用明文口令进行身份验证 --> LM  -->  NTLM  

（1）SMB重放攻击

通过对NTLM认证过程中的挑战/响应机制的重放，主机A能够在不知道主机B密码的情况下通过主机B的密码验证。

A不知道密码散列值，所以通过连接2来套B的密码，双方密码散列值相同。

（2）SMB中间人攻击

假设攻击者已经利用ARP欺骗或者ICMP重定向等手段将客户端与服务器之间的所有通信拦截下来，那么攻击者可以在NTLM认证的第二步将客户端的数据篡改，申明自身只支持明文密码传送，那么接下来的密码传送就会是明文的。

中间人攻击的关键是攻击者处于客户端和服务器通信的中间，可以嗅探或任意篡改通信数据，并且不会中断他们的链接。