欺骗攻击的概念和防护Word文件下载.docx
《欺骗攻击的概念和防护Word文件下载.docx》由会员分享,可在线阅读,更多相关《欺骗攻击的概念和防护Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
假设现在有一个合法用户已经同服务器建立了正常的连接,这
个合法用户的IP是192.10.27.20,那么攻击者要构造攻击的TCP数据,就会将自己的1P伪装为192.10.27.20,并向服务器发送一个带有RST位的TCP数据段。
服务器接收到这样的数据后,认为从192.10.27.
20发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户再用IP192.10.27.20来发送合法数据,服务器中已经没有这样的连接了,该用户就必须重新开始建立连接。
IP欺骗攻击时,就是这样伪造大量的1P地址,向目标发送RST数据,使服务器不能对合法用户提供服务。
IP欺骗的防范
对于IP欺骗,目前常用的几种防范方法为:
(1)抛弃基于地址的信任策略。
阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。
不允许r★类远程调用命令的使用;
删除.thosts文件;
清空/etc/hosts.equiv文件。
这将迫使所有用户使用其他远程通信手段,女口telnet、ssh、skey等等。
(2)进行包过滤。
如果网络是通过路由器接人Internet的,那么可以利用路由器来进行包过滤。
确信只有内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。
路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
(3)使用加密方法。
阻止IP欺骗的另一-种明显的方法是在通信时要求加密传输和验证。
当有多种手段并存时,可能加密方法最为适用。
(4)使用随机化的初始序列号。
IP欺骗攻击得以成功实现的一个很重要的因素就是,序列号不是随机选择的或者随机增加的。
如果使用了随机化的序列号,那么每一次访问都会更换新的访问序列号,攻击者就难以中断被伪装主机对目标主机的访问,IP欺骗很容易就能被发现了。
三、ARP欺骗
1.ARP欺骗的概念
ARP(AddressResolutionPtotocol)足地址解析协议,是一种将IP地址转化成物理地址的协议。
从IP地址到物理地址的映射有两种方式:
表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP协议并不只在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
因此,当局域网中的某台机器C向A发送一个自己伪造的ARP应答,而如果这个应答是C冒充B伪造来的,即IP地址为B的IP,而MAC地址是伪造C的,则当A接收到C伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来B的IP地址没有变,而它的MAC地址已经不是原来那个了。
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通B。
这就是一个简单的ARP欺骗。
2.ARP欺骗的种类
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;
另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,其属于一台机器作恶,整个网络内所有用户都遭殃的性质。
有时候一个局域网中有电脑中了ARP欺骗病毒,其他用户上网的数据就都会首先流经这台电脑再访问外网,那么局域网内所有机器的密码、账号被截获也就再正常不过了。
局域网中有机器中了ARP欺骗后,往往伴随而来的就是其他用户发现网速极其慢或者根本上不了网,时常掉线,大多数情况下更会出现大面积掉线的恶劣后果。
3.ARP欺骗的防范方法对于ARP欺骗的防范,常见的方法有以下几种:
(1)木要把计算机的网络安全信任关系单独建立在IP基础上或
MAC基础上,(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
(2)设置静态的MAC—lP对应表,不要让主机刷新预先设定好的转换表。
(3)除非很有必要,否则停止使用ARP协议,将ARP作为永久条目保存在对应表中。
(4)使用安全的ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保这台ARP服务器不被入侵。
(5)使用硬件屏蔽主机。
设置好网络的路由列表,确保1P地址能到达合法的路径。
(静态配置路由ARP条目)注意,使用交换集线器和网桥是无法阻止ARP欺骗的。
(6)管理员定期用响应的1P包中获得一个RARP请求,然后检查ARP响应的真实性,发现异常立即处理。
同时,管理员要定期轮询,经常检查主机上的ARP缓存。
(7)使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
四、DNS欺骗
1DNS欺骗的概念
DNS欺骗就是攻击者冒充域名服务器进行网络攻击的一种欺骗行为。
攻击实施后,攻击者会用一台主机冒充域名服务器,然后把查询的IP地址设为攻击者主机的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
2.DNS欺骗的工作原理
客户端向DNS服务器查询一个域名时,本地的DNS服务器会先查询自己的资料库。
如果自己的资料库没有信息,它则会向该指定的DNS服务器询问。
当DNS客户端向指定的DNS服务器进行查询时,DNS服务器会在自己资料库中找寻用户所指定的名称。
如果没有,该
服务器会先在自己的缓存区中查询有无该记录,如果找到该域名记录后,DNS服务器会直接将所对应到的1P地址传回给客户端。
如果DNS服务器在资料记录查不到,且缓存区中也没有时,服务器会要求最接近的备选DNS服务器帮忙找寻该域名的IP地址,在备选DNS服务器上也是相同的查询动作。
当查询到后,备选DNS服务器将会把查询
结果回复给主DNS服务器,主DNS股务器先将所查询到的主机名称及对应IP地址记录到快取缓存区中,最后再将所查询到的结果回应给客户端。
如果没有查询到,将会在IE浏览器中报告HrITP错误。
根据这个DNS的工作原理,攻击者就可以通过拦截并修改数据包来实行DNS欺骗了。
当客户端向DNS服务器查询某个域名时,正常情况下,DNS服务器经过查询后,会将查询结果返回给客户端。
但是,如果攻击者在此时冒充DNS服务器向客户端主动发送DNS回应数据包,且数据包中的地址指向一个错误地址。
这样,当用户访问该
域名时,就会转向到攻击者提供的错误地址上,也就是被攻击者欺骗了,用户根本连接不上这个域名真正的地址。
3.DNS欺骗的方法
网络攻击者通常通过以下几种方法进行DNS欺骗:
(1)缓存感染。
攻击者会熟练地使用DNS请求,将数据放人一个没有设防的DNS服务器的缓存当中。
这些缓存信息会在客户进行DNS访问时返回给
客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后攻击者从这些服务器上获取用户信息。
(2)DNS信息劫持。
攻击者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。
每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。
黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
(3)DNS重定向。
攻击者能够将DNS名称查询重定向到恶意DNS服务器。
这样攻击者可以获得DNS服务器的写权限。
4.DNS欺骗的防范
防范DNS欺骗攻击可采取如下措施:
(1)直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。
但这需要你记住要访问的IP地址。
(2)加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。
这也并不是容易的事情。
五、Web欺骗
1.Web欺骗的概念
Weh欺骗是一种电子信息欺骗,攻击者在网络中制作了一个令人信服但是完全错误的Web。
错误的Web看起来十分逼真,它拥有相同的网页和链接。
然而,攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获。
由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;
同样地,也控制着从Weh服务器至受攻击者的退回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。
当受攻击者填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。
例如,绝大部分在线公司都是使用表单来完成业务交易的,这意味着攻击者可以获得用户的账户和密码。
即使受攻击者有一个“安全”链接(通常是通过SecureSocketsLaye来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全链接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据,来进行某些破坏活动。
攻击者修改受攻击者的确认数据,例如,受攻击者在线订购某个产品时,攻击者
可以修改产品代码、数量或者邮购地址等信息,使得这个产品被攻击者截获。
攻击者也能修改被Weh服务器所返回的数据,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
2.Web欺骗的方式
常见的Web欺骗方式有三种:
(1)基本网