欺骗攻击的概念和防护.docx
《欺骗攻击的概念和防护.docx》由会员分享,可在线阅读,更多相关《欺骗攻击的概念和防护.docx(9页珍藏版)》请在冰豆网上搜索。
欺骗攻击的概念和防护
欺骗攻击的概念和防护
一、欺骗攻击的概念这里的欺骗并不是实际生活中的用虚伪的言行隐瞒真相,使人上当的意思。
从安全学角度上说,网络欺骗是根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。
实施网络欺骗技术既可以迅速检测到入侵者的进攻并获知其进攻技术和意图,又可增加入侵者的工作量、入侵复杂度以及不确定性。
相对的,欺骗攻击就是利用假冒、伪装后的身份与其他主机进行合法的通信或者发送假的报文,使受攻击的主机出现错误,或者是伪造一系列假的网络地址和网络空间顶替真正的网络主机为用户提供网络服务,以此方法获得访问用户的合法信息后加以利用,转而攻击主机的网络欺诈行为。
常见的网络欺骗攻击主要方式有:
IP欺骗、ARP欺骗、DNS欺骗、Weh欺骗、电子邮件欺骗、源路由欺骗等。
二、1P欺骗
11P欺骗的定义
所谓的1P欺骗,就是伪造值人的1P地址与入侵主机联系,通过用另外一台机器来代替自己的方式借以达到蒙混过关的目的。
2.lP欺骗的原理
1P欺骗技术就是伪造某台主机的1P地址的技术。
通过1P地址的伪装使得某台主机能够伪装另外的一台主机,而被伪造了lP地址的这台主机往往具有某种特权或者被另外的主机所信任。
假设现在有一个合法用户已经同服务器建立了正常的连接,这
个合法用户的IP是192.10.27.20,那么攻击者要构造攻击的TCP数据,就会将自己的1P伪装为192.10.27.20,并向服务器发送一个带有RST位的TCP数据段。
服务器接收到这样的数据后,认为从192.10.27.
20发送的连接有错误,就会清空缓冲区中建立好的连接。
这时,如果合法用户再用IP192.10.27.20来发送合法数据,服务器中已经没有这样的连接了,该用户就必须重新开始建立连接。
IP欺骗攻击时,就是这样伪造大量的1P地址,向目标发送RST数据,使服务器不能对合法用户提供服务。
IP欺骗的防范
对于IP欺骗,目前常用的几种防范方法为:
(1)抛弃基于地址的信任策略。
阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。
不允许r★类远程调用命令的使用;删除.thosts文件;清空/etc/hosts.equiv文件。
这将迫使所有用户使用其他远程通信手段,女口telnet、ssh、skey等等。
(2)进行包过滤。
如果网络是通过路由器接人Internet的,那么可以利用路由器来进行包过滤。
确信只有内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。
路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
(3)使用加密方法。
阻止IP欺骗的另一-种明显的方法是在通信时要求加密传输和验证。
当有多种手段并存时,可能加密方法最为适用。
(4)使用随机化的初始序列号。
IP欺骗攻击得以成功实现的一个很重要的因素就是,序列号不是随机选择的或者随机增加的。
如果使用了随机化的序列号,那么每一次访问都会更换新的访问序列号,攻击者就难以中断被伪装主机对目标主机的访问,IP欺骗很容易就能被发现了。
三、ARP欺骗
1.ARP欺骗的概念
ARP(AddressResolutionPtotocol)足地址解析协议,是一种将IP地址转化成物理地址的协议。
从IP地址到物理地址的映射有两种方式:
表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP协议并不只在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
因此,当局域网中的某台机器C向A发送一个自己伪造的ARP应答,而如果这个应答是C冒充B伪造来的,即IP地址为B的IP,而MAC地址是伪造C的,则当A接收到C伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来B的IP地址没有变,而它的MAC地址已经不是原来那个了。
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通B。
这就是一个简单的ARP欺骗。
2.ARP欺骗的种类
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,其属于一台机器作恶,整个网络内所有用户都遭殃的性质。
有时候一个局域网中有电脑中了ARP欺骗病毒,其他用户上网的数据就都会首先流经这台电脑再访问外网,那么局域网内所有机器的密码、账号被截获也就再正常不过了。
局域网中有机器中了ARP欺骗后,往往伴随而来的就是其他用户发现网速极其慢或者根本上不了网,时常掉线,大多数情况下更会出现大面积掉线的恶劣后果。
3.ARP欺骗的防范方法对于ARP欺骗的防范,常见的方法有以下几种:
(1)木要把计算机的网络安全信任关系单独建立在IP基础上或
MAC基础上,(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
(2)设置静态的MAC—lP对应表,不要让主机刷新预先设定好的转换表。
(3)除非很有必要,否则停止使用ARP协议,将ARP作为永久条目保存在对应表中。
(4)使用安全的ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保这台ARP服务器不被入侵。
(5)使用硬件屏蔽主机。
设置好网络的路由列表,确保1P地址能到达合法的路径。
(静态配置路由ARP条目)注意,使用交换集线器和网桥是无法阻止ARP欺骗的。
(6)管理员定期用响应的1P包中获得一个RARP请求,然后检查ARP响应的真实性,发现异常立即处理。
同时,管理员要定期轮询,经常检查主机上的ARP缓存。
(7)使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
四、DNS欺骗
1DNS欺骗的概念
DNS欺骗就是攻击者冒充域名服务器进行网络攻击的一种欺骗行为。
攻击实施后,攻击者会用一台主机冒充域名服务器,然后把查询的IP地址设为攻击者主机的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
2.DNS欺骗的工作原理
客户端向DNS服务器查询一个域名时,本地的DNS服务器会先查询自己的资料库。
如果自己的资料库没有信息,它则会向该指定的DNS服务器询问。
当DNS客户端向指定的DNS服务器进行查询时,DNS服务器会在自己资料库中找寻用户所指定的名称。
如果没有,该
服务器会先在自己的缓存区中查询有无该记录,如果找到该域名记录后,DNS服务器会直接将所对应到的1P地址传回给客户端。
如果DNS服务器在资料记录查不到,且缓存区中也没有时,服务器会要求最接近的备选DNS服务器帮忙找寻该域名的IP地址,在备选DNS服务器上也是相同的查询动作。
当查询到后,备选DNS服务器将会把查询
结果回复给主DNS服务器,主DNS股务器先将所查询到的主机名称及对应IP地址记录到快取缓存区中,最后再将所查询到的结果回应给客户端。
如果没有查询到,将会在IE浏览器中报告HrITP错误。
根据这个DNS的工作原理,攻击者就可以通过拦截并修改数据包来实行DNS欺骗了。
当客户端向DNS服务器查询某个域名时,正常情况下,DNS服务器经过查询后,会将查询结果返回给客户端。
但是,如果攻击者在此时冒充DNS服务器向客户端主动发送DNS回应数据包,且数据包中的地址指向一个错误地址。
这样,当用户访问该
域名时,就会转向到攻击者提供的错误地址上,也就是被攻击者欺骗了,用户根本连接不上这个域名真正的地址。
3.DNS欺骗的方法
网络攻击者通常通过以下几种方法进行DNS欺骗:
(1)缓存感染。
攻击者会熟练地使用DNS请求,将数据放人一个没有设防的DNS服务器的缓存当中。
这些缓存信息会在客户进行DNS访问时返回给
客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后攻击者从这些服务器上获取用户信息。
(2)DNS信息劫持。
攻击者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。
每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。
黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
(3)DNS重定向。
攻击者能够将DNS名称查询重定向到恶意DNS服务器。
这样攻击者可以获得DNS服务器的写权限。
4.DNS欺骗的防范
防范DNS欺骗攻击可采取如下措施:
(1)直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。
但这需要你记住要访问的IP地址。
(2)加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。
这也并不是容易的事情。
五、Web欺骗
1.Web欺骗的概念
Weh欺骗是一种电子信息欺骗,攻击者在网络中制作了一个令人信服但是完全错误的Web。
错误的Web看起来十分逼真,它拥有相同的网页和链接。
然而,攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获。
由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息;同样地,也控制着从Weh服务器至受攻击者的退回数据,这样攻击者就有许多发起攻击的可能性,包括监视和破坏。
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。
当受攻击者填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。
例如,绝大部分在线公司都是使用表单来完成业务交易的,这意味着攻击者可以获得用户的账户和密码。
即使受攻击者有一个“安全”链接(通常是通过SecureSocketsLaye来实现的,用户的浏览器会显示一把锁或钥匙来表示处于安全链接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据,来进行某些破坏活动。
攻击者修改受攻击者的确认数据,例如,受攻击者在线订购某个产品时,攻击者
可以修改产品代码、数量或者邮购地址等信息,使得这个产品被攻击者截获。
攻击者也能修改被Weh服务器所返回的数据,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等等。
2.Web欺骗的方式
常见的Web欺骗方式有三种:
(1)基本网
升级会员 