第5章：欺騙攻擊及防御技術(shù)要點(diǎn)課件

第5章欺騙攻擊及防御技術(shù)張光華信息科學(xué)與工程學(xué)院5第5章欺騙攻擊及防御技術(shù)張光華信息科學(xué)與工程學(xué)院52023/10/82本章內(nèi)容安排5.1概述5.2IP欺騙及防御技術(shù)5.3ARP欺騙及防御技術(shù)5.4電子郵件欺騙及防御技術(shù)5.5DNS欺騙及防御技術(shù)5.6Web欺騙及防御技術(shù)5.7小結(jié)2023/10/82本章內(nèi)容安排5.1概述2023/10/835.1概述在Internet上計(jì)算機(jī)之間相互進(jìn)行的交流建立在兩個前提之下：認(rèn)證（Authentication）信任（Trust）2023/10/835.1概述在Internet上計(jì)算機(jī)之2023/10/845.1概述認(rèn)證:

認(rèn)證是網(wǎng)絡(luò)上的計(jì)算機(jī)用于相互間進(jìn)行識別的一種鑒別過程，經(jīng)過認(rèn)證的過程，獲準(zhǔn)相互交流的計(jì)算機(jī)之間就會建立起相互信任的關(guān)系。2023/10/845.1概述認(rèn)證:2023/10/855.1概述信任:

信任和認(rèn)證具有逆反關(guān)系，即如果計(jì)算機(jī)之間存在高度的信任關(guān)系，則交流時(shí)就不會要求嚴(yán)格的認(rèn)證。而反之，如果計(jì)算機(jī)之間沒有很好的信任關(guān)系，則會進(jìn)行嚴(yán)格的認(rèn)證。2023/10/855.1概述信任:2023/10/865.1概述欺騙實(shí)質(zhì)上就是一種冒充身份通過認(rèn)證騙取信任的攻擊方式。攻擊者針對認(rèn)證機(jī)制的缺陷，將自己偽裝成可信任方，從而與受害者進(jìn)行交流，最終攫取信息或是展開進(jìn)一步攻擊。2023/10/865.1概述欺騙實(shí)質(zhì)上就是一種冒充身份通2023/10/875.1概述目前比較流行的欺騙攻擊主要有5種：IP欺騙：使用其他計(jì)算機(jī)的IP來騙取連接，獲得信息或者得到特權(quán)；ARP欺騙：利用ARP協(xié)議的缺陷，把自己偽裝成“中間人”，效果明顯，威力驚人；電子郵件欺騙：電子郵件發(fā)送方地址的欺騙；DNS欺騙：域名與IP地址轉(zhuǎn)換過程中實(shí)現(xiàn)的欺騙；Web欺騙：創(chuàng)造某個萬維網(wǎng)網(wǎng)站的復(fù)制影像，從而達(dá)到欺騙網(wǎng)站用戶目的的攻擊。2023/10/875.1概述目前比較流行的欺騙攻擊主要有2023/10/885.2IP欺騙及防御技術(shù)5.2.1基本的IP欺騙5.2.2IP欺騙的高級應(yīng)用——TCP會話劫持5.2.3IP欺騙攻擊的防御2023/10/885.2IP欺騙及防御技術(shù)5.2.1基2023/10/895.2.1基本的IP欺騙最基本的IP欺騙技術(shù)有三種：簡單的IP地址變化源路由攻擊利用Unix系統(tǒng)的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡單，因此效果也十分有限。2023/10/895.2.1基本的IP欺騙最基本的IP欺2023/10/810簡單的IP地址變化攻擊者將一臺計(jì)算機(jī)的IP地址修改為其它主機(jī)的地址，以偽裝冒充其它機(jī)器。首先了解一個網(wǎng)絡(luò)的具體配置及IP分布，然后改變自己的地址，以假冒身份發(fā)起與被攻擊方的連接。這樣做就可以使所有發(fā)送的數(shù)據(jù)包都帶有假冒的源地址。2023/10/810簡單的IP地址變化攻擊者將一臺計(jì)算機(jī)的2023/10/811簡單的IP地址變化(2)

攻擊者使用假冒的IP地址向一臺機(jī)器發(fā)送數(shù)據(jù)包，但沒有收到任何返回的數(shù)據(jù)包，這被稱之為盲目飛行攻擊（flyingblindattack），或者叫做單向攻擊（one-wayattack）。因?yàn)橹荒芟蚴芎φ甙l(fā)送數(shù)據(jù)包，而不會收到任何應(yīng)答包。2023/10/811簡單的IP地址變化(2) 2023/10/812簡單的IP地址變化(3)利用這種方法進(jìn)行欺騙攻擊有一些限制，比如說無法建立完整的TCP連接；但是，對于UDP這種面向無連接的傳輸協(xié)議就不會存在建立連接的問題，因此所有單獨(dú)的UDP數(shù)據(jù)包都會被發(fā)送到受害者的系統(tǒng)中。2023/10/812簡單的IP地址變化(3)利用這種方法進(jìn)2023/10/813源路由攻擊簡單的IP地址變化很致命的缺陷是攻擊者無法接收到返回的信息流。為了得到從目的主機(jī)返回源地址主機(jī)的數(shù)據(jù)流，有兩個方法：一個方法是攻擊者插入到正常情況下數(shù)據(jù)流經(jīng)過的通路上；另一種方法就是保證數(shù)據(jù)包會經(jīng)過一條給定的路徑，而且作為一次欺騙，保證它經(jīng)過攻擊者的機(jī)器。2023/10/813源路由攻擊簡單的IP地址變化很致命的缺2023/10/814源路由機(jī)制(2)第一種方法其過程如圖所示:

但實(shí)際中實(shí)現(xiàn)起來非常困難，互聯(lián)網(wǎng)采用的是動態(tài)路由，即數(shù)據(jù)包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。2023/10/814源路由機(jī)制(2)第一種方法其過程如圖所2023/10/815源路由機(jī)制(3)第二種方法是使用源路由機(jī)制，保證數(shù)據(jù)包始終會經(jīng)過一條經(jīng)定的途徑，而攻擊者機(jī)器在該途徑中。源路由機(jī)制包含在TCP/IP協(xié)議組中。它允許用戶在IP數(shù)據(jù)包包頭的源路由選項(xiàng)字段設(shè)定接收方返回的數(shù)據(jù)包要經(jīng)過的路徑。某些路由器對源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來傳送應(yīng)答數(shù)據(jù)。這就使一個入侵者可以假冒一個主機(jī)的名義通過一個特殊的路徑來獲得某些被保護(hù)數(shù)據(jù)。2023/10/815源路由機(jī)制(3)第二種方法是使用源路由2023/10/816源路由機(jī)制(4)它包括兩種類型的源路由：寬松的源站選擇（LSR）：發(fā)送端指明數(shù)據(jù)流必須經(jīng)過的IP地址清單，但是也可以經(jīng)過除這些地址以外的一些地址。嚴(yán)格的源路由選擇（SRS）：發(fā)送端指明IP數(shù)據(jù)包必須經(jīng)過的確切地址。如果沒有經(jīng)過這一確切路徑，數(shù)據(jù)包會被丟棄，并返回一個ICMP報(bào)文。2023/10/816源路由機(jī)制(4)它包括兩種類型的源路由2023/10/817源路由機(jī)制的應(yīng)用源站選路給攻擊者帶來了很大的便利。攻擊者可以使用假冒地址A向受害者B發(fā)送數(shù)據(jù)包，并指定了寬松的源站選路或者嚴(yán)格路由選擇(如果確定能經(jīng)過所填入的每個路由的話)，并把自己的IP地址X填入地址清單中。當(dāng)B在應(yīng)答的時(shí)候，也應(yīng)用同樣的源路由，因此，數(shù)據(jù)包返回被假冒主機(jī)A的過程中必然會經(jīng)過攻擊者X。這樣攻擊者不再是盲目飛行了，因?yàn)樗塬@得完整的會話信息。2023/10/817源路由機(jī)制的應(yīng)用源站選路給攻擊者帶來了2023/10/818利用信任關(guān)系在Unix世界中，不同主機(jī)的賬戶間可以建立一種特殊的信任關(guān)系，以方便機(jī)器之間的訪問。這常常用于對大量機(jī)器的系統(tǒng)管理。單位里經(jīng)常指定一個管理員管理幾十個區(qū)域或者甚至上百臺機(jī)器。管理員一般都會使用信任關(guān)系和UNIX的r*命令從一個系統(tǒng)方便的切換到另一個系統(tǒng)。r*命令允許一個人登錄遠(yuǎn)程機(jī)器而不必提供口令。這里的信任關(guān)系是基于IP地址進(jìn)行認(rèn)證的，而不是詢問用戶名和口令。也就是說將會認(rèn)可來自可信IP地址的任何人。2023/10/818利用信任關(guān)系在Unix世界中，不同主2023/10/819利用信任關(guān)系(2)從便利的角度看，信任的關(guān)系是非常有效的，但是從安全的角度來看，是不可取的。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺的機(jī)器，他就能登錄信任該IP的任何機(jī)器上。下面是經(jīng)常使用的一些r*命令：（1）rlogin：remotelogin，遠(yuǎn)程登錄；（2）rsh：remoteshell，遠(yuǎn)程shell；（3）rcp：remotecopy,遠(yuǎn)程拷貝。2023/10/819利用信任關(guān)系(2)從便利的角度看，信任2023/10/820利用信任關(guān)系(3)例子：主機(jī)A、B上各有一個賬戶，在使用當(dāng)中，在A上使用時(shí)需要輸入A上的相應(yīng)賬戶，在B上使用時(shí)必須輸入在B上的賬戶，主機(jī)A和B把用戶當(dāng)作兩個互不相關(guān)的用戶。為了減少切換時(shí)的反復(fù)確認(rèn)，可以在主機(jī)A和主機(jī)B中建立起兩個賬戶的全雙工信任關(guān)系。這可通過在A、B的登陸目錄上各建立一個hosts文件達(dá)到。在主機(jī)A的登陸目錄下建立一個.rhosts文件：‘echo“BusernameB”>~/.rhosts’這就建立起了A對B的信任關(guān)系。從主機(jī)B中就可以直接使用任何r*命令直接登陸到主機(jī)A中，而不用向遠(yuǎn)程主機(jī)提供密碼認(rèn)證。B對A的信任關(guān)系與之類似。這些r*命令允許基于地址的認(rèn)證方式，它們會根據(jù)服務(wù)請求者的IP地址決定同意還是拒絕訪問。2023/10/820利用信任關(guān)系(3)例子：2023/10/821利用信任關(guān)系(4)這種方法一度被認(rèn)為是IP欺騙最主要的方法。但是，這種欺騙方法只能在Unix環(huán)境下使用，而且也比較陳舊了。2023/10/821利用信任關(guān)系(4)這種方法一度被認(rèn)為是2023/10/8225.2.2IP欺騙高級應(yīng)用—TCP會話劫持基本原理相關(guān)基礎(chǔ)TCP會話劫持過程TCP會話劫持的危害實(shí)現(xiàn)TCP會話劫持的兩個小工具2023/10/8225.2.2IP欺騙高級應(yīng)用—TCP會2023/10/823基本原理會話劫持就是接管一個現(xiàn)存動態(tài)會話的過程，換句話說，攻擊者通過會話劫持可以替代原來的合法用戶，同時(shí)能夠監(jiān)視并掌握會話內(nèi)容。此時(shí)，攻擊者可以對受害者的回復(fù)進(jìn)行記錄，并在接下來的時(shí)間里對其進(jìn)行響應(yīng)，展開進(jìn)一步的欺騙和攻擊。會話劫持結(jié)合了嗅探及欺騙技術(shù)。2023/10/823基本原理會話劫持就是接管一個現(xiàn)存動態(tài)會2023/10/824基本原理(2)在一般的欺騙攻擊中攻擊者并不是積極主動地使一個用戶下線來實(shí)現(xiàn)他針對受害目標(biāo)的攻擊，而是僅僅裝作是合法用戶。此時(shí)，被冒充的用戶可能并不在線上，而且它在整個攻擊中不扮演任何角色，因此攻擊者不會對它發(fā)動進(jìn)攻。但是在會話劫持中，為了接管整個會話過程，攻擊者需要積極攻擊使被冒充用戶下線。2023/10/824基本原理(2)在一般的欺騙攻擊中攻擊者2023/10/825基本原理(3)一般的欺騙會話劫持2023/10/825基本原理(3)一般的欺騙會話劫持2023/10/826相關(guān)基礎(chǔ)TCP三步握手連接建立序列號機(jī)制2023/10/826相關(guān)基礎(chǔ)TCP三步握手連接建立2023/10/827TCP三步握手連接建立2023/10/827TCP三步握手連接建立2023/10/828序列號機(jī)制序列號是一個32位計(jì)數(shù)器，這就意味著可以有大于4億種的可能性組合。簡單地說，序列號用來說明接收方下一步將要接收的數(shù)據(jù)包的順序。也就是說，序列號設(shè)置了數(shù)據(jù)包放入數(shù)據(jù)流的順序，接收方就可以利用序列號告訴發(fā)送方哪些數(shù)據(jù)包已經(jīng)收到，哪些數(shù)據(jù)包還未收到，于是發(fā)送方就能夠依此重發(fā)丟失的數(shù)據(jù)包。2023/10/828序列號機(jī)制序列號是一個32位計(jì)數(shù)器，這2023/10/829序列號機(jī)制(2)例如，如果發(fā)送方發(fā)送了4個數(shù)據(jù)包，它們的序列號分別是1258、1256、1257和1255，接收方不但可以根據(jù)發(fā)送方發(fā)包的序列號將數(shù)據(jù)包進(jìn)行歸序，同時(shí)接收方還可以用發(fā)送方的序列號確認(rèn)接收的數(shù)據(jù)包。在這種情況下，接收方送回的確認(rèn)信息是1259，這就等于是說，“下一個我期望從發(fā)送方收到的是序列號為1259的數(shù)據(jù)包”。2023/10/829序列號機(jī)制(2)例如，如果發(fā)送方發(fā)送了2023/10/830序列號機(jī)制(3)實(shí)際上為了完成上述目的，這里存在：一個屬于發(fā)送方的序列號和另一個是屬于接收方的應(yīng)答號。發(fā)送方發(fā)送數(shù)據(jù)包使用發(fā)送方的序列號，同時(shí)當(dāng)接收方確認(rèn)從發(fā)送方接收數(shù)據(jù)包時(shí)，它也用發(fā)送方的序列號來進(jìn)行確認(rèn)。在另一方面，接收方用屬于自己的序列號送回?cái)?shù)據(jù)。2023/10/830序列號機(jī)制(3)實(shí)際上為了完成上述目的2023/10/831序列號機(jī)制(4)數(shù)據(jù)傳輸過程中序列號和應(yīng)答號之間的關(guān)系：第二個數(shù)據(jù)包（B－>A）的SEQ=第一個數(shù)據(jù)包（A－>B）的ACK；第二個數(shù)據(jù)包（B－>A）的ACK=第一個數(shù)據(jù)包（A－>B）的SEQ+第一個數(shù)據(jù)包（A－>B）的傳輸數(shù)據(jù)長度。2023/10/831序列號機(jī)制(4)數(shù)據(jù)傳輸過程中序列號和2023/10/832序列號機(jī)制(5)再進(jìn)一步推廣，對于整個序列號計(jì)數(shù)體制，我們可以得到下面這個結(jié)論：序列號是隨著傳輸數(shù)據(jù)字節(jié)數(shù)遞增的。如果傳輸數(shù)據(jù)字節(jié)數(shù)為10，序列號就增加10；若傳輸?shù)臄?shù)據(jù)為20字節(jié)，序列號就應(yīng)該相應(yīng)增加20。2023/10/832序列號機(jī)制(5)再進(jìn)一步推廣，對于整個2023/10/833序列號機(jī)制(6)從上面的講解中，我們可以清楚地認(rèn)識到：序列號和應(yīng)答號之間存在著明確的對應(yīng)關(guān)系。因此序列號和應(yīng)答號是完全有可能預(yù)測的，只需要獲取最近的會話數(shù)據(jù)包，就可以猜測下一次通話中的SEQ和ACK。這一局面是TCP協(xié)議固有缺陷造成的，由此帶來的安全威脅也是無法回避的。2023/10/833序列號機(jī)制(6)從上面的講解中，我們可2023/10/834TCP會話劫持過程step1：發(fā)現(xiàn)攻擊目標(biāo)step2：確認(rèn)動態(tài)會話step3：猜測序列號step4：使客戶主機(jī)下線step5：接管會話2023/10/834TCP會話劫持過程step1：發(fā)現(xiàn)攻擊2023/10/835step1：發(fā)現(xiàn)攻擊目標(biāo)對于尋找合適的目標(biāo)有兩個關(guān)鍵的問題。首先，通常攻擊者希望這個目標(biāo)是一個準(zhǔn)予TCP會話連接（例如Telnet和FTP等）的服務(wù)器。其次，能否檢測數(shù)據(jù)流也是一個比較重要的問題，因?yàn)樵诠舻臅r(shí)候需要猜測序列號。這就需要嗅探之前通信的數(shù)據(jù)包，對于交換網(wǎng)絡(luò)環(huán)境，可能還需要使用ARP欺騙。2023/10/835step1：發(fā)現(xiàn)攻擊目標(biāo)對于尋找合適的2023/10/836step2：確認(rèn)動態(tài)會話攻擊者如何尋找動態(tài)會話？與大多數(shù)攻擊不同，會話劫持攻擊適合在網(wǎng)絡(luò)流通量達(dá)到高峰時(shí)才會發(fā)生的。首先，他有很多供選擇的會話；其次，網(wǎng)絡(luò)流通量越大則被發(fā)現(xiàn)的可能就越小。如果只有一個用戶進(jìn)行連接并數(shù)次掉線，那么就很有可能引起那個用戶的懷疑。但是，如果網(wǎng)絡(luò)流通量很大并且有很多的用戶進(jìn)行連接，那么用戶們很有可能忽略掉線后面隱藏的問題，也許只是認(rèn)為這是由于網(wǎng)絡(luò)流通過大而引起的。2023/10/836step2：確認(rèn)動態(tài)會話攻擊者如何尋找2023/10/837step3：猜測序列號TCP區(qū)分正確數(shù)據(jù)包和錯誤數(shù)據(jù)包僅通過它們的SEQ/ACK序列號。序列號卻是隨著時(shí)間的變化而改變的。因此，攻擊者必須成功猜測出序列號。通過嗅探或者ARP欺騙，先發(fā)現(xiàn)目標(biāo)機(jī)正在使用的序列號，再根據(jù)序列號機(jī)制，可以猜測出下一對SEQ/ACK序列號。同時(shí)，攻擊者若以某種方法擾亂客戶主機(jī)的SEQ/ACK，服務(wù)器將不再相信客戶主機(jī)正確的數(shù)據(jù)包，從而可以偽裝為客戶主機(jī)，使用正確的SEQ/ACK序列號，現(xiàn)在攻擊主機(jī)就可以與服務(wù)器進(jìn)行連接，這樣就搶劫一個會話連接。2023/10/837step3：猜測序列號TCP區(qū)分正確數(shù)2023/10/838step4：使客戶主機(jī)下線當(dāng)攻擊者獲得了序列號后，為了徹底接管這個會話，他就必須使客戶主機(jī)下線。使客戶主機(jī)下線最簡單的方式就是對其進(jìn)行拒絕服務(wù)攻擊，從而使其不再繼續(xù)響應(yīng)。服務(wù)器會繼續(xù)發(fā)送響應(yīng)給客戶主機(jī)，但是因?yàn)楣粽咭呀?jīng)掌握了客戶主機(jī)，所以該機(jī)器就不再繼續(xù)響應(yīng)。2023/10/838step4：使客戶主機(jī)下線當(dāng)攻擊者獲得2023/10/839step5：接管會話既然攻擊者已經(jīng)獲得了他所需要的一切信息，那么他就可以持續(xù)向服務(wù)器發(fā)送數(shù)據(jù)包并且接管整個會話了。在會話劫持攻擊中，攻擊者通常會發(fā)送數(shù)據(jù)包在受害服務(wù)器上建立一個賬戶，甚至留下某些后門。通過這種方式，攻擊者就可以在任何時(shí)候輕松進(jìn)入系統(tǒng)了。2023/10/839step5：接管會話既然攻擊者已經(jīng)獲得2023/10/840TCP會話劫持的危害就其實(shí)現(xiàn)原理而言，任何使用Internet進(jìn)行通信的主機(jī)都有可能受到這種攻擊。會話劫持在理論上是非常復(fù)雜的，但是現(xiàn)在產(chǎn)生了簡單適用的會話劫持攻擊軟件，技術(shù)門檻的降低導(dǎo)致了很多“少年攻擊者”的誕生。2023/10/840TCP會話劫持的危害就其實(shí)現(xiàn)原理而言，2023/10/841TCP會話劫持的危害(2)會話劫持攻擊的危害性很大是有原因的。一個最主要的原因就是它并不依賴于操作系統(tǒng)。另一個原因就是它可以被用來進(jìn)行積極的攻擊，通過攻擊行為可以獲得進(jìn)入系統(tǒng)的可能。

2023/10/841TCP會話劫持的危害(2)會話劫持攻擊2023/10/842實(shí)現(xiàn)TCP會話劫持的兩個小工具JuggernautJuggernaut是由MikeSchiffman開發(fā)的自由軟件，這個軟件是開創(chuàng)性的，是最先出現(xiàn)的會話攻擊程序之一。它運(yùn)行在Linux操作系統(tǒng)的終端機(jī)上，攻擊者能夠窺探網(wǎng)絡(luò)中所有的會話，并且劫持其中任何一個，攻擊者可以像真正用戶那樣向服務(wù)器提交命令。2023/10/842實(shí)現(xiàn)TCP會話劫持的兩個小工具Jugg2023/10/843實(shí)現(xiàn)TCP會話劫持的兩個小工具(2)Hunt由PavelKrauz制作的Hunt，是一個集嗅探、截取和會話劫持功能于一身的強(qiáng)大工具。它可以在無論共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)中工作，不僅能夠在混雜模式和ARP欺騙模式下進(jìn)行嗅探，還具有中斷和劫持動態(tài)會話的能力。2023/10/843實(shí)現(xiàn)TCP會話劫持的兩個小工具(2)H2023/10/8445.2.3IP欺騙攻擊的防御防范地址變化欺騙防范源路由欺騙防范信任關(guān)系欺騙防范會話劫持攻擊2023/10/8445.2.3IP欺騙攻擊的防御防范地址2023/10/845防范地址變化欺騙

有辦法防止攻擊者使用你的地址發(fā)送消息嗎？可以說，你沒有辦法阻止有人向另一方發(fā)送消息時(shí)不用自己的而使用你的地址。 但是，采取一些措施可以有效保護(hù)自己免受這種攻擊的欺騙。2023/10/845防范地址變化欺騙 有辦法防止攻擊者使2023/10/846防范地址變化欺騙(2)方法1：限制用戶修改網(wǎng)絡(luò)配置方法2：入口過濾方法3：出口過濾2023/10/846防范地址變化欺騙(2)方法1：限制用戶2023/10/847方法1：限制用戶修改網(wǎng)絡(luò)配置

為了阻止攻擊者使用一臺機(jī)器發(fā)起欺騙攻擊，首先需限制那些有權(quán)訪問機(jī)器配置信息的人員。這么做就能防止員工執(zhí)行欺騙。2023/10/847方法1：限制用戶修改網(wǎng)絡(luò)配置 為了阻2023/10/848方法2：入口過濾

大多數(shù)路由器有內(nèi)置的欺騙過濾器。過濾器的最基本形式是，不允許任何從外面進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包使用單位的內(nèi)部網(wǎng)絡(luò)地址作為源地址。 因此，如果一個來自外網(wǎng)的數(shù)據(jù)包，聲稱來源于本單位的網(wǎng)絡(luò)內(nèi)部，就可以非?？隙ㄋ羌倜暗臄?shù)據(jù)包，應(yīng)該丟棄它。 這種類型的過濾可以保護(hù)單位的網(wǎng)絡(luò)不成為欺騙攻擊的受害者。2023/10/848方法2：入口過濾 大多數(shù)路由器有內(nèi)2023/10/849方法3：出口過濾

為了執(zhí)行出口過濾，路由器必須檢查數(shù)據(jù)包，確信源地址是來自本單位局域網(wǎng)的一個地址。 如果不是那樣，這個數(shù)據(jù)包應(yīng)該被丟棄，因?yàn)檫@說明有人正使用假冒地址向另一個網(wǎng)絡(luò)發(fā)起攻擊。離開本單位的任何合法數(shù)據(jù)包須有一個源地址，并且它的網(wǎng)絡(luò)部分與本單位的內(nèi)部網(wǎng)絡(luò)相匹配。2023/10/849方法3：出口過濾 為了執(zhí)行出口過濾，2023/10/850防范源路由欺騙保護(hù)自己或者單位免受源路由欺騙攻擊的最好方法是設(shè)置路由器禁止使用源路由。事實(shí)上人們很少使用源路由做合法的事情。因?yàn)檫@個原因，所以阻塞這種類型的流量進(jìn)入或者離開網(wǎng)絡(luò)通常不會影響正常的業(yè)務(wù)。2023/10/850防范源路由欺騙保護(hù)自己或者單位免受源路2023/10/851防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺騙攻擊最容易的方法就是不使用信任關(guān)系。但是這并不是最佳的解決方案，因?yàn)楸憷膽?yīng)用依賴于信任關(guān)系。但是能通過做一些事情使暴露達(dá)到最?。合拗茡碛行湃侮P(guān)系的人員。不允許通過外部網(wǎng)絡(luò)使用信任關(guān)系。2023/10/851防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺2023/10/852防范會話劫持攻擊會話劫持攻擊是非常危險(xiǎn)的，因?yàn)楣粽吣軌蛑苯咏庸芎戏ㄓ脩舻臅挕Ｔ谄渌墓糁锌梢蕴幚砟切┪ｋU(xiǎn)并且將它消除。但是在會話劫持中，消除這個會話也就意味著禁止了一個合法的連接，從本質(zhì)上來說這么做就背離了使用Internet進(jìn)行連接的目的。2023/10/852防范會話劫持攻擊會話劫持攻擊是非常危2023/10/853防范會話劫持攻擊(2)沒有有效的辦法可以從根本上防范會話劫持攻擊，以下列舉了一些方法可以盡量縮小會話攻擊所帶來危害：進(jìn)行加密使用安全協(xié)議限制保護(hù)措施2023/10/853防范會話劫持攻擊(2)沒有有效的辦法可2023/10/854進(jìn)行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那么進(jìn)行會話劫持攻擊也是十分困難的。因此，任何用來傳輸敏感數(shù)據(jù)的關(guān)鍵連接都必須進(jìn)行加密。2023/10/854進(jìn)行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那2023/10/855使用安全協(xié)議無論何時(shí)當(dāng)用戶連入到一個遠(yuǎn)端的機(jī)器上，特別是當(dāng)從事敏感工作或是管理員操作時(shí)，都應(yīng)當(dāng)使用安全協(xié)議。一般來說，有像SSH（SecureShell）這樣的協(xié)議或是安全的Telnet都可以使系統(tǒng)免受會話劫持攻擊。此外，從客戶端到服務(wù)器的VPN（VirtualPrivateNetwork）也是很好的選擇。2023/10/855使用安全協(xié)議無論何時(shí)當(dāng)用戶連入到一個遠(yuǎn)2023/10/856限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，那么用戶將會越安全，這是個最小化會話劫持攻擊的方法。攻擊者越難進(jìn)入系統(tǒng)，那么系統(tǒng)就越不容易受到會話劫持攻擊。在理想情況下，應(yīng)該阻止盡可能多的外部連接和連向防火墻的連接。2023/10/856限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝?023/10/8575.3ARP欺騙攻擊與防御技術(shù)5.3.1ARP背景知識介紹5.3.2ARP欺騙攻擊原理5.3.3ARP欺騙攻擊實(shí)例5.3.4ARP欺騙攻擊的檢測與防御2023/10/8575.3ARP欺騙攻擊與防御技術(shù)5.35.3.1ARP背景知識介紹ARP基礎(chǔ)知識ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/10/8585.3.1ARP背景知識介紹ARP基礎(chǔ)知識2023/10/2023/10/859ARP基礎(chǔ)知識ARP(AddressResolutionProtocol)：地址解析協(xié)議，用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）[RFC826]。屬于鏈路層的協(xié)議。在以太網(wǎng)中，數(shù)據(jù)幀從一個主機(jī)到達(dá)局域網(wǎng)內(nèi)的另一臺主機(jī)是根據(jù)48位的以太網(wǎng)地址（硬件地址）來確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。2023/10/859ARP基礎(chǔ)知識ARP(Address2023/10/860ARP基礎(chǔ)知識ARP協(xié)議有兩種數(shù)據(jù)包ARP請求包：ARP工作時(shí)，送出一個含有目的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，這也就是ARP請求包。它表示：我想與目的IP通信，請告訴我此IP的MAC地址。ARP請求包格式如下：

arpwho-hastellARP應(yīng)答包：當(dāng)目標(biāo)主機(jī)收到ARP請求包，發(fā)現(xiàn)請求解析的IP地址與本機(jī)IP地址相同，就會返回一個ARP應(yīng)答包。它表示：我的主機(jī)就是此IP，我的MAC地址是某某某。ARP應(yīng)答包的格式如下：

arpreplyis-at00:00:0c:07:ac:002023/10/860ARP基礎(chǔ)知識ARP協(xié)議有兩種數(shù)據(jù)包2023/10/861ARP基礎(chǔ)知識ARP緩存表ARP緩存表用于存儲其它主機(jī)或網(wǎng)關(guān)的IP地址與MAC地址的對應(yīng)關(guān)系。每臺主機(jī)、網(wǎng)關(guān)都有一個ARP緩存表。ARP緩存表里存儲的每條記錄實(shí)際上就是一個IP地址與MAC地址對，它可以是靜態(tài)的，也可以是動態(tài)的。如果是靜態(tài)的，那么該條記錄不能被ARP應(yīng)答包修改；如果是動態(tài)的，那么該條記錄可以被ARP應(yīng)答包修改。2023/10/861ARP基礎(chǔ)知識ARP緩存表ARP基礎(chǔ)知識在Windows下查看ARP緩存表的方法使用命令：arp-a2023/10/862ARP基礎(chǔ)知識在Windows下查看ARP緩存表的方法202ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/10/863ARP工作原理局域網(wǎng)內(nèi)通信2023/10/8632023/10/864局域網(wǎng)內(nèi)通信假設(shè)一個局域網(wǎng)內(nèi)主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，它們的IP地址、MAC地址如下。主機(jī)名IP地址MAC地址主機(jī)A02-02-02-02-02-02主機(jī)B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-012023/10/864局域網(wǎng)內(nèi)通信假設(shè)一個局域網(wǎng)內(nèi)主機(jī)A、主2023/10/865局域網(wǎng)內(nèi)通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/10/865局域網(wǎng)內(nèi)通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/10/866局域網(wǎng)內(nèi)通信—通信過程假如主機(jī)主機(jī)A()要與主機(jī)主機(jī)B()通訊，它首先會檢查自己的ARP緩存中是否有這個地址對應(yīng)的MAC地址。如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，大致的意思是的MAC地址是什么請告訴。而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機(jī)，但是只有這臺主機(jī)才會響應(yīng)這個請求包，它會回應(yīng)一個arp包，告知的MAC地址是03-03-03-03-03-03。這樣主機(jī)A就得到了主機(jī)B的MAC地址，并且它會把這個對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩者緩存表里的記錄來通訊，直到通訊停止后兩分鐘，這個對應(yīng)關(guān)系才會被從表中刪除。2023/10/866局域網(wǎng)內(nèi)通信—通信過程假如主機(jī)主機(jī)A(2023/10/867局域網(wǎng)間通信假設(shè)兩個局域網(wǎng)，其中一個局域網(wǎng)內(nèi)有主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，另一個局域網(wǎng)內(nèi)有主機(jī)D和網(wǎng)關(guān)C。它們的IP地址、MAC地址如下。主機(jī)名IP地址MAC地址主機(jī)A02-02-02-02-02-02主機(jī)B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-01主機(jī)D04-04-04-04-04-04網(wǎng)關(guān)E05-05-05-05-05-052023/10/867局域網(wǎng)間通信假設(shè)兩個局域網(wǎng)，其中一個局局域網(wǎng)間通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/10/868局域網(wǎng)間通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/10/8682023/10/869局域網(wǎng)間通信—通信過程假如主機(jī)A()需要和主機(jī)D()進(jìn)行通訊，它首先會發(fā)現(xiàn)這個主機(jī)D的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)。這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E。網(wǎng)關(guān)E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)D（）的，它就會檢查自己的ARP緩存（網(wǎng)關(guān)也有自己的ARP緩存），看看里面是否有對應(yīng)的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機(jī)D通訊。2023/10/869局域網(wǎng)間通信—通信過程假如主機(jī)A(195.3.2ARP欺騙攻擊原理ARP欺騙攻擊原理ARP欺騙攻擊的危害2023/10/8705.3.2ARP欺騙攻擊原理ARP欺騙攻擊原理2023/12023/10/871ARP欺騙原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的的攻擊者使用。2023/10/871ARP欺騙原理ARP欺騙攻擊是利用AR2023/10/872ARP欺騙原理(2)主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個不完善的地方，當(dāng)主機(jī)收到一個ARP應(yīng)答包后，它并不會去驗(yàn)證自己是否發(fā)送過這個ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。ARP欺騙正是利用了這一點(diǎn)。2023/10/872ARP欺騙原理(2)主機(jī)在實(shí)現(xiàn)ARP緩ARP欺騙原理—原理圖2023/10/873ARP欺騙原理—原理圖2023/10/8732023/10/874ARP欺騙原理—欺騙過程主機(jī)B()向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-03-03，主機(jī)B同時(shí)向主機(jī)A發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-03-03。這樣，A發(fā)給C的數(shù)據(jù)就會被發(fā)送到B，同時(shí)獲得C發(fā)給A的數(shù)據(jù)也會被發(fā)送到B。這樣，B就成了A與C之間的“中間人”。2023/10/874ARP欺騙原理—欺騙過程主機(jī)B(1922023/10/875ARP欺騙攻擊的危害ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁斷網(wǎng)或者網(wǎng)速慢）。使用ARP欺騙可以嗅探到交換式局域網(wǎng)內(nèi)所有數(shù)據(jù)包，從而得到敏感信息。ARP欺騙攻擊可以對信息進(jìn)行篡改，例如，可以在你訪問的所有網(wǎng)頁中加入廣告。利用ARP欺騙攻擊可以控制局域網(wǎng)內(nèi)任何主機(jī)，起到“網(wǎng)管”的作用，例如，讓某臺主機(jī)不能上網(wǎng)。2023/10/875ARP欺騙攻擊的危害ARP欺騙攻擊在局2023/10/8765.3.3ARP欺騙攻擊實(shí)例使用工具：ArpcheatandsnifferV2.1國內(nèi)開源軟件，它是一款arpsniffer工具，可以通過arp欺騙嗅探目標(biāo)主機(jī)TCP、UDP和ICMP協(xié)議數(shù)據(jù)包。攻擊環(huán)境：在一個交換式局域網(wǎng)內(nèi)受害者IP為3，MAC為00-0D-60-36-BD-05；網(wǎng)關(guān)IP為54，MAC為00-09-44-44-77-8A；攻擊者IP為8，MAC為00-07-E9-7D-73-E5。攻擊目的：攻擊者想得知受害者經(jīng)常登陸的FTP用戶名和密碼。2023/10/8765.3.3ARP欺騙攻擊實(shí)例使用工具2023/10/877ARP攻擊實(shí)例--工具參數(shù)介紹-si 源ip-di 目的ip*代表所有,多項(xiàng)用,號分割-sp 源端口-dp 目的端口*代表所有-w 嗅探方式，1代表單向嗅探[si->di]，0代表雙向嗅探 [si<->di]-p 嗅探協(xié)議[TCP,UDP,ICMP]大寫-m 最大記錄文件，以M為單位-o 文件輸出-hex 十六進(jìn)制輸出到文件-unecho 不回顯-unfilter 不過慮0字節(jié)數(shù)據(jù)包-low 粗略嗅探，丟包率高，cpu利用率低基本0-timeout 嗅探超時(shí),除非網(wǎng)絡(luò)狀況比較差否則請不要調(diào)高,默認(rèn)為 120秒2023/10/877ARP攻擊實(shí)例--工具參數(shù)介紹-si 2023/10/878ARP攻擊實(shí)例--工具參數(shù)介紹（2）-sniffsmtp 嗅探smtp-sniffpop 嗅探pop-sniffpost 嗅探post-sniffftp 嗅探ftp-snifftelnet 嗅探telnet，以上5個嗅探不受參數(shù)si,sp,di,dp,w,p影響.-sniffpacket 規(guī)則嗅探數(shù)據(jù)包,受參數(shù)si,sp,di,dp,w,p影響-sniffall 開啟所有嗅探-onlycheat 只欺騙-cheatsniff 欺騙并且嗅探-reset 欺騙后恢復(fù)-g [網(wǎng)關(guān)ip]-c [欺騙者ip][mac]-t [受騙者ip]-time [欺騙次數(shù)]2023/10/878ARP攻擊實(shí)例--工具參數(shù)介紹（2）-2023/10/879ARP攻擊實(shí)例--工具參數(shù)介紹（3）使用舉例：arpsf-pTCP-dp25,110-of:\1.txt-m1–sniffpacket說明：嗅探指定規(guī)則數(shù)據(jù)包并保存到文件arpsf-sniffall-cheatsniff-t-g54說明：欺騙并且嗅探與外界的通訊，輸出到屏幕arpsf-onlycheat-t-c002211445544-time100–reset說明：對目標(biāo)欺騙一百次，欺騙后恢復(fù)arpsf-cheatsniff-t4-g54-sniffpacket-pTCP-dp80,25,23,110-od:\siff.txt-w0-m1說明：嗅探4與外網(wǎng)的tcp連接情況并指定目的端口是80，23，25，110，嗅探方式是雙向嗅探，最大記錄文件是1M，輸出到d盤sniff.txt文件中。其中54是網(wǎng)關(guān)的地址。也可以改成同網(wǎng)段中其他的地址，那就是網(wǎng)內(nèi)嗅探了。2023/10/879ARP攻擊實(shí)例--工具參數(shù)介紹（3）使2023/10/880ARP攻擊實(shí)例--攻擊過程在WindowsXP下通過命令行啟動軟件，運(yùn)行命令：arpsf-cheatsniff-t3-g54-sniffpacket-pTCP-dp21-oc:\siff.txt-w0-m1。含義是：嗅探3與其它主機(jī)的tcp連接情況并指定目的端口是21，嗅探方式是雙向嗅探，最大記錄文件是1M，結(jié)果輸出到C盤sniff.txt。其中54是網(wǎng)關(guān)的地址。運(yùn)行效果見下頁圖。2023/10/880ARP攻擊實(shí)例--攻擊過程在Windo2023/10/881輸入命令輸出版本信息選擇獲取網(wǎng)卡的方法選擇用于欺騙的網(wǎng)卡2023/10/881輸入命令輸出版本信息選擇獲取網(wǎng)卡選擇用2023/10/882ARP攻擊實(shí)例--攻擊過程（2）當(dāng)Arpcheatsniff獲取了目標(biāo)機(jī)器、網(wǎng)關(guān)和本機(jī)的MAC之后，就開始欺騙目標(biāo)機(jī)器和網(wǎng)關(guān)。見下頁圖。2023/10/882ARP攻擊實(shí)例--攻擊過程（2）當(dāng)Ar2023/10/883欺騙主機(jī)3欺騙網(wǎng)關(guān)542023/10/883欺騙主機(jī)3欺騙網(wǎng)2023/10/884ARP攻擊實(shí)例--攻擊過程（3）當(dāng)受害者機(jī)器上的用戶登陸了FTP之后，Arpcheatsniff就可以把用戶的操作記錄下來。下頁是當(dāng)軟件運(yùn)行了一段時(shí)間之后捕獲到的有用信息，存儲在C:\sniff.txt中。2023/10/884ARP攻擊實(shí)例--攻擊過程（3）當(dāng)受害2023/10/885--------------------------------------------------------------TCP1421-->3225649Bytes2007-5-517:56:24--------------------------------------------------------------220-Serv-UFTPServerv6.0forWinSockready...--------------------------------------------------------------TCP1421-->3225679Bytes2007-5-517:56:24--------------------------------------------------------------220-歡迎使用lcgftpserver220-movie:movie220上載用戶名/密碼upload:upload--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------USERmovie--------------------------------------------------------------TCP1421-->3225636Bytes2007-5-517:56:24--------------------------------------------------------------331Usernameokay,needpassword.--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------PASSmovie--------------------------------------------------------------TCP1421-->3225630Bytes2007-5-517:56:24--------------------------------------------------------------230Userloggedin,proceed.--------------------------------------------------------------服務(wù)器返回的版本信息服務(wù)器返回的歡迎信息用戶輸入的USER命令服務(wù)器返回的確認(rèn)用戶輸入的PASS命令服務(wù)器返回的登陸成功信息2023/10/885-------------------2023/10/886ARP攻擊實(shí)例--攻擊過程（4）非常明顯，我們能夠得知，主機(jī)3上有用戶登陸了 ftp://14:21。用戶名和密碼都是movie。2023/10/886ARP攻擊實(shí)例--攻擊過程（4）非常明5.3.4ARP欺騙攻擊的檢測與防御如何檢測局域網(wǎng)中存在ARP欺騙攻擊如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)ARP欺騙攻擊的防范2023/10/8875.3.4ARP欺騙攻擊的檢測與防御如何檢測局域網(wǎng)中存在A2023/10/888如何檢測局域網(wǎng)中存在ARP欺騙攻擊 網(wǎng)絡(luò)頻繁掉線網(wǎng)速突然變慢使用ARP–a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址與真實(shí)的網(wǎng)關(guān)MAC地址不相同使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包2023/10/888如何檢測局域網(wǎng)中存在ARP欺騙攻擊 網(wǎng)2023/10/889如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī) 如果你知道正確的網(wǎng)關(guān)MAC地址，通過ARP–a命令看到的列出的網(wǎng)關(guān)MAC與正確的MAC地址不同，那就是攻擊主機(jī)的MAC。使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARPreply包，包中指定的MAC就是攻擊主機(jī)的MAC地址。使用ARP保護(hù)程序發(fā)現(xiàn)攻擊主機(jī)的MAC：43/tools/ArpFix.rar2023/10/889如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī) 如果2023/10/890ARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺計(jì)算機(jī)的IP地址與硬件地址一一對應(yīng)，不可更改。使用靜態(tài)ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進(jìn)行。使用ARP服務(wù)器，通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺ARP服務(wù)器不被黑。使用ARP欺騙防護(hù)軟件，如ARP防火墻。及時(shí)發(fā)現(xiàn)正在進(jìn)行ARP欺騙的主機(jī)并將其隔離。2023/10/890ARP欺騙攻擊的防范MAC地址綁定，使2023/10/891ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表假設(shè)我們事先已知網(wǎng)關(guān)54的MAC地址為：00-0f-7a-02-00-4b查看主機(jī)當(dāng)前的ARP表，命令為arp–a，可以查看到當(dāng)前的ARP表中的記錄，都是動態(tài)的把網(wǎng)關(guān)的arp記錄設(shè)置成靜態(tài)，命令為arp-s5400-0f-7a-02-00-4b再次用arp–a命令查看ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的ARP記錄已經(jīng)設(shè)置成靜態(tài)，操作過程見下頁2023/10/891ARP欺騙攻擊的防范示例：在Windo2023/10/892ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表2023/10/892ARP欺騙攻擊的防范示例：在Windo2023/10/893ARP欺騙攻擊的防范示例：ARP防火墻()2023/10/893ARP欺騙攻擊的防范示例：ARP防火墻2023/10/8945.4電子郵件欺騙及防御技術(shù)5.4.1電子郵件欺騙的原理5.4.2電子郵件欺騙的防御2023/10/8945.4電子郵件欺騙及防御技術(shù)5.4.2023/10/8955.4.1電子郵件欺騙的原理攻擊者使用電子郵件欺騙有三個目的：第一，隱藏自己的身份。第二，如果攻擊者想冒充別人，他能假冒那個人的電子郵件。第三，電子郵件欺騙能被看作是社會工程的一種表現(xiàn)形式。2023/10/8955.4.1電子郵件欺騙的原理攻擊者使5.4.1電子郵件欺騙的原理一個郵件系統(tǒng)的傳輸包含用戶代理（UserAgent）、傳輸代理（TransferAgent）及投遞代理（DeliveryAgent）三大部分。用戶代理是一個用戶端發(fā)信和收信的程序，負(fù)責(zé)將信件按照一定的標(biāo)準(zhǔn)包裝，然后送到郵件服務(wù)器，將信件發(fā)出或由郵件服務(wù)器收回。傳輸代理則負(fù)責(zé)信件的交換和傳輸，將信件傳送至適當(dāng)?shù)泥]件服務(wù)器。再由投遞代理將信件分發(fā)至最終用戶的郵箱。在正常的情況下，郵件會盡量將發(fā)送者的名字和地址包括進(jìn)郵件頭信息中，但是，有時(shí)候，發(fā)送者希望將郵件發(fā)送出去而不希望收件者知道是誰發(fā)的，這種發(fā)送郵件的方法稱為匿名郵件。實(shí)現(xiàn)匿名的一種最簡單的方法，是簡單地改變電子郵件軟件里的發(fā)送者的名字，但通過郵件頭的其它信息，仍能夠跟蹤發(fā)送者。另一種比較徹底的匿名方式是讓其他人發(fā)送這個郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了?，F(xiàn)在因特網(wǎng)上有大量的匿名轉(zhuǎn)發(fā)者（或稱為匿名服務(wù)器）。5.4.1電子郵件欺騙的原理一個郵件系統(tǒng)的傳輸包含用戶代理2023/10/8975.4.1電子郵件欺騙的原理執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址直接使用偽造的E-mail地址遠(yuǎn)程登錄到SMTP端口發(fā)送郵件2023/10/8975.4.1電子郵件欺騙的原理執(zhí)行電子2023/10/898利用相似的電子郵件地址這主要是利用人們的大意心理。攻擊者找到一個受害者熟悉的名字。有了這個名字后，攻擊者注冊一個看上去像受害者熟悉的名字的郵件地址。這樣收信人很可能會回復(fù)這個郵箱發(fā)來信，這樣攻擊者就有得到想要信息的可能性。2023/10/898利用相似的電子郵件地址這主要是利用人們2023/10/899直接使用偽造的Email地址SMTP協(xié)議（即簡單郵件傳輸協(xié)議）有著一個致命的缺陷：它所遵循過于信任的原則，沒有設(shè)計(jì)身份驗(yàn)證系統(tǒng)。SMTP建立在假定人們的身份和他們所聲稱一致的基礎(chǔ)之上，沒有對郵件發(fā)送者的身份進(jìn)行驗(yàn)證。這使得人們可以隨意構(gòu)造發(fā)件人地址來發(fā)送郵件。下頁我們通過修改郵件客戶端軟件的設(shè)置來示例這一點(diǎn)。2023/10/899直接使用偽造的Email地址SMTP協(xié)2023/10/8100直接使用偽造的Email地址

對于那些沒有設(shè)置SMTP身份驗(yàn)證功能的郵件服務(wù)器，例如右圖所示的Outlook郵件客戶軟件就不需要做相應(yīng)的設(shè)置，當(dāng)用戶使用郵件客戶軟件發(fā)出電子郵件時(shí)，發(fā)送郵件服務(wù)器不會對發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn)，因此攻擊者能夠隨意指定他想使用的所有地址，而這些地址當(dāng)然會作為郵件源出現(xiàn)在收件人的信中。2023/10/8100直接使用偽造的Email地址 對于2023/10/8101直接使用偽造的Email地址

此外，在右圖所示的例子中，攻擊者還能夠指定他想要的任何郵件返回地址。因此當(dāng)用戶回信時(shí)，答復(fù)回到攻擊者所掌握的郵箱test@test，而不是回到被盜用了地址的人那里。2023/10/8101直接使用偽造的Email地址 此外2023/10/8102遠(yuǎn)程登錄到SMTP端口SMTP協(xié)議一般使用25號端口，郵件服務(wù)器通過它在互聯(lián)網(wǎng)上發(fā)送郵件。執(zhí)行電子郵件欺騙的一個比較復(fù)雜的方法是遠(yuǎn)程登錄到郵件服務(wù)器的25號端口發(fā)送郵件。2023/10/8102遠(yuǎn)程登錄到SMTP端口SMTP協(xié)議一2023/10/8103遠(yuǎn)程登錄到25號端口(2)攻擊者首先找到郵件服務(wù)器的IP地址，或者通過運(yùn)行端口掃描程序來判斷哪些機(jī)器是25號端口開放的郵件服務(wù)器。在攻擊者有了一臺25號端口開放的機(jī)器和一臺正在運(yùn)行的郵件服務(wù)器后，輸入下面的命令：telnetIP地址

25在連接上以后，再輸入下面的內(nèi)容：

HELO MAILFROM:欺騙偽裝的mail地址

RCPTTO:收件的受害者mail地址

DATA

郵件的內(nèi)容2023/10/8103遠(yuǎn)程登錄到25號端口(2)攻擊者首先2023/10/8104示例：遠(yuǎn)程登錄25端口的Email欺騙實(shí)驗(yàn)環(huán)境局域網(wǎng)mail服務(wù)器為50Mail服務(wù)器不需要身份驗(yàn)證內(nèi)有兩個用戶分別為：liuy@lan.nipcchensl@lan.nipc實(shí)驗(yàn)方式偽裝成liuy@lan.nipc給chensl@lan.nipc發(fā)郵件2023/10/8104示例：遠(yuǎn)程登錄25端口的Email欺2023/10/8105Email欺騙過程—telnet到服務(wù)器通過telnet，連接到郵件服務(wù)器的25端口。在cmd.exe下使用的命令：

telnet5025結(jié)果如圖所示，說明已經(jīng)連接到了25端口2023/10/8105Email欺騙過程—telnet到服2023/10/8106Email欺騙過程—發(fā)送郵件內(nèi)容220nipcoaMagicWinmailServer2.4(Build0530)ESMTPreadyhelo250nipcoaMagicWinmailServer2.4(Build0530)mailfrom:liuy@lan.nipc250okrcptto:chensl@lan.nipc250okdata354goaheadsubject:testto:chensl@lan.nipcfrom:liuy@lan.nipcthisisatest.250okmessageacceptedfordeliveryquit221nipcoaMagicWinmailServer2.4(Build0530)紅色部分是根據(jù)SMTP協(xié)議自行輸入的內(nèi)容；黑色部分是服務(wù)器的返回信息。說明2023/10/8106Email欺騙過程—發(fā)送郵件內(nèi)容222023/10/8107Email欺騙過程—發(fā)送郵件內(nèi)容截屏2023/10/8107Email欺騙過程—發(fā)送郵件內(nèi)容截屏2023/10/8108Email欺騙過程—結(jié)果用戶chensl@lan.nipc將收到來自liuy@lan.nipc的郵件，如圖所示。但是liuy@lan.nipc并不知道自己發(fā)送了郵件。試想，如果郵件的內(nèi)容里有病毒或者其它惡意代碼，且chensl@lan.nipc信任liuy@lan.nipc，那么將會是一件多么危險(xiǎn)的事情啊。2023/10/8108Email欺騙過程—結(jié)果用戶chen2023/10/81095.4.2電子郵件欺騙的防御做為互聯(lián)網(wǎng)用戶，必須時(shí)刻樹立風(fēng)險(xiǎn)意識，不要隨意打開一個不可信任的郵件。此外，下面介紹幾種防范方法分別從這幾個方面入手：郵件接收者郵件發(fā)送者郵件服務(wù)器郵件加密2023/10/81095.4.2電子郵件欺騙的防御做為互2023/10/8110防范方法—郵件接收者做為郵件接收者來說，用戶需要合理配置郵件客戶端，使每次總能顯示出完整的電子郵件地址，而不是僅僅顯示別名，完整的電子郵件地址能提供一些跡象表明正在發(fā)生一些不平常的事情。用戶應(yīng)該注意檢驗(yàn)發(fā)件人字段，不要被相似的發(fā)信地址所蒙蔽。2023/10/8110防范方法—郵件接收者做為郵件接收者來2023/10/8111防范方法—郵件發(fā)送者做為郵件發(fā)送者來說，如果你使用foxmail或者outlook之類的郵件客戶端，你必須保護(hù)好這些郵件客戶端，防止他人對客戶端的設(shè)置進(jìn)行修改。2023/10/8111防范方法—郵件發(fā)送者做為郵件發(fā)送者來2023/10/8112防范方法—郵件服務(wù)器對于郵件服務(wù)器提供方來說，采用的SMTP身份驗(yàn)證機(jī)制。原來使用SMTP協(xié)議發(fā)送郵件的時(shí)候并不需要任何驗(yàn)證，身份欺騙極易實(shí)現(xiàn)。現(xiàn)在將POP協(xié)議收取郵件需要用戶名/密碼驗(yàn)證的思想移至到SMTP協(xié)議，發(fā)送郵件也需要類似的驗(yàn)證。絕大多數(shù)郵件服務(wù)提供商都是采用的這種做法，通常是使用與接收郵件相同的用戶名和密碼來發(fā)送郵件。采用這種方法之后，雖然SMTP協(xié)議安全性的問題仍然無法從根本上得到解決，但是電子郵件欺騙已經(jīng)變得不像過去那么容易了。2023/10/8112防范方法—郵件服務(wù)器對于郵件服務(wù)器提2023/10/8113防范方法—PGP加密還有一種可能的解決方法是使用公鑰加密，其中應(yīng)用最廣泛的就是PGP郵件加密。PGP(PrettyGoodPrivacy)是一個可以讓您的電子郵件擁有保密功能的程序。藉此你可以將你的郵件加密，一旦加密后，郵件看起來是一堆無意義的亂碼。PGP提供了極強(qiáng)的保護(hù)功能，即使是最先進(jìn)的解碼分析技術(shù)也無法解讀加密后的文字。PGP加密與解密不像其它傳統(tǒng)加密的方式，而是以公鑰密碼學(xué)為基礎(chǔ)的。2023/10/8113防范方法—PGP加密還有一種可能的解2023/10/8114防范方法—PGP加密（2）舉例來說，當(dāng)你要傳送一封保密信或檔案給某人時(shí)，必須先取得那人的公鑰（PublicKey），然后利用這個公鑰將信件加密。當(dāng)某人收到您加密的信件后，他必須利用相應(yīng)的私鑰(SecretKey)來解密。因此，除非其它人擁有收信者的私鑰，否則無法解開發(fā)信人所加密的信件。同時(shí)，收信人在使用私鑰解密時(shí)，還必須輸入通行碼，如此又對加密后的郵件多了一層保護(hù)。2023/10/8114防范方法—PGP加密（2）舉例來說，2023/10/81155.5DNS欺騙及防御技術(shù)5.5.1DNS工作原理5.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟5.5.3DNS欺騙的局限性及防御2023/10/81155.5DNS欺騙及防御技術(shù)5.5.2023/10/81165.5.1DNS工作原理DNS的全稱是DomainNameServer即域名服務(wù)器，當(dāng)一臺主機(jī)發(fā)送一個請求要求解析某個域名時(shí)，它會首先把解析請求發(fā)到自己的DNS服務(wù)器上。DNS的功能是提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。DNS服務(wù)器里有一個“DNS緩存表”，里面存儲了此DNS服務(wù)器所管轄域內(nèi)主機(jī)的域名和IP地址的對應(yīng)關(guān)系。2023/10/81165.5.1DNS工作原理DNS的全2023/10/81175.5.1DNS工作原理例如，客戶主機(jī)需要訪問時(shí)，首先要知道的IP地址。客戶主機(jī)獲得IP地址的唯一方法就是向所在網(wǎng)絡(luò)設(shè)置的DNS服務(wù)器進(jìn)行查詢。查詢過程分四步進(jìn)行，見下頁圖。2023/10/81175.5.1DNS工作原理例如，客戶2023/10/81185.5.1DNS工作原理

上圖中有三臺主機(jī)：客戶主機(jī)、域DNS服務(wù)器和域DNS服務(wù)器。其中域DNS服務(wù)器直接為客戶主機(jī)提供DNS服務(wù)。下面對這四個過程進(jìn)行解釋。

2023/10/81185.5.1DNS工作原理2023/10/8119DNS域名解析過程1）客戶主機(jī)軟件(例如Web瀏覽器)需要對進(jìn)行解析，它向本地DNS服務(wù)器(域)發(fā)送域名解析請求，要求回復(fù)的IP地址；2)

由于本地DNS服務(wù)器的數(shù)據(jù)庫中沒有的記錄，同時(shí)緩存中也沒有記錄，所以，它會依據(jù)DNS協(xié)議機(jī)器配置向網(wǎng)絡(luò)中的其他DNS服務(wù)器提交請求。這個查詢請求逐級遞交，直到域的真正權(quán)威DNS服務(wù)器收到請求(這里省略了尋找域DNS服務(wù)器的迭代過程，假定本地DNS服務(wù)器最終找到了所需要的信息)；2023/10/8119DNS域名解析過程1）客戶主機(jī)軟件(2023/10/8120DNS域名解析過程（2）3)

域DNS服務(wù)器將向域DNS服務(wù)器返回IP查詢結(jié)果(假定為)；4)

域的本地DNS服務(wù)器最終將查詢結(jié)果返回給客戶主機(jī)瀏覽器，并將這一結(jié)果存儲到其DNS緩存當(dāng)中，以便以后使用。在一段時(shí)間里，客戶主機(jī)再次訪問時(shí)，就可以不需要再次轉(zhuǎn)發(fā)查詢請求，而直接從緩存中提取記錄向客戶端返回IP地址了。 經(jīng)過上面幾步，客戶主機(jī)獲得了它所期待的網(wǎng)站的IP地址，這樣整個域名解析過程就結(jié)束了。2023/10/8120DNS域名解析過程（2）3)dh2023/10/81215.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟當(dāng)客戶主機(jī)向本地DNS服務(wù)器查詢域名的時(shí)候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會再向其他服務(wù)器進(jìn)行查詢，而是直接將這條記錄返回給用戶。而入侵者欲實(shí)現(xiàn)DNS欺騙，關(guān)鍵的一個條件就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。2023/10/81215.5.2DNS欺騙的原理及實(shí)現(xiàn)步2023/10/81225.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟在上面例子中，假如域DNS服務(wù)器返回的是經(jīng)過攻擊者篡改的信息，比如將指向另一個IP地址，域DNS服務(wù)器將會接受這個結(jié)果，并將錯誤的信息存儲在本地Cache中。2023/10/81225.5.2DNS欺騙的原理及實(shí)現(xiàn)步以后在這條緩存記錄的生存期內(nèi)，再向域DNS服務(wù)器發(fā)送的對的域名解析請求，所得到的IP地址都將是被篡改過的。2023/10/81235.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟以后在這條緩存記錄的生存期內(nèi)，再向域DNS服2023/10/81245.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟有了對DNS服務(wù)器進(jìn)行欺騙的可能，攻擊者怎樣偽造DNS應(yīng)答信息就成了問題的焦點(diǎn)。目前有兩種可能情況下的實(shí)現(xiàn)辦法:攻擊者可以控制本地的域名服務(wù)器攻擊者無法控制任何DNS服務(wù)器2023/10/81245.5.2DNS欺騙的原理及實(shí)現(xiàn)步2023/10/8125第一種可能情況一種可能是，攻擊者可以控制本地的域名服務(wù)器(假定是域的權(quán)威)，在其數(shù)據(jù)庫中增加一個附加記錄，將攻擊目標(biāo)的域名(例如)指向攻擊者的欺騙IP。緊接著，攻擊者向域DNS服務(wù)器發(fā)送對域名的解析請求。域的DNS服務(wù)器自然轉(zhuǎn)而向域的DNS服務(wù)器發(fā)送請求。2023/10/8125第一種可能情況一種可能是，攻擊者可以2023/10/8126第一種可能情況(2)這時(shí)候，本地的域名服務(wù)器除了返回正常的的IP地址外，還會在返回包中附加的映射記錄。如果域的DNS服務(wù)器允許緩存所有收到的信息的話，發(fā)過來到的偽造映射記錄便“注射”到其Cache中了。2023/10/8126第一種可能情況(2)這時(shí)候，本地的域2023/10/8127第二種可能情況另一種更現(xiàn)實(shí)的情況，就是攻擊者無法控制任何DNS服務(wù)器，但他可以控制該服務(wù)所在網(wǎng)絡(luò)的某臺主機(jī)，并可以監(jiān)聽該網(wǎng)絡(luò)中的通信情況。這時(shí)候，黑客要對遠(yuǎn)程的某個DNS服務(wù)器進(jìn)行欺騙攻擊，所采用的手段很像IP欺騙攻擊。首先，黑客要冒充某個域名服務(wù)器的IP地址。其次，黑客要能預(yù)測目標(biāo)域名服務(wù)器所發(fā)送DNS數(shù)據(jù)包的ID號。確定目標(biāo)DNS服務(wù)器的ID號即為DNS欺騙攻擊的關(guān)鍵所在。2023/10/8127第二種可能情況另一種更現(xiàn)實(shí)的情況，就2023/10/8128第二種可能情況(2)DNS數(shù)據(jù)是通過UDP協(xié)議傳遞的，在DNS服務(wù)器之間進(jìn)行域名解析通信時(shí)，請求方和應(yīng)答方都使用UDP53端口，而這樣的通信過程往往是并行的，也就是說，DNS域名服務(wù)器之間同時(shí)可能會進(jìn)行多個解析過程，既然不同的過程使用相同的端口號，那靠什么來彼此區(qū)別呢?答案就在DNS報(bào)文里面。DNS報(bào)文格式頭部的ID域，是用于區(qū)別不同會話過程的，這有點(diǎn)類似于TCP中的序列號，域名解析的請求方和應(yīng)答方只有使用相同的ID號才能證明是同一個會話(由請求方?jīng)Q定所使用的ID)。不同的解析會話，采用不同的ID號。2023/10/8128第二種可能情況(2)DNS數(shù)據(jù)是通過2023/10/8129第二種可能情況(3)在一段時(shí)期內(nèi)，DNS服務(wù)器一般都采用一種有章可循的ID生成機(jī)制，例如，對于每次發(fā)送的域名解析請求，依次將數(shù)據(jù)包中的ID加1。如此一來，攻擊者如果可以在某個DNS服務(wù)器的網(wǎng)絡(luò)中進(jìn)行嗅探，他只要向遠(yuǎn)程的DNS服務(wù)器發(fā)送一個對本地某域名的解析請求，通過嗅探得到的來自目標(biāo)DNS服務(wù)器的請求數(shù)據(jù)包（因?yàn)檫h(yuǎn)程DNS服務(wù)器肯定會轉(zhuǎn)而請求本地的DNS服務(wù)器），攻擊者就可以得到想要的ID號了。2023/10/8129第二種可能情況(3)在一段時(shí)期內(nèi)，D2023/10/8130第二種可能情況(4)例子：

域的DNS服務(wù)器向域的DNS服務(wù)器請求解析，如果攻擊者所偽造的DNS應(yīng)答包中含有正確的ID號，并且搶在域的DNS服務(wù)器之前向域的DNS服務(wù)器返回偽造信息，欺騙攻擊就將獲得成功的。2023/10/8130第二種可能情況(4)例子：2023/10/8131第二種可能情況(5)其實(shí)，即使攻擊者無法監(jiān)聽某個擁有DNS服務(wù)器的網(wǎng)絡(luò)，也有辦法得到目標(biāo)DNS服務(wù)器的ID號。首先，他向目標(biāo)DNS服務(wù)器請求對某個不存在域名地址（但該域是存在的）進(jìn)行解析。然后，攻擊者冒充所請求域的DNS服務(wù)器，向目標(biāo)DNS服務(wù)器連續(xù)發(fā)送應(yīng)答包，這些包中的ID號依次遞增。過一段時(shí)間，攻擊者再次向目標(biāo)DNS服務(wù)器發(fā)送針對該域名的解析請求，如果得到返回結(jié)果，就說明目標(biāo)DNS服務(wù)器接受了剛才黑客的偽造應(yīng)答，繼而說明黑客猜測的ID號在正確的區(qū)段上，否則，攻擊者可以再次嘗試。2023/10/8131第二種可能情況(5)其實(shí)，即使攻擊者2023/10/8132第二種可能情況(6)實(shí)際攻擊中，第二種攻擊方法實(shí)現(xiàn)比較復(fù)雜。知道了ID號，并且知道了ID號的增長規(guī)律，以下的過程類似于IP欺騙攻擊。2023/10/8132第二種可能情況(6)實(shí)際攻擊中，第二2023/10/8133一次DNS欺騙攻擊的完整過程2023/10/8133一次DNS欺騙攻擊的完整過程2023/10/81345.5.3DNS欺騙的局限性及防御DNS欺騙主要存在兩點(diǎn)局限性：攻擊者不能替換緩存中已經(jīng)存在的記錄DNS服務(wù)器存在緩存刷新時(shí)間問題2023/10/81345.5.3DNS欺騙的局限性及防御2023/10/81355.