第5章：欺騙攻擊與防御技術(shù)

第5章：欺騙攻擊與防御技術(shù)第一頁(yè)，共151頁(yè)。本章內(nèi)容安排5.1概述5.2IP欺騙及防御技術(shù)5.3ARP欺騙及防御技術(shù)5.4電子郵件欺騙及防御技術(shù)5.5DNS欺騙及防御技術(shù)5.6Web欺騙及防御技術(shù)5.7小結(jié)第二頁(yè)，共151頁(yè)。5.1概述在Internet上計(jì)算機(jī)之間相互進(jìn)行的交流建立在兩個(gè)前提之下：認(rèn)證（Authentication）信任（Trust）第三頁(yè)，共151頁(yè)。5.1概述認(rèn)證:

認(rèn)證是網(wǎng)絡(luò)上的計(jì)算機(jī)用于相互間進(jìn)行識(shí)別的一種鑒別過(guò)程，經(jīng)過(guò)認(rèn)證的過(guò)程，獲準(zhǔn)相互交流的計(jì)算機(jī)之間就會(huì)建立起相互信任的關(guān)系。第四頁(yè)，共151頁(yè)。5.1概述信任:

信任和認(rèn)證具有逆反關(guān)系，即如果計(jì)算機(jī)之間存在高度的信任關(guān)系，則交流時(shí)就不會(huì)要求嚴(yán)格的認(rèn)證。而反之，如果計(jì)算機(jī)之間沒(méi)有很好的信任關(guān)系，則會(huì)進(jìn)行嚴(yán)格的認(rèn)證。第五頁(yè)，共151頁(yè)。5.1概述欺騙實(shí)質(zhì)上就是一種冒充身份通過(guò)認(rèn)證騙取信任的攻擊方式。攻擊者針對(duì)認(rèn)證機(jī)制的缺陷，將自己偽裝成可信任方，從而與受害者進(jìn)行交流，最終攫取信息或是展開(kāi)進(jìn)一步攻擊。第六頁(yè)，共151頁(yè)。5.1概述目前比較流行的欺騙攻擊主要有5種：IP欺騙：使用其他計(jì)算機(jī)的IP來(lái)騙取連接，獲得信息或者得到特權(quán)；ARP欺騙：利用ARP協(xié)議的缺陷，把自己偽裝成“中間人”，效果明顯，威力驚人；電子郵件欺騙：電子郵件發(fā)送方地址的欺騙；DNS欺騙：域名與IP地址轉(zhuǎn)換過(guò)程中實(shí)現(xiàn)的欺騙；Web欺騙：創(chuàng)造某個(gè)萬(wàn)維網(wǎng)網(wǎng)站的復(fù)制影像，從而達(dá)到欺騙網(wǎng)站用戶目的的攻擊。第七頁(yè)，共151頁(yè)。5.2IP欺騙及防御技術(shù)5.2.1基本的IP欺騙5.2.2IP欺騙的高級(jí)應(yīng)用——TCP會(huì)話劫持5.2.3IP欺騙攻擊的防御第八頁(yè)，共151頁(yè)。5.2.1基本的IP欺騙最基本的IP欺騙技術(shù)有三種：簡(jiǎn)單的IP地址變化源路由攻擊利用Unix系統(tǒng)的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡(jiǎn)單，因此效果也十分有限。第九頁(yè)，共151頁(yè)。簡(jiǎn)單的IP地址變化攻擊者將一臺(tái)計(jì)算機(jī)的IP地址修改為其它主機(jī)的地址，以偽裝冒充其它機(jī)器。首先了解一個(gè)網(wǎng)絡(luò)的具體配置及IP分布，然后改變自己的地址，以假冒身份發(fā)起與被攻擊方的連接。這樣做就可以使所有發(fā)送的數(shù)據(jù)包都帶有假冒的源地址。第十頁(yè)，共151頁(yè)。簡(jiǎn)單的IP地址變化(2)

攻擊者使用假冒的IP地址向一臺(tái)機(jī)器發(fā)送數(shù)據(jù)包，但沒(méi)有收到任何返回的數(shù)據(jù)包，這被稱之為盲目飛行攻擊（flyingblindattack），或者叫做單向攻擊（one-wayattack）。因?yàn)橹荒芟蚴芎φ甙l(fā)送數(shù)據(jù)包，而不會(huì)收到任何應(yīng)答包。第十一頁(yè)，共151頁(yè)。簡(jiǎn)單的IP地址變化(3)利用這種方法進(jìn)行欺騙攻擊有一些限制，比如說(shuō)無(wú)法建立完整的TCP連接；但是，對(duì)于UDP這種面向無(wú)連接的傳輸協(xié)議就不會(huì)存在建立連接的問(wèn)題，因此所有單獨(dú)的UDP數(shù)據(jù)包都會(huì)被發(fā)送到受害者的系統(tǒng)中。第十二頁(yè)，共151頁(yè)。源路由攻擊簡(jiǎn)單的IP地址變化很致命的缺陷是攻擊者無(wú)法接收到返回的信息流。為了得到從目的主機(jī)返回源地址主機(jī)的數(shù)據(jù)流，有兩個(gè)方法：一個(gè)方法是攻擊者插入到正常情況下數(shù)據(jù)流經(jīng)過(guò)的通路上；另一種方法就是保證數(shù)據(jù)包會(huì)經(jīng)過(guò)一條給定的路徑，而且作為一次欺騙，保證它經(jīng)過(guò)攻擊者的機(jī)器。第十三頁(yè)，共151頁(yè)。源路由機(jī)制(2)第一種方法其過(guò)程如圖所示:

但實(shí)際中實(shí)現(xiàn)起來(lái)非常困難，互聯(lián)網(wǎng)采用的是動(dòng)態(tài)路由，即數(shù)據(jù)包從起點(diǎn)到終點(diǎn)走過(guò)的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。第十四頁(yè)，共151頁(yè)。源路由機(jī)制(3)第二種方法是使用源路由機(jī)制，保證數(shù)據(jù)包始終會(huì)經(jīng)過(guò)一條經(jīng)定的途徑，而攻擊者機(jī)器在該途徑中。源路由機(jī)制包含在TCP/IP協(xié)議組中。它允許用戶在IP數(shù)據(jù)包包頭的源路由選項(xiàng)字段設(shè)定接收方返回的數(shù)據(jù)包要經(jīng)過(guò)的路徑。某些路由器對(duì)源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來(lái)傳送應(yīng)答數(shù)據(jù)。這就使一個(gè)入侵者可以假冒一個(gè)主機(jī)的名義通過(guò)一個(gè)特殊的路徑來(lái)獲得某些被保護(hù)數(shù)據(jù)。第十五頁(yè)，共151頁(yè)。源路由機(jī)制(4)它包括兩種類型的源路由：寬松的源站選擇（LSR）：發(fā)送端指明數(shù)據(jù)流必須經(jīng)過(guò)的IP地址清單，但是也可以經(jīng)過(guò)除這些地址以外的一些地址。嚴(yán)格的源路由選擇（SRS）：發(fā)送端指明IP數(shù)據(jù)包必須經(jīng)過(guò)的確切地址。如果沒(méi)有經(jīng)過(guò)這一確切路徑，數(shù)據(jù)包會(huì)被丟棄，并返回一個(gè)ICMP報(bào)文。第十六頁(yè)，共151頁(yè)。源路由機(jī)制的應(yīng)用源站選路給攻擊者帶來(lái)了很大的便利。攻擊者可以使用假冒地址A向受害者B發(fā)送數(shù)據(jù)包，并指定了寬松的源站選路或者嚴(yán)格路由選擇(如果確定能經(jīng)過(guò)所填入的每個(gè)路由的話)，并把自己的IP地址X填入地址清單中。當(dāng)B在應(yīng)答的時(shí)候，也應(yīng)用同樣的源路由，因此，數(shù)據(jù)包返回被假冒主機(jī)A的過(guò)程中必然會(huì)經(jīng)過(guò)攻擊者X。這樣攻擊者不再是盲目飛行了，因?yàn)樗塬@得完整的會(huì)話信息。第十七頁(yè)，共151頁(yè)。利用信任關(guān)系在Unix世界中，不同主機(jī)的賬戶間可以建立一種特殊的信任關(guān)系，以方便機(jī)器之間的訪問(wèn)。這常常用于對(duì)大量機(jī)器的系統(tǒng)管理。單位里經(jīng)常指定一個(gè)管理員管理幾十個(gè)區(qū)域或者甚至上百臺(tái)機(jī)器。管理員一般都會(huì)使用信任關(guān)系和UNIX的r*命令從一個(gè)系統(tǒng)方便的切換到另一個(gè)系統(tǒng)。r*命令允許一個(gè)人登錄遠(yuǎn)程機(jī)器而不必提供口令。這里的信任關(guān)系是基于IP地址進(jìn)行認(rèn)證的，而不是詢問(wèn)用戶名和口令。也就是說(shuō)將會(huì)認(rèn)可來(lái)自可信IP地址的任何人。第十八頁(yè)，共151頁(yè)。利用信任關(guān)系(2)從便利的角度看，信任的關(guān)系是非常有效的，但是從安全的角度來(lái)看，是不可取的。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺(tái)的機(jī)器，他就能登錄信任該IP的任何機(jī)器上。下面是經(jīng)常使用的一些r*命令：（1）rlogin：remotelogin，遠(yuǎn)程登錄；（2）rsh：remoteshell，遠(yuǎn)程shell；（3）rcp：remotecopy,遠(yuǎn)程拷貝。第十九頁(yè)，共151頁(yè)。利用信任關(guān)系(3)例子：主機(jī)A、B上各有一個(gè)賬戶，在使用當(dāng)中，在A上使用時(shí)需要輸入A上的相應(yīng)賬戶，在B上使用時(shí)必須輸入在B上的賬戶，主機(jī)A和B把用戶當(dāng)作兩個(gè)互不相關(guān)的用戶。為了減少切換時(shí)的反復(fù)確認(rèn)，可以在主機(jī)A和主機(jī)B中建立起兩個(gè)賬戶的全雙工信任關(guān)系。這可通過(guò)在A、B的登陸目錄上各建立一個(gè)hosts文件達(dá)到。在主機(jī)A的登陸目錄下建立一個(gè).rhosts文件：‘echo“BusernameB”>~/.rhosts’這就建立起了A對(duì)B的信任關(guān)系。從主機(jī)B中就可以直接使用任何r*命令直接登陸到主機(jī)A中，而不用向遠(yuǎn)程主機(jī)提供密碼認(rèn)證。B對(duì)A的信任關(guān)系與之類似。這些r*命令允許基于地址的認(rèn)證方式，它們會(huì)根據(jù)服務(wù)請(qǐng)求者的IP地址決定同意還是拒絕訪問(wèn)。第二十頁(yè)，共151頁(yè)。利用信任關(guān)系(4)這種方法一度被認(rèn)為是IP欺騙最主要的方法。但是，這種欺騙方法只能在Unix環(huán)境下使用，而且也比較陳舊了。第二十一頁(yè)，共151頁(yè)。5.2.2IP欺騙高級(jí)應(yīng)用—TCP會(huì)話劫持基本原理相關(guān)基礎(chǔ)TCP會(huì)話劫持過(guò)程TCP會(huì)話劫持的危害實(shí)現(xiàn)TCP會(huì)話劫持的兩個(gè)小工具第二十二頁(yè)，共151頁(yè)?；驹頃?huì)話劫持就是接管一個(gè)現(xiàn)存動(dòng)態(tài)會(huì)話的過(guò)程，換句話說(shuō)，攻擊者通過(guò)會(huì)話劫持可以替代原來(lái)的合法用戶，同時(shí)能夠監(jiān)視并掌握會(huì)話內(nèi)容。此時(shí)，攻擊者可以對(duì)受害者的回復(fù)進(jìn)行記錄，并在接下來(lái)的時(shí)間里對(duì)其進(jìn)行響應(yīng)，展開(kāi)進(jìn)一步的欺騙和攻擊。會(huì)話劫持結(jié)合了嗅探及欺騙技術(shù)。第二十三頁(yè)，共151頁(yè)?；驹?2)在一般的欺騙攻擊中攻擊者并不是積極主動(dòng)地使一個(gè)用戶下線來(lái)實(shí)現(xiàn)他針對(duì)受害目標(biāo)的攻擊，而是僅僅裝作是合法用戶。此時(shí)，被冒充的用戶可能并不在線上，而且它在整個(gè)攻擊中不扮演任何角色，因此攻擊者不會(huì)對(duì)它發(fā)動(dòng)進(jìn)攻。但是在會(huì)話劫持中，為了接管整個(gè)會(huì)話過(guò)程，攻擊者需要積極攻擊使被冒充用戶下線。第二十四頁(yè)，共151頁(yè)?；驹?3)一般的欺騙會(huì)話劫持第二十五頁(yè)，共151頁(yè)。相關(guān)基礎(chǔ)TCP三步握手連接建立序列號(hào)機(jī)制第二十六頁(yè)，共151頁(yè)。TCP三步握手連接建立第二十七頁(yè)，共151頁(yè)。序列號(hào)機(jī)制序列號(hào)是一個(gè)32位計(jì)數(shù)器，這就意味著可以有大于4億種的可能性組合。簡(jiǎn)單地說(shuō)，序列號(hào)用來(lái)說(shuō)明接收方下一步將要接收的數(shù)據(jù)包的順序。也就是說(shuō)，序列號(hào)設(shè)置了數(shù)據(jù)包放入數(shù)據(jù)流的順序，接收方就可以利用序列號(hào)告訴發(fā)送方哪些數(shù)據(jù)包已經(jīng)收到，哪些數(shù)據(jù)包還未收到，于是發(fā)送方就能夠依此重發(fā)丟失的數(shù)據(jù)包。第二十八頁(yè)，共151頁(yè)。序列號(hào)機(jī)制(2)例如，如果發(fā)送方發(fā)送了4個(gè)數(shù)據(jù)包，它們的序列號(hào)分別是1258、1256、1257和1255，接收方不但可以根據(jù)發(fā)送方發(fā)包的序列號(hào)將數(shù)據(jù)包進(jìn)行歸序，同時(shí)接收方還可以用發(fā)送方的序列號(hào)確認(rèn)接收的數(shù)據(jù)包。在這種情況下，接收方送回的確認(rèn)信息是1259，這就等于是說(shuō)，“下一個(gè)我期望從發(fā)送方收到的是序列號(hào)為1259的數(shù)據(jù)包”。第二十九頁(yè)，共151頁(yè)。序列號(hào)機(jī)制(3)實(shí)際上為了完成上述目的，這里存在：一個(gè)屬于發(fā)送方的序列號(hào)和另一個(gè)是屬于接收方的應(yīng)答號(hào)。發(fā)送方發(fā)送數(shù)據(jù)包使用發(fā)送方的序列號(hào)，同時(shí)當(dāng)接收方確認(rèn)從發(fā)送方接收數(shù)據(jù)包時(shí)，它也用發(fā)送方的序列號(hào)來(lái)進(jìn)行確認(rèn)。在另一方面，接收方用屬于自己的序列號(hào)送回?cái)?shù)據(jù)。第三十頁(yè)，共151頁(yè)。序列號(hào)機(jī)制(4)數(shù)據(jù)傳輸過(guò)程中序列號(hào)和應(yīng)答號(hào)之間的關(guān)系：第二個(gè)數(shù)據(jù)包（B－>A）的SEQ=第一個(gè)數(shù)據(jù)包（A－>B）的ACK；第二個(gè)數(shù)據(jù)包（B－>A）的ACK=第一個(gè)數(shù)據(jù)包（A－>B）的SEQ+第一個(gè)數(shù)據(jù)包（A－>B）的傳輸數(shù)據(jù)長(zhǎng)度。第三十一頁(yè)，共151頁(yè)。序列號(hào)機(jī)制(5)再進(jìn)一步推廣，對(duì)于整個(gè)序列號(hào)計(jì)數(shù)體制，我們可以得到下面這個(gè)結(jié)論：序列號(hào)是隨著傳輸數(shù)據(jù)字節(jié)數(shù)遞增的。如果傳輸數(shù)據(jù)字節(jié)數(shù)為10，序列號(hào)就增加10；若傳輸?shù)臄?shù)據(jù)為20字節(jié)，序列號(hào)就應(yīng)該相應(yīng)增加20。第三十二頁(yè)，共151頁(yè)。序列號(hào)機(jī)制(6)從上面的講解中，我們可以清楚地認(rèn)識(shí)到：序列號(hào)和應(yīng)答號(hào)之間存在著明確的對(duì)應(yīng)關(guān)系。因此序列號(hào)和應(yīng)答號(hào)是完全有可能預(yù)測(cè)的，只需要獲取最近的會(huì)話數(shù)據(jù)包，就可以猜測(cè)下一次通話中的SEQ和ACK。這一局面是TCP協(xié)議固有缺陷造成的，由此帶來(lái)的安全威脅也是無(wú)法回避的。第三十三頁(yè)，共151頁(yè)。TCP會(huì)話劫持過(guò)程step1：發(fā)現(xiàn)攻擊目標(biāo)step2：確認(rèn)動(dòng)態(tài)會(huì)話step3：猜測(cè)序列號(hào)step4：使客戶主機(jī)下線step5：接管會(huì)話第三十四頁(yè)，共151頁(yè)。step1：發(fā)現(xiàn)攻擊目標(biāo)對(duì)于尋找合適的目標(biāo)有兩個(gè)關(guān)鍵的問(wèn)題。首先，通常攻擊者希望這個(gè)目標(biāo)是一個(gè)準(zhǔn)予TCP會(huì)話連接（例如Telnet和FTP等）的服務(wù)器。其次，能否檢測(cè)數(shù)據(jù)流也是一個(gè)比較重要的問(wèn)題，因?yàn)樵诠舻臅r(shí)候需要猜測(cè)序列號(hào)。這就需要嗅探之前通信的數(shù)據(jù)包，對(duì)于交換網(wǎng)絡(luò)環(huán)境，可能還需要使用ARP欺騙。第三十五頁(yè)，共151頁(yè)。step2：確認(rèn)動(dòng)態(tài)會(huì)話攻擊者如何尋找動(dòng)態(tài)會(huì)話？與大多數(shù)攻擊不同，會(huì)話劫持攻擊適合在網(wǎng)絡(luò)流通量達(dá)到高峰時(shí)才會(huì)發(fā)生的。首先，他有很多供選擇的會(huì)話；其次，網(wǎng)絡(luò)流通量越大則被發(fā)現(xiàn)的可能就越小。如果只有一個(gè)用戶進(jìn)行連接并數(shù)次掉線，那么就很有可能引起那個(gè)用戶的懷疑。但是，如果網(wǎng)絡(luò)流通量很大并且有很多的用戶進(jìn)行連接，那么用戶們很有可能忽略掉線后面隱藏的問(wèn)題，也許只是認(rèn)為這是由于網(wǎng)絡(luò)流通過(guò)大而引起的。第三十六頁(yè)，共151頁(yè)。step3：猜測(cè)序列號(hào)TCP區(qū)分正確數(shù)據(jù)包和錯(cuò)誤數(shù)據(jù)包僅通過(guò)它們的SEQ/ACK序列號(hào)。序列號(hào)卻是隨著時(shí)間的變化而改變的。因此，攻擊者必須成功猜測(cè)出序列號(hào)。通過(guò)嗅探或者ARP欺騙，先發(fā)現(xiàn)目標(biāo)機(jī)正在使用的序列號(hào)，再根據(jù)序列號(hào)機(jī)制，可以猜測(cè)出下一對(duì)SEQ/ACK序列號(hào)。同時(shí)，攻擊者若以某種方法擾亂客戶主機(jī)的SEQ/ACK，服務(wù)器將不再相信客戶主機(jī)正確的數(shù)據(jù)包，從而可以偽裝為客戶主機(jī)，使用正確的SEQ/ACK序列號(hào)，現(xiàn)在攻擊主機(jī)就可以與服務(wù)器進(jìn)行連接，這樣就搶劫一個(gè)會(huì)話連接。第三十七頁(yè)，共151頁(yè)。step4：使客戶主機(jī)下線當(dāng)攻擊者獲得了序列號(hào)后，為了徹底接管這個(gè)會(huì)話，他就必須使客戶主機(jī)下線。使客戶主機(jī)下線最簡(jiǎn)單的方式就是對(duì)其進(jìn)行拒絕服務(wù)攻擊，從而使其不再繼續(xù)響應(yīng)。服務(wù)器會(huì)繼續(xù)發(fā)送響應(yīng)給客戶主機(jī)，但是因?yàn)楣粽咭呀?jīng)掌握了客戶主機(jī)，所以該機(jī)器就不再繼續(xù)響應(yīng)。第三十八頁(yè)，共151頁(yè)。step5：接管會(huì)話既然攻擊者已經(jīng)獲得了他所需要的一切信息，那么他就可以持續(xù)向服務(wù)器發(fā)送數(shù)據(jù)包并且接管整個(gè)會(huì)話了。在會(huì)話劫持攻擊中，攻擊者通常會(huì)發(fā)送數(shù)據(jù)包在受害服務(wù)器上建立一個(gè)賬戶，甚至留下某些后門。通過(guò)這種方式，攻擊者就可以在任何時(shí)候輕松進(jìn)入系統(tǒng)了。第三十九頁(yè)，共151頁(yè)。TCP會(huì)話劫持的危害就其實(shí)現(xiàn)原理而言，任何使用Internet進(jìn)行通信的主機(jī)都有可能受到這種攻擊。會(huì)話劫持在理論上是非常復(fù)雜的，但是現(xiàn)在產(chǎn)生了簡(jiǎn)單適用的會(huì)話劫持攻擊軟件，技術(shù)門檻的降低導(dǎo)致了很多“少年攻擊者”的誕生。第四十頁(yè)，共151頁(yè)。TCP會(huì)話劫持的危害(2)會(huì)話劫持攻擊的危害性很大是有原因的。一個(gè)最主要的原因就是它并不依賴于操作系統(tǒng)。另一個(gè)原因就是它可以被用來(lái)進(jìn)行積極的攻擊，通過(guò)攻擊行為可以獲得進(jìn)入系統(tǒng)的可能。

第四十一頁(yè)，共151頁(yè)。實(shí)現(xiàn)TCP會(huì)話劫持的兩個(gè)小工具JuggernautJuggernaut是由MikeSchiffman開(kāi)發(fā)的自由軟件，這個(gè)軟件是開(kāi)創(chuàng)性的，是最先出現(xiàn)的會(huì)話攻擊程序之一。它運(yùn)行在Linux操作系統(tǒng)的終端機(jī)上，攻擊者能夠窺探網(wǎng)絡(luò)中所有的會(huì)話，并且劫持其中任何一個(gè)，攻擊者可以像真正用戶那樣向服務(wù)器提交命令。第四十二頁(yè)，共151頁(yè)。實(shí)現(xiàn)TCP會(huì)話劫持的兩個(gè)小工具(2)Hunt由PavelKrauz制作的Hunt，是一個(gè)集嗅探、截取和會(huì)話劫持功能與一身的強(qiáng)大工具。它可以在無(wú)論共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)中工作，不僅能夠在混雜模式和ARP欺騙模式下進(jìn)行嗅探，還具有中斷和劫持動(dòng)態(tài)會(huì)話的能力。第四十三頁(yè)，共151頁(yè)。5.2.3IP欺騙攻擊的防御防范地址變化欺騙防范源路由欺騙防范信任關(guān)系欺騙防范會(huì)話劫持攻擊第四十四頁(yè)，共151頁(yè)。防范地址變化欺騙

有辦法防止攻擊者使用你的地址發(fā)送消息嗎？可以說(shuō)，你沒(méi)有辦法阻止有人向另一方發(fā)送消息時(shí)不用自己的而使用你的地址。 但是，采取一些措施可以有效保護(hù)自己免受這種攻擊的欺騙。第四十五頁(yè)，共151頁(yè)。防范地址變化欺騙(2)方法1：限制用戶修改網(wǎng)絡(luò)配置方法2：入口過(guò)濾方法3：出口過(guò)濾第四十六頁(yè)，共151頁(yè)。方法1：限制用戶修改網(wǎng)絡(luò)配置

為了阻止攻擊者使用一臺(tái)機(jī)器發(fā)起欺騙攻擊，首先需限制那些有權(quán)訪問(wèn)機(jī)器配置信息的人員。這么做就能防止員工執(zhí)行欺騙。第四十七頁(yè)，共151頁(yè)。方法2：入口過(guò)濾

大多數(shù)路由器有內(nèi)置的欺騙過(guò)濾器。過(guò)濾器的最基本形式是，不允許任何從外面進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包使用單位的內(nèi)部網(wǎng)絡(luò)地址作為源地址。 因此，如果一個(gè)來(lái)自外網(wǎng)的數(shù)據(jù)包，聲稱來(lái)源于本單位的網(wǎng)絡(luò)內(nèi)部，就可以非常肯定它是假冒的數(shù)據(jù)包，應(yīng)該丟棄它。 這種類型的過(guò)濾可以保護(hù)單位的網(wǎng)絡(luò)不成為欺騙攻擊的受害者。第四十八頁(yè)，共151頁(yè)。方法3：出口過(guò)濾

為了執(zhí)行出口過(guò)濾，路由器必須檢查數(shù)據(jù)包，確信源地址是來(lái)自本單位局域網(wǎng)的一個(gè)地址。 如果不是那樣，這個(gè)數(shù)據(jù)包應(yīng)該被丟棄，因?yàn)檫@說(shuō)明有人正使用假冒地址向另一個(gè)網(wǎng)絡(luò)發(fā)起攻擊。離開(kāi)本單位的任何合法數(shù)據(jù)包須有一個(gè)源地址，并且它的網(wǎng)絡(luò)部分與本單位的內(nèi)部網(wǎng)絡(luò)相匹配。第四十九頁(yè)，共151頁(yè)。防范源路由欺騙保護(hù)自己或者單位免受源路由欺騙攻擊的最好方法是設(shè)置路由器禁止使用源路由。事實(shí)上人們很少使用源路由做合法的事情。因?yàn)檫@個(gè)原因，所以阻塞這種類型的流量進(jìn)入或者離開(kāi)網(wǎng)絡(luò)通常不會(huì)影響正常的業(yè)務(wù)。第五十頁(yè)，共151頁(yè)。防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺騙攻擊最容易的方法就是不使用信任關(guān)系。但是這并不是最佳的解決方案，因?yàn)楸憷膽?yīng)用依賴于信任關(guān)系。但是能通過(guò)做一些事情使暴露達(dá)到最?。合拗茡碛行湃侮P(guān)系的人員。不允許通過(guò)外部網(wǎng)絡(luò)使用信任關(guān)系。第五十一頁(yè)，共151頁(yè)。防范會(huì)話劫持攻擊會(huì)話劫持攻擊是非常危險(xiǎn)的，因?yàn)楣粽吣軌蛑苯咏庸芎戏ㄓ脩舻臅?huì)話。在其他的攻擊中可以處理那些危險(xiǎn)并且將它消除。但是在會(huì)話劫持中，消除這個(gè)會(huì)話也就意味著禁止了一個(gè)合法的連接，從本質(zhì)上來(lái)說(shuō)這么做就背離了使用Internet進(jìn)行連接的目的。第五十二頁(yè)，共151頁(yè)。防范會(huì)話劫持攻擊(2)沒(méi)有有效的辦法可以從根本上防范會(huì)話劫持攻擊，以下列舉了一些方法可以盡量縮小會(huì)話攻擊所帶來(lái)危害：進(jìn)行加密使用安全協(xié)議限制保護(hù)措施第五十三頁(yè)，共151頁(yè)。進(jìn)行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那么進(jìn)行會(huì)話劫持攻擊也是十分困難的。因此，任何用來(lái)傳輸敏感數(shù)據(jù)的關(guān)鍵連接都必須進(jìn)行加密。第五十四頁(yè)，共151頁(yè)。使用安全協(xié)議無(wú)論何時(shí)當(dāng)用戶連入到一個(gè)遠(yuǎn)端的機(jī)器上，特別是當(dāng)從事敏感工作或是管理員操作時(shí)，都應(yīng)當(dāng)使用安全協(xié)議。一般來(lái)說(shuō)，有像SSH（SecureShell）這樣的協(xié)議或是安全的Telnet都可以使系統(tǒng)免受會(huì)話劫持攻擊。此外，從客戶端到服務(wù)器的VPN（VirtualPrivateNetwork）也是很好的選擇。第五十五頁(yè)，共151頁(yè)。限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，那么用戶將會(huì)越安全，這是個(gè)最小化會(huì)話劫持攻擊的方法。攻擊者越難進(jìn)入系統(tǒng)，那么系統(tǒng)就越不容易受到會(huì)話劫持攻擊。在理想情況下，應(yīng)該阻止盡可能多的外部連接和連向防火墻的連接。第五十六頁(yè)，共151頁(yè)。5.3ARP欺騙攻擊與防御技術(shù)5.3.1ARP背景知識(shí)介紹5.3.2ARP欺騙攻擊原理5.3.3ARP欺騙攻擊實(shí)例5.3.4ARP欺騙攻擊的檢測(cè)與防御第五十七頁(yè)，共151頁(yè)。5.3.1ARP背景知識(shí)介紹ARP基礎(chǔ)知識(shí)ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/4/19網(wǎng)絡(luò)入侵與防范講義58第五十八頁(yè)，共151頁(yè)。ARP基礎(chǔ)知識(shí)ARP(AddressResolutionProtocol)：地址解析協(xié)議，用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）[RFC826]。屬于鏈路層的協(xié)議。在以太網(wǎng)中，數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)局域網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址（硬件地址）來(lái)確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動(dòng)）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。第五十九頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義60ARP基礎(chǔ)知識(shí)ARP協(xié)議有兩種數(shù)據(jù)包ARP請(qǐng)求包：ARP工作時(shí)，送出一個(gè)含有目的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，這也就是ARP請(qǐng)求包。它表示：我想與目的IP通信，請(qǐng)告訴我此IP的MAC地址。ARP請(qǐng)求包格式如下：

arpwho-hastellARP應(yīng)答包：當(dāng)目標(biāo)主機(jī)收到ARP請(qǐng)求包，發(fā)現(xiàn)請(qǐng)求解析的IP地址與本機(jī)IP地址相同，就會(huì)返回一個(gè)ARP應(yīng)答包。它表示：我的主機(jī)就是此IP，我的MAC地址是某某某。ARP應(yīng)答包的格式如下：

arpreplyis-at00:00:0c:07:ac:00第六十頁(yè)，共151頁(yè)。ARP基礎(chǔ)知識(shí)ARP緩存表ARP緩存表用于存儲(chǔ)其它主機(jī)或網(wǎng)關(guān)的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。每臺(tái)主機(jī)、網(wǎng)關(guān)都有一個(gè)ARP緩存表。ARP緩存表里存儲(chǔ)的每條記錄實(shí)際上就是一個(gè)IP地址與MAC地址對(duì)，它可以是靜態(tài)的，也可以是動(dòng)態(tài)的。如果是靜態(tài)的，那么該條記錄不能被ARP應(yīng)答包修改；如果是動(dòng)態(tài)的，那么該條記錄可以被ARP應(yīng)答包修改。第六十一頁(yè)，共151頁(yè)。ARP基礎(chǔ)知識(shí)在Windows下查看ARP緩存表的方法使用命令：arp-a2023/4/19網(wǎng)絡(luò)入侵與防范講義62第六十二頁(yè)，共151頁(yè)。ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/4/19網(wǎng)絡(luò)入侵與防范講義63第六十三頁(yè)，共151頁(yè)。局域網(wǎng)內(nèi)通信假設(shè)一個(gè)局域網(wǎng)內(nèi)主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，它們的IP地址、MAC地址如下。主機(jī)名IP地址MAC地址主機(jī)A02-02-02-02-02-02主機(jī)B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-01第六十四頁(yè)，共151頁(yè)。局域網(wǎng)內(nèi)通信—網(wǎng)絡(luò)結(jié)構(gòu)圖第六十五頁(yè)，共151頁(yè)。局域網(wǎng)內(nèi)通信—通信過(guò)程假如主機(jī)主機(jī)A()要與主機(jī)主機(jī)B()通訊，它首先會(huì)檢查自己的ARP緩存中是否有這個(gè)地址對(duì)應(yīng)的MAC地址。如果沒(méi)有它就會(huì)向局域網(wǎng)的廣播地址發(fā)送ARP請(qǐng)求包，大致的意思是的MAC地址是什么請(qǐng)告訴。而廣播地址會(huì)把這個(gè)請(qǐng)求包廣播給局域網(wǎng)內(nèi)的所有主機(jī)，但是只有這臺(tái)主機(jī)才會(huì)響應(yīng)這個(gè)請(qǐng)求包，它會(huì)回應(yīng)一個(gè)arp包，告知的MAC地址是03-03-03-03-03-03。這樣主機(jī)A就得到了主機(jī)B的MAC地址，并且它會(huì)把這個(gè)對(duì)應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠?jī)烧呔彺姹砝锏挠涗泚?lái)通訊，直到通訊停止后兩分鐘，這個(gè)對(duì)應(yīng)關(guān)系才會(huì)被從表中刪除。第六十六頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義67局域網(wǎng)間通信假設(shè)兩個(gè)局域網(wǎng)，其中一個(gè)局域網(wǎng)內(nèi)有主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，另一個(gè)局域網(wǎng)內(nèi)有主機(jī)D和網(wǎng)關(guān)C。它們的IP地址、MAC地址如下。主機(jī)名IP地址MAC地址主機(jī)A02-02-02-02-02-02主機(jī)B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-01主機(jī)D04-04-04-04-04-04網(wǎng)關(guān)E05-05-05-05-05-05第六十七頁(yè)，共151頁(yè)。局域網(wǎng)間通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/4/19網(wǎng)絡(luò)入侵與防范講義68第六十八頁(yè)，共151頁(yè)。局域網(wǎng)間通信—通信過(guò)程假如主機(jī)A()需要和主機(jī)D()進(jìn)行通訊，它首先會(huì)發(fā)現(xiàn)這個(gè)主機(jī)D的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的，因此需要通過(guò)網(wǎng)關(guān)來(lái)轉(zhuǎn)發(fā)。這樣的話它會(huì)檢查自己的ARP緩存表里是否有網(wǎng)關(guān)對(duì)應(yīng)的MAC地址，如果沒(méi)有就通過(guò)ARP請(qǐng)求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)C通過(guò)路由將數(shù)據(jù)包送到網(wǎng)關(guān)E。網(wǎng)關(guān)E收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)D（）的，它就會(huì)檢查自己的ARP緩存（網(wǎng)關(guān)也有自己的ARP緩存），看看里面是否有對(duì)應(yīng)的MAC地址，如果沒(méi)有就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機(jī)D通訊。第六十九頁(yè)，共151頁(yè)。5.3.2ARP欺騙攻擊原理ARP欺騙攻擊原理ARP欺騙攻擊的危害2023/4/19網(wǎng)絡(luò)入侵與防范講義70第七十頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義71ARP欺騙原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽(tīng)。通常這種攻擊方式可能被病毒、木馬或者有特殊目的的攻擊者使用。第七十一頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義72ARP欺騙原理(2)主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP應(yīng)答包后，它并不會(huì)去驗(yàn)證自己是否發(fā)送過(guò)這個(gè)ARP請(qǐng)求，而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。ARP欺騙正是利用了這一點(diǎn)。第七十二頁(yè)，共151頁(yè)。ARP欺騙原理—原理圖2023/4/19網(wǎng)絡(luò)入侵與防范講義73第七十三頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義74ARP欺騙原理—欺騙過(guò)程主機(jī)B()向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說(shuō)：我是，我的MAC地址是03-03-03-03-03-03，主機(jī)B同時(shí)向主機(jī)A發(fā)送ARP應(yīng)答包說(shuō)：我是，我的MAC地址是03-03-03-03-03-03。這樣，A發(fā)給C的數(shù)據(jù)就會(huì)被發(fā)送到B，同時(shí)獲得C發(fā)給A的數(shù)據(jù)也會(huì)被發(fā)送到B。這樣，B就成了A與C之間的“中間人”。第七十四頁(yè)，共151頁(yè)。2023/4/19網(wǎng)絡(luò)入侵與防范講義75ARP欺騙攻擊的危害ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：致使同網(wǎng)段的其他用戶無(wú)法正常上網(wǎng)（頻繁斷網(wǎng)或者網(wǎng)速慢）。使用ARP欺騙可以嗅探到交換式局域網(wǎng)內(nèi)所有數(shù)據(jù)包，從而得到敏感信息。ARP欺騙攻擊可以對(duì)信息進(jìn)行篡改，例如，可以在你訪問(wèn)的所有網(wǎng)頁(yè)中加入廣告。利用ARP欺騙攻擊可以控制局域網(wǎng)內(nèi)任何主機(jī)，起到“網(wǎng)管”的作用，例如，讓某臺(tái)主機(jī)不能上網(wǎng)。第七十五頁(yè)，共151頁(yè)。5.3.3ARP欺騙攻擊實(shí)例使用工具：ArpcheatandsnifferV2.1國(guó)內(nèi)開(kāi)源軟件，它是一款arpsniffer工具，可以通過(guò)arp欺騙嗅探目標(biāo)主機(jī)TCP、UDP和ICMP協(xié)議數(shù)據(jù)包。攻擊環(huán)境：在一個(gè)交換式局域網(wǎng)內(nèi)受害者IP為3，MAC為00-0D-60-36-BD-05；網(wǎng)關(guān)IP為54，MAC為00-09-44-44-77-8A；攻擊者IP為8，MAC為00-07-E9-7D-73-E5。攻擊目的：攻擊者想得知受害者經(jīng)常登陸的FTP用戶名和密碼。第七十六頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--工具參數(shù)介紹-si 源ip-di 目的ip*代表所有,多項(xiàng)用,號(hào)分割-sp 源端口-dp 目的端口*代表所有-w 嗅探方式，1代表單向嗅探[si->di]，0代表雙向嗅探 [si<->di]-p 嗅探協(xié)議[TCP,UDP,ICMP]大寫-m 最大記錄文件，以M為單位-o 文件輸出-hex 十六進(jìn)制輸出到文件-unecho 不回顯-unfilter 不過(guò)慮0字節(jié)數(shù)據(jù)包-low 粗略嗅探，丟包率高，cpu利用率低基本0-timeout 嗅探超時(shí),除非網(wǎng)絡(luò)狀況比較差否則請(qǐng)不要調(diào)高,默認(rèn)為 120秒第七十七頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--工具參數(shù)介紹（2）-sniffsmtp 嗅探smtp-sniffpop 嗅探pop-sniffpost 嗅探post-sniffftp 嗅探ftp-snifftelnet 嗅探telnet，以上5個(gè)嗅探不受參數(shù)si,sp,di,dp,w,p影響.-sniffpacket 規(guī)則嗅探數(shù)據(jù)包,受參數(shù)si,sp,di,dp,w,p影響-sniffall 開(kāi)啟所有嗅探-onlycheat 只欺騙-cheatsniff 欺騙并且嗅探-reset 欺騙后恢復(fù)-g [網(wǎng)關(guān)ip]-c [欺騙者ip][mac]-t [受騙者ip]-time [欺騙次數(shù)]第七十八頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--工具參數(shù)介紹（3）使用舉例：arpsf-pTCP-dp25,110-of:\1.txt-m1–sniffpacket說(shuō)明：嗅探指定規(guī)則數(shù)據(jù)包并保存到文件arpsf-sniffall-cheatsniff-t-g54說(shuō)明：欺騙并且嗅探與外界的通訊，輸出到屏幕arpsf-onlycheat-t-c4-time100–reset說(shuō)明：對(duì)目標(biāo)欺騙一百次，欺騙后恢復(fù)arpsf-cheatsniff-t4-g54-sniffpacket-pTCP-dp80,25,23,110-od:\siff.txt-w0-m1說(shuō)明：嗅探4與外網(wǎng)的tcp連接情況并指定目的端口是80，23，25，110，嗅探方式是雙向嗅探，最大記錄文件是1M，輸出到d盤sniff.txt文件中。其中54是網(wǎng)關(guān)的地址。也可以改成同網(wǎng)段中其他的地址，那就是網(wǎng)內(nèi)嗅探了。第七十九頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--攻擊過(guò)程在WindowsXP下通過(guò)命令行啟動(dòng)軟件，運(yùn)行命令：arpsf-cheatsniff-t3-g54-sniffpacket-pTCP-dp21-oc:\siff.txt-w0-m1。含義是：嗅探3與其它主機(jī)的tcp連接情況并指定目的端口是21，嗅探方式是雙向嗅探，最大記錄文件是1M，結(jié)果輸出到C盤sniff.txt。其中54是網(wǎng)關(guān)的地址。運(yùn)行效果見(jiàn)下頁(yè)圖。第八十頁(yè)，共151頁(yè)。輸入命令輸出版本信息選擇獲取網(wǎng)卡的方法選擇用于欺騙的網(wǎng)卡第八十一頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--攻擊過(guò)程（2）當(dāng)Arpcheatsniff獲取了目標(biāo)機(jī)器、網(wǎng)關(guān)和本機(jī)的MAC之后，就開(kāi)始欺騙目標(biāo)機(jī)器和網(wǎng)關(guān)。見(jiàn)下頁(yè)圖。第八十二頁(yè)，共151頁(yè)。欺騙主機(jī)3欺騙網(wǎng)關(guān)54第八十三頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--攻擊過(guò)程（3）當(dāng)受害者機(jī)器上的用戶登陸了FTP之后，Arpcheatsniff就可以把用戶的操作記錄下來(lái)。下頁(yè)是當(dāng)軟件運(yùn)行了一段時(shí)間之后捕獲到的有用信息，存儲(chǔ)在C:\sniff.txt中。第八十四頁(yè)，共151頁(yè)。--------------------------------------------------------------TCP1421-->3225649Bytes2007-5-517:56:24--------------------------------------------------------------220-Serv-Uv6.0forWinSockready...--------------------------------------------------------------TCP1421-->3225679Bytes2007-5-517:56:24--------------------------------------------------------------220-歡迎使用lcg220-movie:movie220上載用戶名/密碼upload:upload--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------USERmovie--------------------------------------------------------------TCP1421-->3225636Bytes2007-5-517:56:24--------------------------------------------------------------331Usernameokay,needpassword.--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------PASSmovie--------------------------------------------------------------TCP1421-->3225630Bytes2007-5-517:56:24--------------------------------------------------------------230Userloggedin,proceed.--------------------------------------------------------------服務(wù)器返回的版本信息服務(wù)器返回的歡迎信息用戶輸入的USER命令服務(wù)器返回的確認(rèn)用戶輸入的PASS命令服務(wù)器返回的登陸成功信息第八十五頁(yè)，共151頁(yè)。ARP攻擊實(shí)例--攻擊過(guò)程（4）非常明顯，我們能夠得知，主機(jī)3上有用戶登陸了 14:21。用戶名和密碼都是movie。第八十六頁(yè)，共151頁(yè)。5.3.4ARP欺騙攻擊的檢測(cè)與防御如何檢測(cè)局域網(wǎng)中存在ARP欺騙攻擊如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)ARP欺騙攻擊的防范2023/4/19網(wǎng)絡(luò)入侵與防范講義87第八十七頁(yè)，共151頁(yè)。如何檢測(cè)局域網(wǎng)中存在ARP欺騙攻擊 網(wǎng)絡(luò)頻繁掉線網(wǎng)速突然變慢使用ARP–a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址與真實(shí)的網(wǎng)關(guān)MAC地址不相同使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包第八十八頁(yè)，共151頁(yè)。如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī) 如果你知道正確的網(wǎng)關(guān)MAC地址，通過(guò)ARP–a命令看到的列出的網(wǎng)關(guān)MAC與正確的MAC地址不同，那就是攻擊主機(jī)的MAC。使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARPreply包，包中指定的MAC就是攻擊主機(jī)的MAC地址。使用ARP保護(hù)程序發(fā)現(xiàn)攻擊主機(jī)的MAC：第八十九頁(yè)，共151頁(yè)。ARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺(tái)計(jì)算機(jī)的IP地址與硬件地址一一對(duì)應(yīng)，不可更改。使用靜態(tài)ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無(wú)法進(jìn)行。使用ARP服務(wù)器，通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。使用ARP欺騙防護(hù)軟件，如ARP防火墻。及時(shí)發(fā)現(xiàn)正在進(jìn)行ARP欺騙的主機(jī)并將其隔離。第九十頁(yè)，共151頁(yè)。ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表假設(shè)我們事先已知網(wǎng)關(guān)54的MAC地址為：00-0f-7a-02-00-4b查看主機(jī)當(dāng)前的ARP表，命令為arp–a，可以查看到當(dāng)前的ARP表中的記錄，都是動(dòng)態(tài)的把網(wǎng)關(guān)的arp記錄設(shè)置成靜態(tài)，命令為arp-s5400-0f-7a-02-00-4b再次用arp–a命令查看ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的ARP記錄已經(jīng)設(shè)置成靜態(tài)，操作過(guò)程見(jiàn)下頁(yè)第九十一頁(yè)，共151頁(yè)。ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表第九十二頁(yè)，共151頁(yè)。ARP欺騙攻擊的防范示例：ARP防火墻()第九十三頁(yè)，共151頁(yè)。5.4電子郵件欺騙及防御技術(shù)5.4.1電子郵件欺騙的原理5.4.2電子郵件欺騙的防御第九十四頁(yè)，共151頁(yè)。5.4.1電子郵件欺騙的原理攻擊者使用電子郵件欺騙有三個(gè)目的：第一，隱藏自己的身份。第二，如果攻擊者想冒充別人，他能假冒那個(gè)人的電子郵件。第三，電子郵件欺騙能被看作是社會(huì)工程的一種表現(xiàn)形式。第九十五頁(yè)，共151頁(yè)。5.4.1電子郵件欺騙的原理一個(gè)郵件系統(tǒng)的傳輸包含用戶代理（UserAgent）、傳輸代理（TransferAgent）及投遞代理（DeliveryAgent）三大部分。用戶代理是一個(gè)用戶端發(fā)信和收信的程序，負(fù)責(zé)將信件按照一定的標(biāo)準(zhǔn)包裝，然后送到郵件服務(wù)器，將信件發(fā)出或由郵件服務(wù)器收回。傳輸代理則負(fù)責(zé)信件的交換和傳輸，將信件傳送至適當(dāng)?shù)泥]件服務(wù)器。再由投遞代理將信件分發(fā)至最終用戶的郵箱。在正常的情況下，郵件會(huì)盡量將發(fā)送者的名字和地址包括進(jìn)郵件頭信息中，但是，有時(shí)候，發(fā)送者希望將郵件發(fā)送出去而不希望收件者知道是誰(shuí)發(fā)的，這種發(fā)送郵件的方法稱為匿名郵件。實(shí)現(xiàn)匿名的一種最簡(jiǎn)單的方法，是簡(jiǎn)單地改變電子郵件軟件里的發(fā)送者的名字，但通過(guò)郵件頭的其它信息，仍能夠跟蹤發(fā)送者。另一種比較徹底的匿名方式是讓其他人發(fā)送這個(gè)郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了?，F(xiàn)在因特網(wǎng)上有大量的匿名轉(zhuǎn)發(fā)者（或稱為匿名服務(wù)器）。第九十六頁(yè)，共151頁(yè)。5.4.1電子郵件欺騙的原理執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級(jí)別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址直接使用偽造的E-mail地址遠(yuǎn)程登錄到SMTP端口發(fā)送郵件第九十七頁(yè)，共151頁(yè)。利用相似的電子郵件地址這主要是利用人們的大意心理。攻擊者找到一個(gè)受害者熟悉的名字。有了這個(gè)名字后，攻擊者注冊(cè)一個(gè)看上去像受害者熟悉的名字的郵件地址。這樣收信人很可能會(huì)回復(fù)這個(gè)郵箱發(fā)來(lái)信，這樣攻擊者就有得到想要信息的可能性。第九十八頁(yè)，共151頁(yè)。直接使用偽造的Email地址SMTP協(xié)議（即簡(jiǎn)單郵件傳輸協(xié)議）有著一個(gè)致命的缺陷：它所遵循過(guò)于信任的原則，沒(méi)有設(shè)計(jì)身份驗(yàn)證系統(tǒng)。SMTP建立在假定人們的身份和他們所聲稱一致的基礎(chǔ)之上，沒(méi)有對(duì)郵件發(fā)送者的身份進(jìn)行驗(yàn)證。這使得人們可以隨意構(gòu)造發(fā)件人地址來(lái)發(fā)送郵件。下頁(yè)我們通過(guò)修改郵件客戶端軟件的設(shè)置來(lái)示例這一點(diǎn)。第九十九頁(yè)，共151頁(yè)。直接使用偽造的Email地址

對(duì)于那些沒(méi)有設(shè)置SMTP身份驗(yàn)證功能的郵件服務(wù)器，例如右圖所示的Outlook郵件客戶軟件就不需要做相應(yīng)的設(shè)置，當(dāng)用戶使用郵件客戶軟件發(fā)出電子郵件時(shí)，發(fā)送郵件服務(wù)器不會(huì)對(duì)發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn)，因此攻擊者能夠隨意指定他想使用的所有地址，而這些地址當(dāng)然會(huì)作為郵件源出現(xiàn)在收件人的信中。第一百頁(yè)，共151頁(yè)。直接使用偽造的Email地址

此外，在右圖所示的例子中，攻擊者還能夠指定他想要的任何郵件返回地址。因此當(dāng)用戶回信時(shí)，答復(fù)回到攻擊者所掌握的郵箱test@test，而不是回到被盜用了地址的人那里。第一百零一頁(yè)，共151頁(yè)。遠(yuǎn)程登錄到SMTP端口SMTP協(xié)議一般使用25號(hào)端口，郵件服務(wù)器通過(guò)它在互聯(lián)網(wǎng)上發(fā)送郵件。執(zhí)行電子郵件欺騙的一個(gè)比較復(fù)雜的方法是遠(yuǎn)程登錄到郵件服務(wù)器的25號(hào)端口發(fā)送郵件。第一百零二頁(yè)，共151頁(yè)。遠(yuǎn)程登錄到25號(hào)端口(2)攻擊者首先找到郵件服務(wù)器的IP地址，或者通過(guò)運(yùn)行端口掃描程序來(lái)判斷哪些機(jī)器是25號(hào)端口開(kāi)放的郵件服務(wù)器。在攻擊者有了一臺(tái)25號(hào)端口開(kāi)放的機(jī)器和一臺(tái)正在運(yùn)行的郵件服務(wù)器后，輸入下面的命令：telnetIP地址

25在連接上以后，再輸入下面的內(nèi)容：

HELO MAILFROM:欺騙偽裝的mail地址

RCPTTO:收件的受害者mail地址

DATA

郵件的內(nèi)容第一百零三頁(yè)，共151頁(yè)。示例：遠(yuǎn)程登錄25端口的Email欺騙實(shí)驗(yàn)環(huán)境局域網(wǎng)mail服務(wù)器為50Mail服務(wù)器不需要身份驗(yàn)證內(nèi)有兩個(gè)用戶分別為：實(shí)驗(yàn)方式偽裝成給發(fā)郵件第一百零四頁(yè)，共151頁(yè)。Email欺騙過(guò)程—telnet到服務(wù)器通過(guò)telnet，連接到郵件服務(wù)器的25端口。在cmd.exe下使用的命令：

telnet5025結(jié)果如圖所示，說(shuō)明已經(jīng)連接到了25端口第一百零五頁(yè)，共151頁(yè)。Email欺騙過(guò)程—發(fā)送郵件內(nèi)容220nipcoaMagicWinmailServer2.4(Build0530)ESMTPreadyhelo250nipcoaMagicWinmailServer2.4(Build0530)mailfrom:250okrcptto:250okdata354goaheadsubject:testto:from:thisisatest.250okmessageacceptedfordeliveryquit221nipcoaMagicWinmailServer2.4(Build0530)紅色部分是根據(jù)SMTP協(xié)議自行輸入的內(nèi)容；黑色部分是服務(wù)器的返回信息。說(shuō)明第一百零六頁(yè)，共151頁(yè)。Email欺騙過(guò)程—發(fā)送郵件內(nèi)容截屏第一百零七頁(yè)，共151頁(yè)。Email欺騙過(guò)程—結(jié)果用戶將收到來(lái)自的郵件，如圖所示。但是并不知道自己發(fā)送了郵件。試想，如果郵件的內(nèi)容里有病毒或者其它惡意代碼，且信任，那么將會(huì)是一件多么危險(xiǎn)的事情啊。第一百零八頁(yè)，共151頁(yè)。5.4.2電子郵件欺騙的防御做為互聯(lián)網(wǎng)用戶，必須時(shí)刻樹(shù)立風(fēng)險(xiǎn)意識(shí)，不要隨意打開(kāi)一個(gè)不可信任的郵件。此外，下面介紹幾種防范方法分別從這幾個(gè)方面入手：郵件接收者郵件發(fā)送者郵件服務(wù)器郵件加密第一百零九頁(yè)，共151頁(yè)。防范方法—郵件接收者做為郵件接收者來(lái)說(shuō)，用戶需要合理配置郵件客戶端，使每次總能顯示出完整的電子郵件地址，而不是僅僅顯示別名，完整的電子郵件地址能提供一些跡象表明正在發(fā)生一些不平常的事情。用戶應(yīng)該注意檢驗(yàn)發(fā)件人字段，不要被相似的發(fā)信地址所蒙蔽。第一百一十頁(yè)，共151頁(yè)。防范方法—郵件發(fā)送者做為郵件發(fā)送者來(lái)說(shuō)，如果你使用foxmail或者outlook之類的郵件客戶端，你必須保護(hù)好這些郵件客戶端，防止他人對(duì)客戶端的設(shè)置進(jìn)行修改。第一百一十一頁(yè)，共151頁(yè)。防范方法—郵件服務(wù)器對(duì)于郵件服務(wù)器提供方來(lái)說(shuō)，采用的SMTP身份驗(yàn)證機(jī)制。原來(lái)使用SMTP協(xié)議發(fā)送郵件的時(shí)候并不需要任何驗(yàn)證，身份欺騙極易實(shí)現(xiàn)?，F(xiàn)在將POP協(xié)議收取郵件需要用戶名/密碼驗(yàn)證的思想移至到SMTP協(xié)議，發(fā)送郵件也需要類似的驗(yàn)證。絕大多數(shù)郵件服務(wù)提供商都是采用的這種做法，通常是使用與接收郵件相同的用戶名和密碼來(lái)發(fā)送郵件。采用這種方法之后，雖然SMTP協(xié)議安全性的問(wèn)題仍然無(wú)法從根本上得到解決，但是電子郵件欺騙已經(jīng)變得不像過(guò)去那么容易了。第一百一十二頁(yè)，共151頁(yè)。防范方法—PGP加密還有一種可能的解決方法是使用公鑰加密，其中應(yīng)用最廣泛的就是PGP郵件加密。PGP(PrettyGoodPrivacy)是一個(gè)可以讓您的電子郵件擁有保密功能的程序。藉此你可以將你的郵件加密，一旦加密后，郵件看起來(lái)是一堆無(wú)意義的亂碼。PGP提供了極強(qiáng)的保護(hù)功能，即使是最先進(jìn)的解碼分析技術(shù)也無(wú)法解讀加密后的文字。PGP加密與解密不像其它傳統(tǒng)加密的方式，而是以公鑰密碼學(xué)為基礎(chǔ)的。第一百一十三頁(yè)，共151頁(yè)。防范方法—PGP加密（2）舉例來(lái)說(shuō)，當(dāng)你要傳送一封保密信或檔案給某人時(shí)，必須先取得那人的公鑰（PublicKey），然后利用這個(gè)公鑰將信件加密。當(dāng)某人收到您加密的信件后，他必須利用相應(yīng)的私鑰(SecretKey)來(lái)解密。因此，除非其它人擁有收信者的私鑰，否則無(wú)法解開(kāi)發(fā)信人所加密的信件。同時(shí)，收信人在使用私鑰解密時(shí)，還必須輸入通行碼，如此又對(duì)加密后的郵件多了一層保護(hù)。第一百一十四頁(yè)，共151頁(yè)。5.5DNS欺騙及防御技術(shù)5.5.1DNS工作原理5.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟5.5.3DNS欺騙的局限性及防御第一百一十五頁(yè)，共151頁(yè)。5.5.1DNS工作原理DNS的全稱是DomainNameServer即域名服務(wù)器，當(dāng)一臺(tái)主機(jī)發(fā)送一個(gè)請(qǐng)求要求解析某個(gè)域名時(shí)，它會(huì)首先把解析請(qǐng)求發(fā)到自己的DNS服務(wù)器上。DNS的功能是提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。DNS服務(wù)器里有一個(gè)“DNS緩存表”，里面存儲(chǔ)了此DNS服務(wù)器所管轄域內(nèi)主機(jī)的域名和IP地址的對(duì)應(yīng)關(guān)系。第一百一十六頁(yè)，共151頁(yè)。5.5.1DNS工作原理例如，客戶主機(jī)需要訪問(wèn)時(shí)，首先要知道的IP地址?？蛻糁鳈C(jī)獲得IP地址的唯一方法就是向所在網(wǎng)絡(luò)設(shè)置的DNS服務(wù)器進(jìn)行查詢。查詢過(guò)程分四步進(jìn)行，見(jiàn)下頁(yè)圖。第一百一十七頁(yè)，共151頁(yè)。5.5.1DNS工作原理

上圖中有三臺(tái)主機(jī)：客戶主機(jī)、域DNS服務(wù)器和域DNS服務(wù)器。其中域DNS服務(wù)器直接為客戶主機(jī)提供DNS服務(wù)。下面對(duì)這四個(gè)過(guò)程進(jìn)行解釋。

第一百一十八頁(yè)，共151頁(yè)。DNS域名解析過(guò)程1）客戶主機(jī)軟件(例如Web瀏覽器)需要對(duì)進(jìn)行解析，它向本地DNS服務(wù)器(域)發(fā)送域名解析請(qǐng)求，要求回復(fù)的IP地址；2)

由于本地DNS服務(wù)器的數(shù)據(jù)庫(kù)中沒(méi)有的記錄，同時(shí)緩存中也沒(méi)有記錄，所以，它會(huì)依據(jù)DNS協(xié)議機(jī)器配置向網(wǎng)絡(luò)中的其他DNS服務(wù)器提交請(qǐng)求。這個(gè)查詢請(qǐng)求逐級(jí)遞交，直到域的真正權(quán)威DNS服務(wù)器收到請(qǐng)求(這里省略了尋找域DNS服務(wù)器的迭代過(guò)程，假定本地DNS服務(wù)器最終找到了所需要的信息)；第一百一十九頁(yè)，共151頁(yè)。DNS域名解析過(guò)程（2）3)

域DNS服務(wù)器將向域DNS服務(wù)器返回IP查詢結(jié)果(假定為)；4)

域的本地DNS服務(wù)器最終將查詢結(jié)果返回給客戶主機(jī)瀏覽器，并將這一結(jié)果存儲(chǔ)到其DNS緩存當(dāng)中，以便以后使用。在一段時(shí)間里，客戶主機(jī)再次訪問(wèn)時(shí)，就可以不需要再次轉(zhuǎn)發(fā)查詢請(qǐng)求，而直接從緩存中提取記錄向客戶端返回IP地址了。 經(jīng)過(guò)上面幾步，客戶主機(jī)獲得了它所期待的網(wǎng)站的IP地址，這樣整個(gè)域名解析過(guò)程就結(jié)束了。第一百二十頁(yè)，共151頁(yè)。5.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟當(dāng)客戶主機(jī)向本地DNS服務(wù)器查詢域名的時(shí)候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會(huì)再向其他服務(wù)器進(jìn)行查詢，而是直接將這條記錄返回給用戶。而入侵者欲實(shí)現(xiàn)DNS欺騙，關(guān)鍵的一個(gè)條件就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。第一百二十一頁(yè)，共151頁(yè)。5.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟在上面例子中，假如域DNS服務(wù)器返回的是經(jīng)過(guò)攻擊者篡改的信息，比如將指向另一個(gè)IP地址，域DNS服務(wù)器將會(huì)接受這個(gè)結(jié)果，并將錯(cuò)誤的信息存儲(chǔ)在本地Cache中。第一百二十二頁(yè)，共151頁(yè)。以后在這條緩存記錄的生存期內(nèi)，再向域DNS服務(wù)器發(fā)送的對(duì)的域名解析請(qǐng)求，所得到的IP地址都將是被篡改過(guò)的。2023/4/19網(wǎng)絡(luò)入侵與防范講義1235.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟第一百二十三頁(yè)，共151頁(yè)。5.5.2DNS欺騙的原理及實(shí)現(xiàn)步驟有了對(duì)DNS服務(wù)器進(jìn)行欺騙的可能，攻擊者怎樣偽造DNS應(yīng)答信息就成了問(wèn)題的焦點(diǎn)。目前有兩種可能情況下的實(shí)現(xiàn)辦法:攻擊者可以控制本地的域名服務(wù)器攻擊者無(wú)法控制任何DNS服務(wù)器第一百二十四頁(yè)，共151頁(yè)。第一種可能情況一種可能是，攻擊者可以控制本地的域名服務(wù)器(假定是域的權(quán)威)，在其數(shù)據(jù)庫(kù)中增加一個(gè)附加記錄，將攻擊目標(biāo)的域名(例如)指向攻擊者的欺騙IP。緊接著，攻擊者向域DNS服務(wù)器發(fā)送對(duì)域名的解析請(qǐng)求。域的DNS服務(wù)器自然轉(zhuǎn)而向域的DNS服務(wù)器發(fā)送請(qǐng)求。第一百二十五頁(yè)，共151頁(yè)。第一種可能情況(2)這時(shí)候，本地的域名服務(wù)器除了返回正常的的IP地址外，還會(huì)在返回包中附加的映射記錄。如果域的DNS服務(wù)器允許緩存所有收到的信息的話，發(fā)過(guò)來(lái)到的偽造映射記錄便“注射”到其Cache中了。第一百二十六頁(yè)，共151頁(yè)。第二種可能情況另一種更現(xiàn)實(shí)的情況，就是攻擊者無(wú)法控制任何DNS服務(wù)器，但他可以控制該服務(wù)所在網(wǎng)絡(luò)的某臺(tái)主機(jī)，并可以監(jiān)聽(tīng)該網(wǎng)絡(luò)中的通信情況。這時(shí)候，黑客要對(duì)遠(yuǎn)程的某個(gè)DNS服務(wù)器進(jìn)行欺騙攻擊，所采用的手段很像IP欺騙攻擊：首先，黑客要冒充某個(gè)域名服務(wù)器的IP地址；其次，黑客要能預(yù)測(cè)目標(biāo)域名服務(wù)器所發(fā)送DNS數(shù)據(jù)包的ID號(hào)。確定目標(biāo)DNS服務(wù)器的ID號(hào)即為DNS欺騙攻擊的關(guān)鍵所在第一百二十七頁(yè)，共151頁(yè)。第二種可能情況(2)DNS數(shù)據(jù)是通過(guò)UDP協(xié)議傳遞的，在DNS服務(wù)器之間進(jìn)行域名解析通信時(shí)，請(qǐng)求方和應(yīng)答方都使用UDP53端口，而這樣的通信過(guò)程往往是并行的，也就是說(shuō)，DNS域名服務(wù)器之間同時(shí)可能會(huì)進(jìn)行多個(gè)解析過(guò)程，既然不同的過(guò)程使用相同的端口號(hào)，那靠什么來(lái)彼此區(qū)別呢?答案就在DNS報(bào)文里面。DNS報(bào)文格式頭部的ID域，是用于區(qū)別不同會(huì)話過(guò)程的，這有點(diǎn)類似于TCP中的序列號(hào)，域名解析的請(qǐng)求方和應(yīng)答方只有使用相同的ID號(hào)才能證明是同一個(gè)會(huì)話(由請(qǐng)求方?jīng)Q定所使用的ID)。不同的解析會(huì)話，采用不同的ID號(hào)。第一百二十八頁(yè)，共151頁(yè)。第二種可能情況(3)在一段時(shí)期內(nèi)，DNS服務(wù)器一般都采用一種有章可循的ID生成機(jī)制，例如，對(duì)于每次發(fā)送的域名解析請(qǐng)求，依次將數(shù)據(jù)包中的ID加1。如此一來(lái)，攻擊者如果可以在某個(gè)DNS服務(wù)器的網(wǎng)絡(luò)中進(jìn)行嗅探，他只要向遠(yuǎn)程的DNS服務(wù)器發(fā)送一個(gè)對(duì)本地某域名的解析請(qǐng)求，通過(guò)嗅探得到的來(lái)自目標(biāo)DNS服務(wù)器的請(qǐng)求數(shù)據(jù)包（因?yàn)檫h(yuǎn)程DNS服務(wù)器肯定會(huì)轉(zhuǎn)而請(qǐng)求本地的DNS服務(wù)器），攻擊者就可以得到想要的ID號(hào)了。第一百二十九頁(yè)，共151頁(yè)。第二種可能情況(4)例子：

域的DNS服務(wù)器向域的DNS服務(wù)器請(qǐng)求解析，如果攻擊者所偽造的DNS應(yīng)答包中含有正確的ID號(hào)，并且搶在域的DNS服務(wù)器之前向域的DNS服務(wù)器返回偽造信息，欺騙攻擊就將獲得成功的。第一百三十頁(yè)，共151頁(yè)。第二種可能情況(5)其實(shí)，即使攻擊者無(wú)法監(jiān)聽(tīng)某個(gè)擁有DNS服務(wù)器的網(wǎng)絡(luò)，也有辦法得到目標(biāo)DNS服務(wù)器的ID號(hào)。首先，他向目標(biāo)DNS服務(wù)器請(qǐng)求對(duì)某個(gè)不存在域名地址（但該域是存在的）進(jìn)行解析。然后，攻擊者冒充所請(qǐng)求域的DNS服務(wù)器，向目標(biāo)DNS服務(wù)器連續(xù)發(fā)送應(yīng)答包，這些包中的ID號(hào)依次遞增。過(guò)一段時(shí)間，攻擊者再次向目標(biāo)DNS服務(wù)器發(fā)送針對(duì)該域名的解析請(qǐng)求，如果得到返回結(jié)果，就說(shuō)明目標(biāo)DNS服務(wù)器接受了剛才黑客的偽造應(yīng)答，繼而說(shuō)明黑客猜測(cè)的ID號(hào)在正確的區(qū)段上，否則，攻擊者可以再次嘗試。第一百三十一頁(yè)，共151頁(yè)。第二種可能情況(6)實(shí)際攻擊中，第二種攻擊方法實(shí)現(xiàn)比較復(fù)雜。知道了ID號(hào)，并且知道了ID號(hào)的增長(zhǎng)規(guī)律，以下的過(guò)程類似于IP欺騙攻擊。第一百三十二頁(yè)，共151頁(yè)。一次DNS欺騙攻擊的完整過(guò)程第一百三十三頁(yè)，共151頁(yè)。5.5.3DNS欺騙的局限性及防御DNS欺騙主要存在兩點(diǎn)局限性：攻擊者不能替換緩存中已經(jīng)存在的記錄DNS服務(wù)器存在緩