第5章：欺騙攻擊及防御技術(shù)要點課件

第5章欺騙攻擊及防御技術(shù)張光華信息科學與工程學院52023/12/52本章內(nèi)容安排5.1概述5.2IP欺騙及防御技術(shù)5.3ARP欺騙及防御技術(shù)5.4電子郵件欺騙及防御技術(shù)5.5DNS欺騙及防御技術(shù)5.6Web欺騙及防御技術(shù)5.7小結(jié)2023/12/535.1概述在Internet上計算機之間相互進行的交流建立在兩個前提之下：認證（Authentication）信任（Trust）2023/12/545.1概述認證:

認證是網(wǎng)絡(luò)上的計算機用于相互間進行識別的一種鑒別過程，經(jīng)過認證的過程，獲準相互交流的計算機之間就會建立起相互信任的關(guān)系。2023/12/555.1概述信任:

信任和認證具有逆反關(guān)系，即如果計算機之間存在高度的信任關(guān)系，則交流時就不會要求嚴格的認證。而反之，如果計算機之間沒有很好的信任關(guān)系，則會進行嚴格的認證。2023/12/565.1概述欺騙實質(zhì)上就是一種冒充身份通過認證騙取信任的攻擊方式。攻擊者針對認證機制的缺陷，將自己偽裝成可信任方，從而與受害者進行交流，最終攫取信息或是展開進一步攻擊。2023/12/575.1概述目前比較流行的欺騙攻擊主要有5種：IP欺騙：使用其他計算機的IP來騙取連接，獲得信息或者得到特權(quán)；ARP欺騙：利用ARP協(xié)議的缺陷，把自己偽裝成“中間人”，效果明顯，威力驚人；電子郵件欺騙：電子郵件發(fā)送方地址的欺騙；DNS欺騙：域名與IP地址轉(zhuǎn)換過程中實現(xiàn)的欺騙；Web欺騙：創(chuàng)造某個萬維網(wǎng)網(wǎng)站的復制影像，從而達到欺騙網(wǎng)站用戶目的的攻擊。2023/12/585.2IP欺騙及防御技術(shù)5.2.1基本的IP欺騙5.2.2IP欺騙的高級應(yīng)用——TCP會話劫持5.2.3IP欺騙攻擊的防御2023/12/595.2.1基本的IP欺騙最基本的IP欺騙技術(shù)有三種：簡單的IP地址變化源路由攻擊利用Unix系統(tǒng)的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡單，因此效果也十分有限。2023/12/510簡單的IP地址變化攻擊者將一臺計算機的IP地址修改為其它主機的地址，以偽裝冒充其它機器。首先了解一個網(wǎng)絡(luò)的具體配置及IP分布，然后改變自己的地址，以假冒身份發(fā)起與被攻擊方的連接。這樣做就可以使所有發(fā)送的數(shù)據(jù)包都帶有假冒的源地址。2023/12/511簡單的IP地址變化(2)

攻擊者使用假冒的IP地址向一臺機器發(fā)送數(shù)據(jù)包，但沒有收到任何返回的數(shù)據(jù)包，這被稱之為盲目飛行攻擊（flyingblindattack），或者叫做單向攻擊（one-wayattack）。因為只能向受害者發(fā)送數(shù)據(jù)包，而不會收到任何應(yīng)答包。2023/12/512簡單的IP地址變化(3)利用這種方法進行欺騙攻擊有一些限制，比如說無法建立完整的TCP連接；但是，對于UDP這種面向無連接的傳輸協(xié)議就不會存在建立連接的問題，因此所有單獨的UDP數(shù)據(jù)包都會被發(fā)送到受害者的系統(tǒng)中。2023/12/513源路由攻擊簡單的IP地址變化很致命的缺陷是攻擊者無法接收到返回的信息流。為了得到從目的主機返回源地址主機的數(shù)據(jù)流，有兩個方法：一個方法是攻擊者插入到正常情況下數(shù)據(jù)流經(jīng)過的通路上；另一種方法就是保證數(shù)據(jù)包會經(jīng)過一條給定的路徑，而且作為一次欺騙，保證它經(jīng)過攻擊者的機器。2023/12/514源路由機制(2)第一種方法其過程如圖所示:

但實際中實現(xiàn)起來非常困難，互聯(lián)網(wǎng)采用的是動態(tài)路由，即數(shù)據(jù)包從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。2023/12/515源路由機制(3)第二種方法是使用源路由機制，保證數(shù)據(jù)包始終會經(jīng)過一條經(jīng)定的途徑，而攻擊者機器在該途徑中。源路由機制包含在TCP/IP協(xié)議組中。它允許用戶在IP數(shù)據(jù)包包頭的源路由選項字段設(shè)定接收方返回的數(shù)據(jù)包要經(jīng)過的路徑。某些路由器對源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來傳送應(yīng)答數(shù)據(jù)。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數(shù)據(jù)。2023/12/516源路由機制(4)它包括兩種類型的源路由：寬松的源站選擇（LSR）：發(fā)送端指明數(shù)據(jù)流必須經(jīng)過的IP地址清單，但是也可以經(jīng)過除這些地址以外的一些地址。嚴格的源路由選擇（SRS）：發(fā)送端指明IP數(shù)據(jù)包必須經(jīng)過的確切地址。如果沒有經(jīng)過這一確切路徑，數(shù)據(jù)包會被丟棄，并返回一個ICMP報文。2023/12/517源路由機制的應(yīng)用源站選路給攻擊者帶來了很大的便利。攻擊者可以使用假冒地址A向受害者B發(fā)送數(shù)據(jù)包，并指定了寬松的源站選路或者嚴格路由選擇(如果確定能經(jīng)過所填入的每個路由的話)，并把自己的IP地址X填入地址清單中。當B在應(yīng)答的時候，也應(yīng)用同樣的源路由，因此，數(shù)據(jù)包返回被假冒主機A的過程中必然會經(jīng)過攻擊者X。這樣攻擊者不再是盲目飛行了，因為它能獲得完整的會話信息。2023/12/518利用信任關(guān)系在Unix世界中，不同主機的賬戶間可以建立一種特殊的信任關(guān)系，以方便機器之間的訪問。這常常用于對大量機器的系統(tǒng)管理。單位里經(jīng)常指定一個管理員管理幾十個區(qū)域或者甚至上百臺機器。管理員一般都會使用信任關(guān)系和UNIX的r*命令從一個系統(tǒng)方便的切換到另一個系統(tǒng)。r*命令允許一個人登錄遠程機器而不必提供口令。這里的信任關(guān)系是基于IP地址進行認證的，而不是詢問用戶名和口令。也就是說將會認可來自可信IP地址的任何人。2023/12/519利用信任關(guān)系(2)從便利的角度看，信任的關(guān)系是非常有效的，但是從安全的角度來看，是不可取的。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺的機器，他就能登錄信任該IP的任何機器上。下面是經(jīng)常使用的一些r*命令：（1）rlogin：remotelogin，遠程登錄；（2）rsh：remoteshell，遠程shell；（3）rcp：remotecopy,遠程拷貝。2023/12/520利用信任關(guān)系(3)例子：主機A、B上各有一個賬戶，在使用當中，在A上使用時需要輸入A上的相應(yīng)賬戶，在B上使用時必須輸入在B上的賬戶，主機A和B把用戶當作兩個互不相關(guān)的用戶。為了減少切換時的反復確認，可以在主機A和主機B中建立起兩個賬戶的全雙工信任關(guān)系。這可通過在A、B的登陸目錄上各建立一個hosts文件達到。在主機A的登陸目錄下建立一個.rhosts文件：‘echo“BusernameB”>~/.rhosts’這就建立起了A對B的信任關(guān)系。從主機B中就可以直接使用任何r*命令直接登陸到主機A中，而不用向遠程主機提供密碼認證。B對A的信任關(guān)系與之類似。這些r*命令允許基于地址的認證方式，它們會根據(jù)服務(wù)請求者的IP地址決定同意還是拒絕訪問。2023/12/521利用信任關(guān)系(4)這種方法一度被認為是IP欺騙最主要的方法。但是，這種欺騙方法只能在Unix環(huán)境下使用，而且也比較陳舊了。2023/12/5225.2.2IP欺騙高級應(yīng)用—TCP會話劫持基本原理相關(guān)基礎(chǔ)TCP會話劫持過程TCP會話劫持的危害實現(xiàn)TCP會話劫持的兩個小工具2023/12/523基本原理會話劫持就是接管一個現(xiàn)存動態(tài)會話的過程，換句話說，攻擊者通過會話劫持可以替代原來的合法用戶，同時能夠監(jiān)視并掌握會話內(nèi)容。此時，攻擊者可以對受害者的回復進行記錄，并在接下來的時間里對其進行響應(yīng)，展開進一步的欺騙和攻擊。會話劫持結(jié)合了嗅探及欺騙技術(shù)。2023/12/524基本原理(2)在一般的欺騙攻擊中攻擊者并不是積極主動地使一個用戶下線來實現(xiàn)他針對受害目標的攻擊，而是僅僅裝作是合法用戶。此時，被冒充的用戶可能并不在線上，而且它在整個攻擊中不扮演任何角色，因此攻擊者不會對它發(fā)動進攻。但是在會話劫持中，為了接管整個會話過程，攻擊者需要積極攻擊使被冒充用戶下線。2023/12/525基本原理(3)一般的欺騙會話劫持2023/12/526相關(guān)基礎(chǔ)TCP三步握手連接建立序列號機制2023/12/527TCP三步握手連接建立2023/12/528序列號機制序列號是一個32位計數(shù)器，這就意味著可以有大于4億種的可能性組合。簡單地說，序列號用來說明接收方下一步將要接收的數(shù)據(jù)包的順序。也就是說，序列號設(shè)置了數(shù)據(jù)包放入數(shù)據(jù)流的順序，接收方就可以利用序列號告訴發(fā)送方哪些數(shù)據(jù)包已經(jīng)收到，哪些數(shù)據(jù)包還未收到，于是發(fā)送方就能夠依此重發(fā)丟失的數(shù)據(jù)包。2023/12/529序列號機制(2)例如，如果發(fā)送方發(fā)送了4個數(shù)據(jù)包，它們的序列號分別是1258、1256、1257和1255，接收方不但可以根據(jù)發(fā)送方發(fā)包的序列號將數(shù)據(jù)包進行歸序，同時接收方還可以用發(fā)送方的序列號確認接收的數(shù)據(jù)包。在這種情況下，接收方送回的確認信息是1259，這就等于是說，“下一個我期望從發(fā)送方收到的是序列號為1259的數(shù)據(jù)包”。2023/12/530序列號機制(3)實際上為了完成上述目的，這里存在：一個屬于發(fā)送方的序列號和另一個是屬于接收方的應(yīng)答號。發(fā)送方發(fā)送數(shù)據(jù)包使用發(fā)送方的序列號，同時當接收方確認從發(fā)送方接收數(shù)據(jù)包時，它也用發(fā)送方的序列號來進行確認。在另一方面，接收方用屬于自己的序列號送回數(shù)據(jù)。2023/12/531序列號機制(4)數(shù)據(jù)傳輸過程中序列號和應(yīng)答號之間的關(guān)系：第二個數(shù)據(jù)包（B－>A）的SEQ=第一個數(shù)據(jù)包（A－>B）的ACK；第二個數(shù)據(jù)包（B－>A）的ACK=第一個數(shù)據(jù)包（A－>B）的SEQ+第一個數(shù)據(jù)包（A－>B）的傳輸數(shù)據(jù)長度。2023/12/532序列號機制(5)再進一步推廣，對于整個序列號計數(shù)體制，我們可以得到下面這個結(jié)論：序列號是隨著傳輸數(shù)據(jù)字節(jié)數(shù)遞增的。如果傳輸數(shù)據(jù)字節(jié)數(shù)為10，序列號就增加10；若傳輸?shù)臄?shù)據(jù)為20字節(jié)，序列號就應(yīng)該相應(yīng)增加20。2023/12/533序列號機制(6)從上面的講解中，我們可以清楚地認識到：序列號和應(yīng)答號之間存在著明確的對應(yīng)關(guān)系。因此序列號和應(yīng)答號是完全有可能預測的，只需要獲取最近的會話數(shù)據(jù)包，就可以猜測下一次通話中的SEQ和ACK。這一局面是TCP協(xié)議固有缺陷造成的，由此帶來的安全威脅也是無法回避的。2023/12/534TCP會話劫持過程step1：發(fā)現(xiàn)攻擊目標step2：確認動態(tài)會話step3：猜測序列號step4：使客戶主機下線step5：接管會話2023/12/535step1：發(fā)現(xiàn)攻擊目標對于尋找合適的目標有兩個關(guān)鍵的問題。首先，通常攻擊者希望這個目標是一個準予TCP會話連接（例如Telnet和FTP等）的服務(wù)器。其次，能否檢測數(shù)據(jù)流也是一個比較重要的問題，因為在攻擊的時候需要猜測序列號。這就需要嗅探之前通信的數(shù)據(jù)包，對于交換網(wǎng)絡(luò)環(huán)境，可能還需要使用ARP欺騙。2023/12/536step2：確認動態(tài)會話攻擊者如何尋找動態(tài)會話？與大多數(shù)攻擊不同，會話劫持攻擊適合在網(wǎng)絡(luò)流通量達到高峰時才會發(fā)生的。首先，他有很多供選擇的會話；其次，網(wǎng)絡(luò)流通量越大則被發(fā)現(xiàn)的可能就越小。如果只有一個用戶進行連接并數(shù)次掉線，那么就很有可能引起那個用戶的懷疑。但是，如果網(wǎng)絡(luò)流通量很大并且有很多的用戶進行連接，那么用戶們很有可能忽略掉線后面隱藏的問題，也許只是認為這是由于網(wǎng)絡(luò)流通過大而引起的。2023/12/537step3：猜測序列號TCP區(qū)分正確數(shù)據(jù)包和錯誤數(shù)據(jù)包僅通過它們的SEQ/ACK序列號。序列號卻是隨著時間的變化而改變的。因此，攻擊者必須成功猜測出序列號。通過嗅探或者ARP欺騙，先發(fā)現(xiàn)目標機正在使用的序列號，再根據(jù)序列號機制，可以猜測出下一對SEQ/ACK序列號。同時，攻擊者若以某種方法擾亂客戶主機的SEQ/ACK，服務(wù)器將不再相信客戶主機正確的數(shù)據(jù)包，從而可以偽裝為客戶主機，使用正確的SEQ/ACK序列號，現(xiàn)在攻擊主機就可以與服務(wù)器進行連接，這樣就搶劫一個會話連接。2023/12/538step4：使客戶主機下線當攻擊者獲得了序列號后，為了徹底接管這個會話，他就必須使客戶主機下線。使客戶主機下線最簡單的方式就是對其進行拒絕服務(wù)攻擊，從而使其不再繼續(xù)響應(yīng)。服務(wù)器會繼續(xù)發(fā)送響應(yīng)給客戶主機，但是因為攻擊者已經(jīng)掌握了客戶主機，所以該機器就不再繼續(xù)響應(yīng)。2023/12/539step5：接管會話既然攻擊者已經(jīng)獲得了他所需要的一切信息，那么他就可以持續(xù)向服務(wù)器發(fā)送數(shù)據(jù)包并且接管整個會話了。在會話劫持攻擊中，攻擊者通常會發(fā)送數(shù)據(jù)包在受害服務(wù)器上建立一個賬戶，甚至留下某些后門。通過這種方式，攻擊者就可以在任何時候輕松進入系統(tǒng)了。2023/12/540TCP會話劫持的危害就其實現(xiàn)原理而言，任何使用Internet進行通信的主機都有可能受到這種攻擊。會話劫持在理論上是非常復雜的，但是現(xiàn)在產(chǎn)生了簡單適用的會話劫持攻擊軟件，技術(shù)門檻的降低導致了很多“少年攻擊者”的誕生。2023/12/541TCP會話劫持的危害(2)會話劫持攻擊的危害性很大是有原因的。一個最主要的原因就是它并不依賴于操作系統(tǒng)。另一個原因就是它可以被用來進行積極的攻擊，通過攻擊行為可以獲得進入系統(tǒng)的可能。

2023/12/542實現(xiàn)TCP會話劫持的兩個小工具JuggernautJuggernaut是由MikeSchiffman開發(fā)的自由軟件，這個軟件是開創(chuàng)性的，是最先出現(xiàn)的會話攻擊程序之一。它運行在Linux操作系統(tǒng)的終端機上，攻擊者能夠窺探網(wǎng)絡(luò)中所有的會話，并且劫持其中任何一個，攻擊者可以像真正用戶那樣向服務(wù)器提交命令。2023/12/543實現(xiàn)TCP會話劫持的兩個小工具(2)Hunt由PavelKrauz制作的Hunt，是一個集嗅探、截取和會話劫持功能于一身的強大工具。它可以在無論共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)中工作，不僅能夠在混雜模式和ARP欺騙模式下進行嗅探，還具有中斷和劫持動態(tài)會話的能力。2023/12/5445.2.3IP欺騙攻擊的防御防范地址變化欺騙防范源路由欺騙防范信任關(guān)系欺騙防范會話劫持攻擊2023/12/545防范地址變化欺騙

有辦法防止攻擊者使用你的地址發(fā)送消息嗎？可以說，你沒有辦法阻止有人向另一方發(fā)送消息時不用自己的而使用你的地址。 但是，采取一些措施可以有效保護自己免受這種攻擊的欺騙。2023/12/546防范地址變化欺騙(2)方法1：限制用戶修改網(wǎng)絡(luò)配置方法2：入口過濾方法3：出口過濾2023/12/547方法1：限制用戶修改網(wǎng)絡(luò)配置

為了阻止攻擊者使用一臺機器發(fā)起欺騙攻擊，首先需限制那些有權(quán)訪問機器配置信息的人員。這么做就能防止員工執(zhí)行欺騙。2023/12/548方法2：入口過濾

大多數(shù)路由器有內(nèi)置的欺騙過濾器。過濾器的最基本形式是，不允許任何從外面進入網(wǎng)絡(luò)的數(shù)據(jù)包使用單位的內(nèi)部網(wǎng)絡(luò)地址作為源地址。 因此，如果一個來自外網(wǎng)的數(shù)據(jù)包，聲稱來源于本單位的網(wǎng)絡(luò)內(nèi)部，就可以非?？隙ㄋ羌倜暗臄?shù)據(jù)包，應(yīng)該丟棄它。 這種類型的過濾可以保護單位的網(wǎng)絡(luò)不成為欺騙攻擊的受害者。2023/12/549方法3：出口過濾

為了執(zhí)行出口過濾，路由器必須檢查數(shù)據(jù)包，確信源地址是來自本單位局域網(wǎng)的一個地址。 如果不是那樣，這個數(shù)據(jù)包應(yīng)該被丟棄，因為這說明有人正使用假冒地址向另一個網(wǎng)絡(luò)發(fā)起攻擊。離開本單位的任何合法數(shù)據(jù)包須有一個源地址，并且它的網(wǎng)絡(luò)部分與本單位的內(nèi)部網(wǎng)絡(luò)相匹配。2023/12/550防范源路由欺騙保護自己或者單位免受源路由欺騙攻擊的最好方法是設(shè)置路由器禁止使用源路由。事實上人們很少使用源路由做合法的事情。因為這個原因，所以阻塞這種類型的流量進入或者離開網(wǎng)絡(luò)通常不會影響正常的業(yè)務(wù)。2023/12/551防范信任關(guān)系欺騙保護自己免受信任關(guān)系欺騙攻擊最容易的方法就是不使用信任關(guān)系。但是這并不是最佳的解決方案，因為便利的應(yīng)用依賴于信任關(guān)系。但是能通過做一些事情使暴露達到最?。合拗茡碛行湃侮P(guān)系的人員。不允許通過外部網(wǎng)絡(luò)使用信任關(guān)系。2023/12/552防范會話劫持攻擊會話劫持攻擊是非常危險的，因為攻擊者能夠直接接管合法用戶的會話。在其他的攻擊中可以處理那些危險并且將它消除。但是在會話劫持中，消除這個會話也就意味著禁止了一個合法的連接，從本質(zhì)上來說這么做就背離了使用Internet進行連接的目的。2023/12/553防范會話劫持攻擊(2)沒有有效的辦法可以從根本上防范會話劫持攻擊，以下列舉了一些方法可以盡量縮小會話攻擊所帶來危害：進行加密使用安全協(xié)議限制保護措施2023/12/554進行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那么進行會話劫持攻擊也是十分困難的。因此，任何用來傳輸敏感數(shù)據(jù)的關(guān)鍵連接都必須進行加密。2023/12/555使用安全協(xié)議無論何時當用戶連入到一個遠端的機器上，特別是當從事敏感工作或是管理員操作時，都應(yīng)當使用安全協(xié)議。一般來說，有像SSH（SecureShell）這樣的協(xié)議或是安全的Telnet都可以使系統(tǒng)免受會話劫持攻擊。此外，從客戶端到服務(wù)器的VPN（VirtualPrivateNetwork）也是很好的選擇。2023/12/556限制保護措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，那么用戶將會越安全，這是個最小化會話劫持攻擊的方法。攻擊者越難進入系統(tǒng)，那么系統(tǒng)就越不容易受到會話劫持攻擊。在理想情況下，應(yīng)該阻止盡可能多的外部連接和連向防火墻的連接。2023/12/5575.3ARP欺騙攻擊與防御技術(shù)5.3.1ARP背景知識介紹5.3.2ARP欺騙攻擊原理5.3.3ARP欺騙攻擊實例5.3.4ARP欺騙攻擊的檢測與防御5.3.1ARP背景知識介紹ARP基礎(chǔ)知識ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/12/5582023/12/559ARP基礎(chǔ)知識ARP(AddressResolutionProtocol)：地址解析協(xié)議，用于將計算機的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）[RFC826]。屬于鏈路層的協(xié)議。在以太網(wǎng)中，數(shù)據(jù)幀從一個主機到達局域網(wǎng)內(nèi)的另一臺主機是根據(jù)48位的以太網(wǎng)地址（硬件地址）來確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。2023/12/560ARP基礎(chǔ)知識ARP協(xié)議有兩種數(shù)據(jù)包ARP請求包：ARP工作時，送出一個含有目的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，這也就是ARP請求包。它表示：我想與目的IP通信，請告訴我此IP的MAC地址。ARP請求包格式如下：

arpwho-hastellARP應(yīng)答包：當目標主機收到ARP請求包，發(fā)現(xiàn)請求解析的IP地址與本機IP地址相同，就會返回一個ARP應(yīng)答包。它表示：我的主機就是此IP，我的MAC地址是某某某。ARP應(yīng)答包的格式如下：

arpreplyis-at00:00:0c:07:ac:002023/12/561ARP基礎(chǔ)知識ARP緩存表ARP緩存表用于存儲其它主機或網(wǎng)關(guān)的IP地址與MAC地址的對應(yīng)關(guān)系。每臺主機、網(wǎng)關(guān)都有一個ARP緩存表。ARP緩存表里存儲的每條記錄實際上就是一個IP地址與MAC地址對，它可以是靜態(tài)的，也可以是動態(tài)的。如果是靜態(tài)的，那么該條記錄不能被ARP應(yīng)答包修改；如果是動態(tài)的，那么該條記錄可以被ARP應(yīng)答包修改。ARP基礎(chǔ)知識在Windows下查看ARP緩存表的方法使用命令：arp-a2023/12/562ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2023/12/5632023/12/564局域網(wǎng)內(nèi)通信假設(shè)一個局域網(wǎng)內(nèi)主機A、主機B和網(wǎng)關(guān)C，它們的IP地址、MAC地址如下。主機名IP地址MAC地址主機A02-02-02-02-02-02主機B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-012023/12/565局域網(wǎng)內(nèi)通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/12/566局域網(wǎng)內(nèi)通信—通信過程假如主機主機A()要與主機主機B()通訊，它首先會檢查自己的ARP緩存中是否有這個地址對應(yīng)的MAC地址。如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，大致的意思是的MAC地址是什么請告訴。而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機，但是只有這臺主機才會響應(yīng)這個請求包，它會回應(yīng)一個arp包，告知的MAC地址是03-03-03-03-03-03。這樣主機A就得到了主機B的MAC地址，并且它會把這個對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機A與主機B之間的通訊就依靠兩者緩存表里的記錄來通訊，直到通訊停止后兩分鐘，這個對應(yīng)關(guān)系才會被從表中刪除。2023/12/567局域網(wǎng)間通信假設(shè)兩個局域網(wǎng)，其中一個局域網(wǎng)內(nèi)有主機A、主機B和網(wǎng)關(guān)C，另一個局域網(wǎng)內(nèi)有主機D和網(wǎng)關(guān)C。它們的IP地址、MAC地址如下。主機名IP地址MAC地址主機A02-02-02-02-02-02主機B03-03-03-03-03-03網(wǎng)關(guān)C01-01-01-01-01-01主機D04-04-04-04-04-04網(wǎng)關(guān)E05-05-05-05-05-05局域網(wǎng)間通信—網(wǎng)絡(luò)結(jié)構(gòu)圖2023/12/5682023/12/569局域網(wǎng)間通信—通信過程假如主機A()需要和主機D()進行通訊，它首先會發(fā)現(xiàn)這個主機D的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)。這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E。網(wǎng)關(guān)E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機D（）的，它就會檢查自己的ARP緩存（網(wǎng)關(guān)也有自己的ARP緩存），看看里面是否有對應(yīng)的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機D通訊。5.3.2ARP欺騙攻擊原理ARP欺騙攻擊原理ARP欺騙攻擊的危害2023/12/5702023/12/571ARP欺騙原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進行的一種非法攻擊，目的是為了在全交換環(huán)境下實現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的的攻擊者使用。2023/12/572ARP欺騙原理(2)主機在實現(xiàn)ARP緩存表的機制中存在一個不完善的地方，當主機收到一個ARP應(yīng)答包后，它并不會去驗證自己是否發(fā)送過這個ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。ARP欺騙正是利用了這一點。ARP欺騙原理—原理圖2023/12/5732023/12/574ARP欺騙原理—欺騙過程主機B()向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-03-03，主機B同時向主機A發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-03-03。這樣，A發(fā)給C的數(shù)據(jù)就會被發(fā)送到B，同時獲得C發(fā)給A的數(shù)據(jù)也會被發(fā)送到B。這樣，B就成了A與C之間的“中間人”。2023/12/575ARP欺騙攻擊的危害ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁斷網(wǎng)或者網(wǎng)速慢）。使用ARP欺騙可以嗅探到交換式局域網(wǎng)內(nèi)所有數(shù)據(jù)包，從而得到敏感信息。ARP欺騙攻擊可以對信息進行篡改，例如，可以在你訪問的所有網(wǎng)頁中加入廣告。利用ARP欺騙攻擊可以控制局域網(wǎng)內(nèi)任何主機，起到“網(wǎng)管”的作用，例如，讓某臺主機不能上網(wǎng)。2023/12/5765.3.3ARP欺騙攻擊實例使用工具：ArpcheatandsnifferV2.1國內(nèi)開源軟件，它是一款arpsniffer工具，可以通過arp欺騙嗅探目標主機TCP、UDP和ICMP協(xié)議數(shù)據(jù)包。攻擊環(huán)境：在一個交換式局域網(wǎng)內(nèi)受害者IP為3，MAC為00-0D-60-36-BD-05；網(wǎng)關(guān)IP為54，MAC為00-09-44-44-77-8A；攻擊者IP為8，MAC為00-07-E9-7D-73-E5。攻擊目的：攻擊者想得知受害者經(jīng)常登陸的FTP用戶名和密碼。2023/12/577ARP攻擊實例--工具參數(shù)介紹-si 源ip-di 目的ip*代表所有,多項用,號分割-sp 源端口-dp 目的端口*代表所有-w 嗅探方式，1代表單向嗅探[si->di]，0代表雙向嗅探 [si<->di]-p 嗅探協(xié)議[TCP,UDP,ICMP]大寫-m 最大記錄文件，以M為單位-o 文件輸出-hex 十六進制輸出到文件-unecho 不回顯-unfilter 不過慮0字節(jié)數(shù)據(jù)包-low 粗略嗅探，丟包率高，cpu利用率低基本0-timeout 嗅探超時,除非網(wǎng)絡(luò)狀況比較差否則請不要調(diào)高,默認為 120秒2023/12/578ARP攻擊實例--工具參數(shù)介紹（2）-sniffsmtp 嗅探smtp-sniffpop 嗅探pop-sniffpost 嗅探post-sniffftp 嗅探ftp-snifftelnet 嗅探telnet，以上5個嗅探不受參數(shù)si,sp,di,dp,w,p影響.-sniffpacket 規(guī)則嗅探數(shù)據(jù)包,受參數(shù)si,sp,di,dp,w,p影響-sniffall 開啟所有嗅探-onlycheat 只欺騙-cheatsniff 欺騙并且嗅探-reset 欺騙后恢復-g [網(wǎng)關(guān)ip]-c [欺騙者ip][mac]-t [受騙者ip]-time [欺騙次數(shù)]2023/12/579ARP攻擊實例--工具參數(shù)介紹（3）使用舉例：arpsf-pTCP-dp25,110-of:\1.txt-m1–sniffpacket說明：嗅探指定規(guī)則數(shù)據(jù)包并保存到文件arpsf-sniffall-cheatsniff-t-g54說明：欺騙并且嗅探與外界的通訊，輸出到屏幕arpsf-onlycheat-t-c002211445544-time100–reset說明：對目標欺騙一百次，欺騙后恢復arpsf-cheatsniff-t4-g54-sniffpacket-pTCP-dp80,25,23,110-od:\siff.txt-w0-m1說明：嗅探4與外網(wǎng)的tcp連接情況并指定目的端口是80，23，25，110，嗅探方式是雙向嗅探，最大記錄文件是1M，輸出到d盤sniff.txt文件中。其中54是網(wǎng)關(guān)的地址。也可以改成同網(wǎng)段中其他的地址，那就是網(wǎng)內(nèi)嗅探了。2023/12/580ARP攻擊實例--攻擊過程在WindowsXP下通過命令行啟動軟件，運行命令：arpsf-cheatsniff-t3-g54-sniffpacket-pTCP-dp21-oc:\siff.txt-w0-m1。含義是：嗅探3與其它主機的tcp連接情況并指定目的端口是21，嗅探方式是雙向嗅探，最大記錄文件是1M，結(jié)果輸出到C盤sniff.txt。其中54是網(wǎng)關(guān)的地址。運行效果見下頁圖。2023/12/581輸入命令輸出版本信息選擇獲取網(wǎng)卡的方法選擇用于欺騙的網(wǎng)卡2023/12/582ARP攻擊實例--攻擊過程（2）當Arpcheatsniff獲取了目標機器、網(wǎng)關(guān)和本機的MAC之后，就開始欺騙目標機器和網(wǎng)關(guān)。見下頁圖。2023/12/583欺騙主機3欺騙網(wǎng)關(guān)542023/12/584ARP攻擊實例--攻擊過程（3）當受害者機器上的用戶登陸了FTP之后，Arpcheatsniff就可以把用戶的操作記錄下來。下頁是當軟件運行了一段時間之后捕獲到的有用信息，存儲在C:\sniff.txt中。2023/12/585--------------------------------------------------------------TCP1421-->3225649Bytes2007-5-517:56:24--------------------------------------------------------------220-Serv-UFTPServerv6.0forWinSockready...--------------------------------------------------------------TCP1421-->3225679Bytes2007-5-517:56:24--------------------------------------------------------------220-歡迎使用lcgftpserver220-movie:movie220上載用戶名/密碼upload:upload--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------USERmovie--------------------------------------------------------------TCP1421-->3225636Bytes2007-5-517:56:24--------------------------------------------------------------331Usernameokay,needpassword.--------------------------------------------------------------TCP32256-->142112Bytes2007-5-517:56:24--------------------------------------------------------------PASSmovie--------------------------------------------------------------TCP1421-->3225630Bytes2007-5-517:56:24--------------------------------------------------------------230Userloggedin,proceed.--------------------------------------------------------------服務(wù)器返回的版本信息服務(wù)器返回的歡迎信息用戶輸入的USER命令服務(wù)器返回的確認用戶輸入的PASS命令服務(wù)器返回的登陸成功信息2023/12/586ARP攻擊實例--攻擊過程（4）非常明顯，我們能夠得知，主機3上有用戶登陸了 ftp://14:21。用戶名和密碼都是movie。5.3.4ARP欺騙攻擊的檢測與防御如何檢測局域網(wǎng)中存在ARP欺騙攻擊如何發(fā)現(xiàn)正在進行ARP攻擊的主機ARP欺騙攻擊的防范2023/12/5872023/12/588如何檢測局域網(wǎng)中存在ARP欺騙攻擊 網(wǎng)絡(luò)頻繁掉線網(wǎng)速突然變慢使用ARP–a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址與真實的網(wǎng)關(guān)MAC地址不相同使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包2023/12/589如何發(fā)現(xiàn)正在進行ARP攻擊的主機 如果你知道正確的網(wǎng)關(guān)MAC地址，通過ARP–a命令看到的列出的網(wǎng)關(guān)MAC與正確的MAC地址不同，那就是攻擊主機的MAC。使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARPreply包，包中指定的MAC就是攻擊主機的MAC地址。使用ARP保護程序發(fā)現(xiàn)攻擊主機的MAC：43/tools/ArpFix.rar2023/12/590ARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺計算機的IP地址與硬件地址一一對應(yīng)，不可更改。使用靜態(tài)ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進行。使用ARP服務(wù)器，通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。使用ARP欺騙防護軟件，如ARP防火墻。及時發(fā)現(xiàn)正在進行ARP欺騙的主機并將其隔離。2023/12/591ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表假設(shè)我們事先已知網(wǎng)關(guān)54的MAC地址為：00-0f-7a-02-00-4b查看主機當前的ARP表，命令為arp–a，可以查看到當前的ARP表中的記錄，都是動態(tài)的把網(wǎng)關(guān)的arp記錄設(shè)置成靜態(tài)，命令為arp-s5400-0f-7a-02-00-4b再次用arp–a命令查看ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的ARP記錄已經(jīng)設(shè)置成靜態(tài)，操作過程見下頁2023/12/592ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表2023/12/593ARP欺騙攻擊的防范示例：ARP防火墻()2023/12/5945.4電子郵件欺騙及防御技術(shù)5.4.1電子郵件欺騙的原理5.4.2電子郵件欺騙的防御2023/12/5955.4.1電子郵件欺騙的原理攻擊者使用電子郵件欺騙有三個目的：第一，隱藏自己的身份。第二，如果攻擊者想冒充別人，他能假冒那個人的電子郵件。第三，電子郵件欺騙能被看作是社會工程的一種表現(xiàn)形式。5.4.1電子郵件欺騙的原理一個郵件系統(tǒng)的傳輸包含用戶代理（UserAgent）、傳輸代理（TransferAgent）及投遞代理（DeliveryAgent）三大部分。用戶代理是一個用戶端發(fā)信和收信的程序，負責將信件按照一定的標準包裝，然后送到郵件服務(wù)器，將信件發(fā)出或由郵件服務(wù)器收回。傳輸代理則負責信件的交換和傳輸，將信件傳送至適當?shù)泥]件服務(wù)器。再由投遞代理將信件分發(fā)至最終用戶的郵箱。在正常的情況下，郵件會盡量將發(fā)送者的名字和地址包括進郵件頭信息中，但是，有時候，發(fā)送者希望將郵件發(fā)送出去而不希望收件者知道是誰發(fā)的，這種發(fā)送郵件的方法稱為匿名郵件。實現(xiàn)匿名的一種最簡單的方法，是簡單地改變電子郵件軟件里的發(fā)送者的名字，但通過郵件頭的其它信息，仍能夠跟蹤發(fā)送者。另一種比較徹底的匿名方式是讓其他人發(fā)送這個郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了。現(xiàn)在因特網(wǎng)上有大量的匿名轉(zhuǎn)發(fā)者（或稱為匿名服務(wù)器）。2023/12/5975.4.1電子郵件欺騙的原理執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址直接使用偽造的E-mail地址遠程登錄到SMTP端口發(fā)送郵件2023/12/598利用相似的電子郵件地址這主要是利用人們的大意心理。攻擊者找到一個受害者熟悉的名字。有了這個名字后，攻擊者注冊一個看上去像受害者熟悉的名字的郵件地址。這樣收信人很可能會回復這個郵箱發(fā)來信，這樣攻擊者就有得到想要信息的可能性。2023/12/599直接使用偽造的Email地址SMTP協(xié)議（即簡單郵件傳輸協(xié)議）有著一個致命的缺陷：它所遵循過于信任的原則，沒有設(shè)計身份驗證系統(tǒng)。SMTP建立在假定人們的身份和他們所聲稱一致的基礎(chǔ)之上，沒有對郵件發(fā)送者的身份進行驗證。這使得人們可以隨意構(gòu)造發(fā)件人地址來發(fā)送郵件。下頁我們通過修改郵件客戶端軟件的設(shè)置來示例這一點。2023/12/5100直接使用偽造的Email地址

對于那些沒有設(shè)置SMTP身份驗證功能的郵件服務(wù)器，例如右圖所示的Outlook郵件客戶軟件就不需要做相應(yīng)的設(shè)置，當用戶使用郵件客戶軟件發(fā)出電子郵件時，發(fā)送郵件服務(wù)器不會對發(fā)件人地址進行驗證或者確認，因此攻擊者能夠隨意指定他想使用的所有地址，而這些地址當然會作為郵件源出現(xiàn)在收件人的信中。2023/12/5101直接使用偽造的Email地址

此外，在右圖所示的例子中，攻擊者還能夠指定他想要的任何郵件返回地址。因此當用戶回信時，答復回到攻擊者所掌握的郵箱test@test，而不是回到被盜用了地址的人那里。2023/12/5102遠程登錄到SMTP端口SMTP協(xié)議一般使用25號端口，郵件服務(wù)器通過它在互聯(lián)網(wǎng)上發(fā)送郵件。執(zhí)行電子郵件欺騙的一個比較復雜的方法是遠程登錄到郵件服務(wù)器的25號端口發(fā)送郵件。2023/12/5103遠程登錄到25號端口(2)攻擊者首先找到郵件服務(wù)器的IP地址，或者通過運行端口掃描程序來判斷哪些機器是25號端口開放的郵件服務(wù)器。在攻擊者有了一臺25號端口開放的機器和一臺正在運行的郵件服務(wù)器后，輸入下面的命令：telnetIP地址

25在連接上以后，再輸入下面的內(nèi)容：

HELO MAILFROM:欺騙偽裝的mail地址

RCPTTO:收件的受害者mail地址

DATA

郵件的內(nèi)容2023/12/5104示例：遠程登錄25端口的Email欺騙實驗環(huán)境局域網(wǎng)mail服務(wù)器為50Mail服務(wù)器不需要身份驗證內(nèi)有兩個用戶分別為：liuy@lan.nipcchensl@lan.nipc實驗方式偽裝成liuy@lan.nipc給chensl@lan.nipc發(fā)郵件2023/12/5105Email欺騙過程—telnet到服務(wù)器通過telnet，連接到郵件服務(wù)器的25端口。在cmd.exe下使用的命令：

telnet5025結(jié)果如圖所示，說明已經(jīng)連接到了25端口2023/12/5106Email欺騙過程—發(fā)送郵件內(nèi)容220nipcoaMagicWinmailServer2.4(Build0530)ESMTPreadyhelo250nipcoaMagicWinmailServer2.4(Build0530)mailfrom:liuy@lan.nipc250okrcptto:chensl@lan.nipc250okdata354goaheadsubject:testto:chensl@lan.nipcfrom:liuy@lan.nipcthisisatest.250okmessageacceptedfordeliveryquit221nipcoaMagicWinmailServer2.4(Build0530)紅色部分是根據(jù)SMTP協(xié)議自行輸入的內(nèi)容；黑色部分是服務(wù)器的返回信息。說明2023/12/5107Email欺騙過程—發(fā)送郵件內(nèi)容截屏2023/12/5108Email欺騙過程—結(jié)果用戶chensl@lan.nipc將收到來自liuy@lan.nipc的郵件，如圖所示。但是liuy@lan.nipc并不知道自己發(fā)送了郵件。試想，如果郵件的內(nèi)容里有病毒或者其它惡意代碼，且chensl@lan.nipc信任liuy@lan.nipc，那么將會是一件多么危險的事情啊。2023/12/51095.4.2電子郵件欺騙的防御做為互聯(lián)網(wǎng)用戶，必須時刻樹立風險意識，不要隨意打開一個不可信任的郵件。此外，下面介紹幾種防范方法分別從這幾個方面入手：郵件接收者郵件發(fā)送者郵件服務(wù)器郵件加密2023/12/5110防范方法—郵件接收者做為郵件接收者來說，用戶需要合理配置郵件客戶端，使每次總能顯示出完整的電子郵件地址，而不是僅僅顯示別名，完整的電子郵件地址能提供一些跡象表明正在發(fā)生一些不平常的事情。用戶應(yīng)該注意檢驗發(fā)件人字段，不要被相似的發(fā)信地址所蒙蔽。2023/12/5111防范方法—郵件發(fā)送者做為郵件發(fā)送者來說，如果你使用foxmail或者outlook之類的郵件客戶端，你必須保護好這些郵件客戶端，防止他人對客戶端的設(shè)置進行修改。2023/12/5112防范方法—郵件服務(wù)器對于郵件服務(wù)器提供方來說，采用的SMTP身份驗證機制。原來使用SMTP協(xié)議發(fā)送郵件的時候并不需要任何驗證，身份欺騙極易實現(xiàn)。現(xiàn)在將POP協(xié)議收取郵件需要用戶名/密碼驗證的思想移至到SMTP協(xié)議，發(fā)送郵件也需要類似的驗證。絕大多數(shù)郵件服務(wù)提供商都是采用的這種做法，通常是使用與接收郵件相同的用戶名和密碼來發(fā)送郵件。采用這種方法之后，雖然SMTP協(xié)議安全性的問題仍然無法從根本上得到解決，但是電子郵件欺騙已經(jīng)變得不像過去那么容易了。2023/12/5113防范方法—PGP加密還有一種可能的解決方法是使用公鑰加密，其中應(yīng)用最廣泛的就是PGP郵件加密。PGP(PrettyGoodPrivacy)是一個可以讓您的電子郵件擁有保密功能的程序。藉此你可以將你的郵件加密，一旦加密后，郵件看起來是一堆無意義的亂碼。PGP提供了極強的保護功能，即使是最先進的解碼分析技術(shù)也無法解讀加密后的文字。PGP加密與解密不像其它傳統(tǒng)加密的方式，而是以公鑰密碼學為基礎(chǔ)的。2023/12/5114防范方法—PGP加密（2）舉例來說，當你要傳送一封保密信或檔案給某人時，必須先取得那人的公鑰（PublicKey），然后利用這個公鑰將信件加密。當某人收到您加密的信件后，他必須利用相應(yīng)的私鑰(SecretKey)來解密。因此，除非其它人擁有收信者的私鑰，否則無法解開發(fā)信人所加密的信件。同時，收信人在使用私鑰解密時，還必須輸入通行碼，如此又對加密后的郵件多了一層保護。2023/12/51155.5DNS欺騙及防御技術(shù)5.5.1DNS工作原理5.5.2DNS欺騙的原理及實現(xiàn)步驟5.5.3DNS欺騙的局限性及防御2023/12/51165.5.1DNS工作原理DNS的全稱是DomainNameServer即域名服務(wù)器，當一臺主機發(fā)送一個請求要求解析某個域名時，它會首先把解析請求發(fā)到自己的DNS服務(wù)器上。DNS的功能是提供主機名字和IP地址之間的轉(zhuǎn)換信息。DNS服務(wù)器里有一個“DNS緩存表”，里面存儲了此DNS服務(wù)器所管轄域內(nèi)主機的域名和IP地址的對應(yīng)關(guān)系。2023/12/51175.5.1DNS工作原理例如，客戶主機需要訪問時，首先要知道的IP地址?？蛻糁鳈C獲得IP地址的唯一方法就是向所在網(wǎng)絡(luò)設(shè)置的DNS服務(wù)器進行查詢。查詢過程分四步進行，見下頁圖。2023/12/51185.5.1DNS工作原理

上圖中有三臺主機：客戶主機、域DNS服務(wù)器和域DNS服務(wù)器。其中域DNS服務(wù)器直接為客戶主機提供DNS服務(wù)。下面對這四個過程進行解釋。

2023/12/5119DNS域名解析過程1）客戶主機軟件(例如Web瀏覽器)需要對進行解析，它向本地DNS服務(wù)器(域)發(fā)送域名解析請求，要求回復的IP地址；2)

由于本地DNS服務(wù)器的數(shù)據(jù)庫中沒有的記錄，同時緩存中也沒有記錄，所以，它會依據(jù)DNS協(xié)議機器配置向網(wǎng)絡(luò)中的其他DNS服務(wù)器提交請求。這個查詢請求逐級遞交，直到域的真正權(quán)威DNS服務(wù)器收到請求(這里省略了尋找域DNS服務(wù)器的迭代過程，假定本地DNS服務(wù)器最終找到了所需要的信息)；2023/12/5120DNS域名解析過程（2）3)

域DNS服務(wù)器將向域DNS服務(wù)器返回IP查詢結(jié)果(假定為)；4)

域的本地DNS服務(wù)器最終將查詢結(jié)果返回給客戶主機瀏覽器，并將這一結(jié)果存儲到其DNS緩存當中，以便以后使用。在一段時間里，客戶主機再次訪問時，就可以不需要再次轉(zhuǎn)發(fā)查詢請求，而直接從緩存中提取記錄向客戶端返回IP地址了。 經(jīng)過上面幾步，客戶主機獲得了它所期待的網(wǎng)站的IP地址，這樣整個域名解析過程就結(jié)束了。2023/12/51215.5.2DNS欺騙的原理及實現(xiàn)步驟當客戶主機向本地DNS服務(wù)器查詢域名的時候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會再向其他服務(wù)器進行查詢，而是直接將這條記錄返回給用戶。而入侵者欲實現(xiàn)DNS欺騙，關(guān)鍵的一個條件就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。2023/12/51225.5.2DNS欺騙的原理及實現(xiàn)步驟在上面例子中，假如域DNS服務(wù)器返回的是經(jīng)過攻擊者篡改的信息，比如將指向另一個IP地址，域DNS服務(wù)器將會接受這個結(jié)果，并將錯誤的信息存儲在本地Cache中。以后在這條緩存記錄的生存期內(nèi)，再向域DNS服務(wù)器發(fā)送的對的域名解析請求，所得到的IP地址都將是被篡改過的。2023/12/51235.5.2DNS欺騙的原理及實現(xiàn)步驟2023/12/51245.5.2DNS欺騙的原理及實現(xiàn)步驟有了對DNS服務(wù)器進行欺騙的可能，攻擊者怎樣偽造DNS應(yīng)答信息就成了問題的焦點。目前有兩種可能情況下的實現(xiàn)辦法:攻擊者可以控制本地的域名服務(wù)器攻擊者無法控制任何DNS服務(wù)器2023/12/5125第一種可能情況一種可能是，攻擊者可以控制本地的域名服務(wù)器(假定是域的權(quán)威)，在其數(shù)據(jù)庫中增加一個附加記錄，將攻擊目標的域名(例如)指向攻擊者的欺騙IP。緊接著，攻擊者向域DNS服務(wù)器發(fā)送對域名的解析請求。域的DNS服務(wù)器自然轉(zhuǎn)而向域的DNS服務(wù)器發(fā)送請求。2023/12/5126第一種可能情況(2)這時候，本地的域名服務(wù)器除了返回正常的的IP地址外，還會在返回包中附加的映射記錄。如果域的DNS服務(wù)器允許緩存所有收到的信息的話，發(fā)過來到的偽造映射記錄便“注射”到其Cache中了。2023/12/5127第二種可能情況另一種更現(xiàn)實的情況，就是攻擊者無法控制任何DNS服務(wù)器，但他可以控制該服務(wù)所在網(wǎng)絡(luò)的某臺主機，并可以監(jiān)聽該網(wǎng)絡(luò)中的通信情況。這時候，黑客要對遠程的某個DNS服務(wù)器進行欺騙攻擊，所采用的手段很像IP欺騙攻擊。首先，黑客要冒充某個域名服務(wù)器的IP地址。其次，黑客要能預測目標域名服務(wù)器所發(fā)送DNS數(shù)據(jù)包的ID號。確定目標DNS服務(wù)器的ID號即為DNS欺騙攻擊的關(guān)鍵所在。2023/12/5128第二種可能情況(2)DNS數(shù)據(jù)是通過UDP協(xié)議傳遞的，在DNS服務(wù)器之間進行域名解析通信時，請求方和應(yīng)答方都使用UDP53端口，而這樣的通信過程往往是并行的，也就是說，DNS域名服務(wù)器之間同時可能會進行多個解析過程，既然不同的過程使用相同的端口號，那靠什么來彼此區(qū)別呢?答案就在DNS報文里面。DNS報文格式頭部的ID域，是用于區(qū)別不同會話過程的，這有點類似于TCP中的序列號，域名解析的請求方和應(yīng)答方只有使用相同的ID號才能證明是同一個會話(由請求方?jīng)Q定所使用的ID)。不同的解析會話，采用不同的ID號。2023/12/5129第二種可能情況(3)在一段時期內(nèi)，DNS服務(wù)器一般都采用一種有章可循的ID生成機制，例如，對于每次發(fā)送的域名解析請求，依次將數(shù)據(jù)包中的ID加1。如此一來，攻擊者如果可以在某個DNS服務(wù)器的網(wǎng)絡(luò)中進行嗅探，他只要向遠程的DNS服務(wù)器發(fā)送一個對本地某域名的解析請求，通過嗅探得到的來自目標DNS服務(wù)器的請求數(shù)據(jù)包（因為遠程DNS服務(wù)器肯定會轉(zhuǎn)而請求本地的DNS服務(wù)器），攻擊者就可以得到想要的ID號了。2023/12/5130第二種可能情況(4)例子：

域的DNS服務(wù)器向域的DNS服務(wù)器請求解析，如果攻擊者所偽造的DNS應(yīng)答包中含有正確的ID號，并且搶在域的DNS服務(wù)器之前向域的DNS服務(wù)器返回偽造信息，欺騙攻擊就將獲得成功的。2023/12/5131第二種可能情況(5)其實，即使攻擊者無法監(jiān)聽某個擁有DNS服務(wù)器的網(wǎng)絡(luò)，也有辦法得到目標DNS服務(wù)器的ID號。首先，他向目標DNS服務(wù)器請求對某個不存在域名地址（但該域是存在的）進行解析。然后，攻擊者冒充所請求域的DNS服務(wù)器，向目標DNS服務(wù)器連續(xù)發(fā)送應(yīng)答包，這些包中的ID號依次遞增。過一段時間，攻擊者再次向目標DNS服務(wù)器發(fā)送針對該域名的解析請求，如果得到返回結(jié)果，就說明目標DNS服務(wù)器接受了剛才黑客的偽造應(yīng)答，繼而說明黑客猜測的ID號在正確的區(qū)段上，否則，攻擊者可以再次嘗試。2023/12/5132第二種可能情況(6)實際攻擊中，第二種攻擊方法實現(xiàn)比較復雜。知道了ID號，并且知道了ID號的增長規(guī)律，以下的過程類似于IP欺騙攻擊。2023/12/5133一次DNS欺騙攻擊的完整過程2023/12/51345.5.3DNS欺騙的局限性及防御DNS欺騙主要存在兩點局限性：攻擊者不能替換緩存中已經(jīng)存在的記錄DNS服務(wù)器