第5章：欺骗攻击及防御技术祥解.ppt

5.3.1 ARP背景知识介绍 ARP基础知识 ARP工作原理 局域网内通信 局域网间通信 ARP基础知识 在Windows下查看ARP缓存表的方法 使用命令：arp -a ARP工作原理 局域网内通信 局域网间通信 局域网间通信—网络结构图 5.3.2 ARP欺骗攻击原理 ARP欺骗攻击原理 ARP欺骗攻击的危害 ARP欺骗原理—原理图 5.3.4 ARP欺骗攻击的检测与防御 如何检测局域网中存在ARP欺骗攻击 如何发现正在进行ARP攻击的主机 ARP欺骗攻击的防范 5.4.1 电子邮件欺骗的原理 一个邮件系统的传输包含用户代理（User Agent）、传输代理（Transfer Agent）及投递代理（Delivery Agent）三大部分。 用户代理是一个用户端发信和收信的程序，负责将信件按照一定的标准包装，然后送到邮件服务器，将信件发出或由邮件服务器收回。传输代理则负责信件的交换和传输，将信件传送至适当的邮件服务器。再由投递代理将信件分发至最终用户的邮箱。 在正常的情况下，邮件会尽量将发送者的名字和地址包括进邮件头信息中，但是，有时候，发送者希望将邮件发送出去而不希望收件者知道是谁发的，这种发送邮件的方法称为匿名邮件。 实现匿名的一种最简单的方法，是简单地改变电子邮件软件里的发送者的名字，但通过邮件头的其它信息，仍能够跟踪发送者。 另一种比较彻底的匿名方式是让其他人发送这个邮件，邮件中的发信地址就变成了转发者的地址了。现在因特网上有大量的匿名转发者（或称为匿名服务器）。 以后在这条缓存记录的生存期内，再向域DNS服务器发送的对的域名解析请求，所得到的IP地址都将是被篡改过的。 5.6.1 Web欺骗的概念 Web欺骗是一种电子信息欺骗，攻击者创造了一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制。 虚假的Web看起来十分逼真，它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点，这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。 * * 保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。事实上人们很少使用源路由做合法的事情。因为这个原因，所以阻塞这种类型的流量进入或者离开网络通常不会影响正常的业务。在一个Cisco路由器上，可以通过使用IPsource-route命令使源路由有效或者无效，在其他路由器上可以使用类似的命令使源路由无效。 * * 保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖信任关系，但是能通过做一些事情使暴露达到最小。首先，限制拥有信任关系的人员。这种情况下，决定谁真正需要信任关系和在控制建立信任关系的机器数量是更加有意义的。 其次，不允许通过网络使用信任关系。在大多数情况下，信任关系是让内部用户访问一些机器，然而一些单位信任那些放在个人家里的或者服务商那里的机器。这是非常危险的，应该尽量消除隐患。 * * 加密技术是可以防范会话劫持攻击为数不多的方式之一。如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须进行加密。 在理想的情况下，网络上的所有流通都应该被加密。很多人都想要一个能满足他们安要的解决方法，并且时刻保护着他们。但令人遗憾的是，因为成本和烦琐的原因，含有这项保护技术的工具已经面世有好一段时间了，却至今也没有推广。 * * 允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。在理想情况下，应该阻止尽可能多的外部连接和连向防火墙的连接。大多数虽然能够做到上面一条，限制了引入连接，但是通常都会允许内部用户用任何协议去连接外网的机器。这样可以减少敏感会话被攻击者劫持的可能性。 * * 攻击者使用电子邮件欺骗有三个目的：第一，隐藏自己的身份。如果攻击者想给某人发一封电子邮件，但不想那个人知道是他发的，这时电子邮件欺骗是非常有效的，可以掩盖真正发送信息的人。第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。使用这种方法，无论谁接收到这封邮件，他会认为它是攻击者冒充的那个人发的，而且还会因为内容遭受名誉或是经济损失。第三，电子邮件欺骗能被看作是社会工程的一种表现形式。例如，如果攻击者想让用户发给他一份敏感文件，攻击者伪装他的邮件地址，使用户认为这是老板的要求，用户可能会发给他这封邮件。 * * * * 对于那些没有设置SMTP身份验证功能的邮件服务器，在图5-11所示的Outlook邮件客户软件中，就不需要选择相应的设置。这样，当用户使用邮件客户软件发出电子邮件时，发送邮件服务器不会对发件人地址进行验证或者确认，因此