lecture06-网络攻击的分析(欺骗).pptVIP

网络攻击的分析—欺骗（附加） 王丽苹 华东师范大学软件学院 * Outline Internet的安全缺陷（附加） TCP/IP overview 监听 欺骗 拒绝服务 其它的一些攻击 欺骗技术 IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗？ DNS欺骗 假冒合法的DNS服务器向请求方返回一个被篡改的域名到IP地址的应答 其他欺骗术 非技术性欺骗 IP欺骗：IP Spoofing (1 of 2) 1985年Robert T.Morris在文章中首次提到了IP欺骗的概念 含义：攻击者伪造数据包的源地址的攻击。 IP欺骗先决条件 IP数据包路由原则：根据目标地址进行路由 IP欺骗的动机 隐藏自己的IP地址，防止被跟踪 以IP地址作为授权依据 穿越防火墙 IP欺骗：IP Spoofing(2 of 2) IP欺骗模型的组成： 攻击目标 被攻击目标信任的一台“合法”主机 攻击者 IP欺骗的形式 单向IP欺骗：不考虑回传的数据包 双向IP欺骗：要求看到回传的数据包 更高级的欺骗：TCP会话劫持 IP欺骗：实例 攻击者和受信任主机位于同一个网段： 如图：B信任A并允许它访问B的Rlogin服务，C想借助AB的信任关系访问B上的服务，具体步骤如下： C向A实施攻击使它不能正常工作。 C更改自己的IP地址为A的IP地址 C可以成功的向B请求服务，并使用其中的功能 电子邮件欺骗 电子邮件欺骗的动机 隐藏发信人的身份，匿名信 挑拨离间，唯恐世界不乱 骗取敏感信息 …… 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗成功的要诀 与邮局的运作模式比较 基本的电子邮件协议不包括签名机制 发信可以要求认证 电子邮件欺骗--类似的电子邮件地址 发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信 例如: Tom为John的上司，Peter假冒Tom的名字在某邮件系统上以Tom的名义注册一个邮箱。然后冒充Tom向其下属John发送邮件，试图获得敏感信息 电子邮件欺骗--- 修改邮件客户软件的帐户配置 邮件帐户配置 姓名(Name)属性：会出现在接收方“From”和“Reply-To”字段中，然后显示在“发件人”信息中 电子邮件地址：会出现在接收方 “From”字段中 回复地址：会出现在“Reply-To”字段中，可以不填，默认与电子邮件地址相同 电子邮件欺骗--- 修改邮件客户软件的帐户配置 例如：利用上述更改后的信息给w.lp@163.com发送邮件，接收方收到什么信息呢？ 电子邮件欺骗--- 修改邮件客户软件的帐户配置 接收方的邮件详细信息，需要从邮件头中发现破绽。 电子邮件欺骗--- 修改邮件客户软件的帐户配置 电子邮件欺骗--- 直接连到smtp服务器上发信 telnet到邮件服务器的端口25，然后通过调用smtp的命令发送邮件。 常见的smtp命令： helo 建立一次新的邮件连接 mail from：指明发件人的地址 rcpt to：指明接收邮件人的地址 data: 邮件的内容（输入.号表示结束） quit: 结束邮件交换 电子邮件欺骗--- 直接连到smtp服务器上发信 例如：登陆某邮件服务器，发送邮件可以包含如下步骤： （1）telnet webmail.**.**.** 25 服务方反馈220 ESMTP （2）客户端输入helo 服务方反馈 250 HELO: （3）客户方输入mail from:“friend”hacker@ 服务方反馈250 OK (eyou mta) （4）客户方输入rcpt to:wlplipingwang@ 服务方反馈250 OK (eyou mta) ( _104857600) （5）客户方输入data 服务方反馈354 go ahead (eyou mta) （6）客户方输入邮件信息和结束标记”.” 服务方反馈：250 OK:has queued (eyou mta) 电子邮件欺骗--- 直接连到smtp服务器上发信 在此例中客户端的输入信息和服务方的反馈信息可以对照如下 电子邮件欺骗--- 直接连到smtp服务器上发信 接收方的信息： 防止邮件欺骗的措施 服务器防欺骗措施 邮件服务器的验证 Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域 验证发送者的域名是否有效，通过反向DNS解析 审核制度，所有的邮件都有记录。（可能与隐私的保护有所冲突） 用户防欺骗措施： 不能防止一个用户通过类似的邮件地址冒充另一个用户发送邮件. 用户需要有安全意识，发送邮件前查看邮件头核实对方身份后再回复。 Web欺骗 Web是应用层上提