浅析防御网络欺骗攻击.docVIP

浅析防御网络欺骗攻击 　　摘要：随着信息时代的到来，信息对人们生活的重要性日益加重，信息安全的重要性也随之变得日益重要。该文简要介绍各类欺骗攻击的原理、方法及防范此类入侵的方法。 　　关键词：防御；网络欺骗；IP欺骗；Web欺骗 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)27-1950-03 　　On Defencing Deceive Attack from Network 　　WANG Xi 　　(Computer and IT School, Nanyang Normal University, Henan 473061, China) 　　Abstract: Information is more and more important for peoples life in the information age. So is the security of information. This article introduces some principles and approaches of deceive attack and how to guard such tricks. 　　Key words: defence; network cheat; IP cheat; web cheat 　　 　　1 引言 　　 　　随着信息时代的到来，信息对人们生活的重要性日益加重，信息安全的重要性也随之变得日益重要。在基于TCP/ IP的网络通讯中，由于TCP/ IP协议本身固有的缺陷，在网络上传输的数据很容易受到各式各样的攻击。网络攻击既有被动型的，也有主动型的，被动攻击通常指信息受到非法侦听，而主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏。针对TCP/ IP的欺骗技术有很多种，包括序列号欺骗、路由攻击、源地址欺骗和授权欺骗等。本文简要介绍各类欺骗攻击的原理、方法及防范此类入侵的方法。 　　 　　2 防御IP欺骗攻击 　　 　　2.1 IP欺骗的原理 　　IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪造使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或者被另外的主机所信任。 　　假设已经找到一个攻击目标主机，并发现了该主机存在信任模式，又获得信任主机IP。攻击者使用IP地址伪装技术伪装成信任主机向目标主机发送连接请求，目标主机发送确认信息给信任主机，如果信任主机发现连接是非法的，信任主机会发送一个复位信息给目标主机，请求释放连接，这样，IP欺骗被揭穿。攻击者为达到欺骗的目的，通常使用如TCP SYN洪流攻击等技术使信任主机丧失工作能力。信任主机不会发送复位信息，目标主机也就不会收到连接确认，等待一段时间后超时，TCP认为是一种暂时的错误，并继续尝试建立连接，直至确信无法连接。在目标主机等待的时间里，黑客使用序列号猜测技术猜测出目标主机希望获取的确认序列号，再次伪装成信任主机发送连接确认信息，确认序列号设置为猜测得出的序列号，如果猜测正确就可以与目标主机建立起TCP连接。之后就可以向目标主机发送攻击数据，如放置后门程序等。 　　2.2 IP欺骗的过程 　　通过以上的分析，我们可以看出，IP欺骗由以下几个步骤组成： 　　1） 选定目标主机；2） 发现信任模式及信任主机；3） 使被信任主机丧失工作能力；4） 采样目标主机发出的TCP序列号，猜测出序列号；5） 发送建立TCP连接的报文，建立连接；6） 发动攻击，在目标机放置后门程序。 　　2.3 IP欺骗的防范 　　IP欺骗之所以可以实施，是因为信任服务器的基础建立在网络地址的验证上，IP地址是可以简单的进行欺骗的，在整个攻击过程中最难的是进行序列号的估计，估计精度的高低是欺骗成功与否的关键。针对这些，可采取如下对策： 　　1） 抛弃基于地址的信任策略：阻止这类入侵的简单易行的办法是放弃以地址为基础的验证。不允许R类远程调用命令的使用，删除rhosts文件和/etc/hosts.equiv文件，迫使所有用户使用其他远程通信手段，如Telnet、Ssh、Skey 等。 　　2） 进行包过滤：如果计算机用户的网络是通过路由器接入Internet的，那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。计算机用户的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog或类似的包监控工具来检查外接口上包的情况，如果发现包的两个地址即源地址和目的地址都是本地域地址就意味着有人要试图攻击系统。