欺骗技术 计算机系统安全课件技术方案.pptVIP

* * 欺骗技术 曹天杰 tjcao@ 中国矿业大学计算机科学与技术学院 欺骗技术 DNS欺骗 IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗？ DNS欺骗（域名劫持） 用户 请问 的IP地址 DNS服务器 的IP地址是 主机 的IP地址是 返回查询结果 冒充一个假IP地址： 的IP地址是 IP欺骗 IP欺骗的动机 隐藏自己的IP地址，防止被跟踪 以IP地址作为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗：不考虑回传的数据包 双向IP欺骗：要求看到回传的数据包 更高级的欺骗：TCP会话劫持 IP欺骗：改变自己的地址 IP盗用：用网络配置工具改变机器的IP地址 如何避免IP欺骗 主机保护 保护自己的机器不被用来实施IP欺骗 保护自己的机器不被成为假冒的对象 网络防护 路由器上设置过滤器 入口过滤，外来的包带有内部IP地址 出口过滤，内部的包带有外部IP地址 保护免受源路由攻击 路由器上禁止这样的数据包 电子邮件欺骗 电子邮件欺骗的动机 匿名信 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗：使用类似的地址 发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信 我是你的上司XX，请把XXX发送给我 我在外面度假，请送到我的个人信箱 他(她)能识别吗？ 帐户配置 邮件帐户配置 姓名(Name)属性，会出现在“From”和“Reply-To”字段中，然后显示在“发件人”信息中 电子邮件地址，会出现在“From”字段中 回复地址，会出现在“Reply-To”字段中，可以不填 Foxmail 收信 邮件欺骗：直接连接smtp服务器 直接连接smtp服务器的25端口，然后发送命令，常见命令为 Helo(or EHLO) Mail from: Rcpt to: Data Quit 邮件欺骗：直接连接smtp服务器 运行自己的smtp邮件服务器（开放中继） 邮件欺骗的保护 邮件服务器的验证 Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域 验证接收方的域名与邮件服务器的域名是否相同 有的也验证发送者的域名是否有效，通过反向DNS解析 不能防止一个内部用户假冒另一个内部用户发送邮件 Web欺骗 Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于 由于Internet的开放性，任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册，按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益，商业竞争，政治目的 Web欺骗的形式 使用相似的域名 改写URL 劫持Web会话 使用类似的域名 注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司的用户的信任，以便得到这些用户的信息 例如，针对ABC公司，用来混淆 phishing “网络钓鱼(Phishing)”：网络诈骗。不新鲜，没有技术含量。如假中华慈善总会名义骗印度洋海啸捐款，假银联的网站盗取用户密码 改写URL 一个HTTP页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，则欺骗就会发生，其中最重要的是URL改写 URL改写可以把用户带到不该去的地方 有一些更为隐蔽的做法：直接指向一些恶意的代码、把url定向放到script代码中 改写页面的做法 入侵Web服务器，修改页面、设置中间http代理、在传输路径上截获页面并改写、在客户端装载后门程序 Web会话劫持 HTTP协议不支持会话(无状态)，Web会话如何实现？ Cookie 用url记录会话 用表单中的隐藏元素记录会话 Web会话劫持的要点在于，如何获得或者猜测出会话ID 防止Web欺骗 使用类似的域名 注意观察URL地址栏的变化 不要信任不可靠的URL信息 网络钓鱼phishing 提高安全意识 改写URL 查看页面的源文本可以发现 使用SSL Web会话劫持 养成显式注销的习惯 使用长的会话ID 关于欺骗技术 从这些欺骗技术，我们可以看到 IP协议的脆弱性 应用层上也缺乏有效的安全措施 技术含量不高，是针对Internet中各种不完善的机制而发展起来的 非技术性的欺骗 实施社会工程 避免被欺骗最好的办法是增强安全意识 会话(交易)劫持 在现实环境中，比如对于银行一笔交易 如果营业员检查了顾客的身份证和账户卡 抬起头来，发现不再是刚才的顾客 他会把钱交给外面的顾客吗？ 在网络上没有人知道你是一条狗 TCP会话劫持(session hijacking) 欺骗和劫持 欺骗是伪装成合法用户，以获得一定的利益 劫持是积极主动地使一个在线的用户下线，或者