第二章网络安全风险分析2欺骗攻击.pptVIP

源路由欺骗型 源路由（IP Resource）发送数据包的源机器可以指定此数据包在网络上要经过的途径。 EVE产生带有虚假路由的数据包，路由为（ALICE→EVE→BOB）。EVE把这种数据包加到网络流量中，任何在EVE和BOB之间的路由器都会读取此路由，并将数据包转发给BOB。 BOB将对此数据包作出反应。回应将会将此源路由翻转过来（BOB→EVE→ALICE）。BOB产生的数据包将会被传到EVE，因为EVE是源路由的一部分，它将截获这些数据包并不再转发（否则会导致ALICE发出RESET）。 IP地址欺骗（3） 源路由很少通过Internet进行，因为大多数单位在它们的Internet网关上都封掉了源路由的数据包。然而，在许多单位的内部网里，源路由仍是可行的，因此内部人员仍可使用这种攻击手段。 IP欺骗的防范方法 （1） 必须确保你的TCP堆栈所产生的序列号不容易被猜测。 添加操作系统提供商最新提供的安全补丁。 使用Nmap工具对自己的系统进行扫描，以测试其初始序列号的可预测性。 对UNIX系统，不要使用脆弱的r-命令，使用安全的方式，如SSH或VPN来代替r-命令。 在边界路由器和防火墙上实施“反欺骗”包过滤。 何为“反欺骗”包过滤呢？在两个网络之间，建立一个过滤设备，它将那些从一个端口进来但却具有同另一个端口所连网络相同网络地址的数据包抛弃。这些数据包至少表明错误配置的存在，当然也可能是一个欺骗攻击。 禁止带有源路由的数据包通过网关，对cisco路由器而言，使用no ip sourceroute命令就可以使网关将带由源路由的数据包抛弃了。 必须注意整个环境中信任关系。应该杜绝将UNIX和Windows NT的信任关系通过不被保护的网络（如通过Internet防火墙）进行扩展。甚至连商业伙伴之间链路上的信任关系也应该被避免，只有在必要的商业需要时，系统之间的信任关系才应该十分谨慎的在安全的内部网上建立。 IP欺骗的防范方法 （2） DNS欺骗 定义：DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。 DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 DNS欺骗攻击实施方法 1、缓存感染： 　　黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。  2、DNS信息劫持： 　　入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。  3、DNS重定向 　　攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 DNS欺骗攻击的防范方法： 　 (1) 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。 (2) 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。 Web欺骗 Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于 由于Internet的开放性，任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册，按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益，商业竞争 政治目的 Web欺骗的形式 使用相似的域名 改写URL 劫持Web会话 使用类似的域名 注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司的用户的信任，以便得到这些用户的信息 例如，针对ABC公司，用来混淆 如果客户提供了敏感信息，那么这种欺骗可能会造成进一步的危害，例如： 用户在假冒的网站上订购了一些商品，然后出示支付信息，假冒的网站把这些信息记录下来(并分配一个cookie)，然后提示：现在网站出现故障，请重试一次。当用户重试的时候，假冒网站发现这个用户带有cookie，就把它的请求转到真正的网站上。用这种方法，假冒网站可以收集到用户的敏感信息。 对于从事商业活动的用户，应对这种欺骗提高警惕 改写URL 一个HTTP页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，则欺骗