欺骗攻击的概念和防护.docxVIP

欺骗攻击的概念和防护 一、欺骗攻击的概念 这里的欺骗并不是实际生活中的用虚伪的言行隐瞒真相，使人上当的意思。从安全学角度上说， 网络欺骗是根据网络系统中存在的安全弱点，采取适当技术， 伪造虚假或设置不重要的信息资源，使入侵者相信网络系统中上述信息资源具有较高价值， 并具有可攻击、 窃取的安全防范漏洞， 然后将入侵者引向这些资源。 实施网络欺骗技术既可以迅速检测到入侵者的进攻并获知其进攻技术和意图， 又可增加入侵者的工作量、入侵复杂度以及不确定性。相对的，欺骗攻击就是利用假冒、伪装后的身份与其他主机进行合法的通信或者发送假的报文，使受攻击的主机出现错误， 或者是伪造一系列假的网络地址和网络空间顶替真正的网络主机为用户提供网络服务， 以此方法获得访问用户的合法信息后加以利用，转而攻击主机的网络欺诈行为。 常见的网络欺骗攻击主要方式有： IP 欺骗、ARP欺骗、DNS欺骗、 Weh 欺骗、电子邮件欺骗、源路由欺骗等。 二、 lP 欺骗 lP 欺骗的定义 所谓的 lP 欺骗，就是伪造值人的 lP 地址与入侵主机联系，通过 用另外一台机器来代替自己的方式借以达到蒙混过关的目的。 2．lP 欺骗的原理 lP 欺骗技术就是伪造某台主机的 lP 地址的技术。通过 lP 地址的 伪装使得某台主机能够伪装另外的一台主机，而被伪造了 lP 地址的 这台主机往往具有某种特权或者被另外的主机所信任。 假设现在有一个合法用户已经同服务器建立了正常的连接，这 个合法用户的 IP 是 192. 10. 27. 20，那么攻击者要构造攻击的 TCP数 据，就会将自己的 lP 伪装为 192.10.27.20，并向服务器发送一个带有 RST位的 TCP数据段。服务器接收到这样的数据后， 认为从 192. 10. 27. 发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户再用 IP192. 10. 27. 20 来发送合法数据，服务器中已经没 有这样的连接了，该用户就必须重新开始建立连接。 IP 欺骗攻击时， 就是这样伪造大量的 lP 地址，向目标发送 RST数据，使服务器不能 对合法用户提供服务。 IP 欺骗的防范 对于 IP 欺骗，目前常用的几种防范方法为： (1)抛弃基于地址的信任策略。 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的 验证。不允许 r★类远程调用命令的使用；删除． thosts 文件；清空 /etc/hosts ．equiv 文件。这将迫使所有用户使用其他远程通信手段， 如 telnet 、ssh、skey等等。 (2)进行包过滤。 如果网络是通过路由器接人 Internet 的，那么可以利用路由器来 进行包过滤。确信只有内部 LAN 可以使用信任关系，而内部 LAN 上 的主机对于 LAN 以外的主机要慎重处理。 路由器可以过滤掉所有来自 于外部而希望与内部建立连接的请求。 (3)使用加密方法。 阻止 lP欺骗的另一 -种明显的方法是在通信时要求加密传输和验 证。当有多种手段并存时，可能加密方法最为适用。 (4)使用随机化的初始序列号。 IP 欺骗攻击得以成功实现的一个很重要的因素就是，序列号不 是随机选择的或者随机增加的。 如果使用了随机化的序列号， 那么每 一次访问都会更换新的访问序列号， 攻击者就难以中断被伪装主机对 目标主机的访问， lP 欺骗很容易就能被发现了。 三、 ARP欺骗 1．ARP欺骗的概念 ARP( Address Resolution Ptotocol)足地址解析协议，是一种将 IP 地址转化成物理地址的协议。从 lP 地址到物理地址的映射有两种方 式：表格方式和非表格方式。 ARP具体说来就是将网络层（ lP 层，也 就是相当于 OSI的第三层）地址解析为数据连接层 （MAC 层，也就是 相当于 OSI的第二层）的 MAC 地址。 ARP协议并不只在发送了 ARP请求才接收 ARP应答。当计算机 接收到 ARP应答数据包的时候，就会对本地的 ARP缓存进行更新， 将应答中的 lP 和 MAC 地址存储在 ARP缓存中。因此，当局域网中的某台机器 C向 A 发送一个自己伪造的 ARP应答，而如果这个应答是 C 冒充 B 伪造来的，即 IP 地址为 B 的 lP，而 MAC 地址是伪造 C 的，则 当 A 接收到 C 伪造的 ARP应答后，就会更新本地的 ARP缓存，这样在 A 看来 B的 lP 地址没有变，而它的 MAC地址已经不是原来那个了。 由于局域网的网络流通不是根据 lP 地址进行，而是按照 MAC 地址进 行传输。所以，那个伪造出来的 MAC 地址在 A 上被改变成一个不存 在的 MAC 地址，这样就会造成网络不通，导致 A 不能 Ping 通 B。这 就是一个简单的 AR