第讲欺骗攻击及防御技术.pptVIP

* * * 保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖信任关系，但是能通过做一些事情使暴露达到最小。首先，限制拥有信任关系的人员。这种情况下，决定谁真正需要信任关系和在控制建立信任关系的机器数量是更加有意义的。 其次，不允许通过网络使用信任关系。在大多数情况下，信任关系是让内部用户访问一些机器，然而一些单位信任那些放在个人家里的或者服务商那里的机器。这是非常危险的，应该尽量消除隐患。 * * * 加密技术是可以防范会话劫持攻击为数不多的方式之一。如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须进行加密。 在理想的情况下，网络上的所有流通都应该被加密。很多人都想要一个能满足他们安要的解决方法，并且时刻保护着他们。但令人遗憾的是，因为成本和烦琐的原因，含有这项保护技术的工具已经面世有好一段时间了，却至今也没有推广。 * * * 允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。在理想情况下，应该阻止尽可能多的外部连接和连向防火墙的连接。大多数虽然能够做到上面一条，限制了引入连接，但是通常都会允许内部用户用任何协议去连接外网的机器。这样可以减少敏感会话被攻击者劫持的可能性。 * * * 攻击者使用电子邮件欺骗有三个目的：第一，隐藏自己的身份。如果攻击者想给某人发一封电子邮件，但不想那个人知道是他发的，这时电子邮件欺骗是非常有效的，可以掩盖真正发送信息的人。第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。使用这种方法，无论谁接收到这封邮件，他会认为它是攻击者冒充的那个人发的，而且还会因为内容遭受名誉或是经济损失。第三，电子邮件欺骗能被看作是社会工程的一种表现形式。例如，如果攻击者想让用户发给他一份敏感文件，攻击者伪装他的邮件地址，使用户认为这是老板的要求，用户可能会发给他这封邮件。 * * * * * * 对于那些没有设置SMTP身份验证功能的邮件服务器，在图5-11所示的Outlook邮件客户软件中，就不需要选择相应的设置。这样，当用户使用邮件客户软件发出电子邮件时，发送邮件服务器不会对发件人地址进行验证或者确认，因此攻击者能够随意指定他想使用的所有地址，而这些地址当然会作为邮件源出现在收件人的信中。 * * * 为了这么做，攻击者首先找到邮件服务器的IP地址，或者通过在一些系统上运行端口扫描程序来判断哪些机器是端口25开放的邮件服务器。在攻击者有了一台端口25开放的机器和一台正在运行的邮件服务器后，输入下面的命令：telnet IP地址 25 在连接上以后，再输入下面的内容： HELO MAIL FROM: 欺骗伪装的mail地址 RCPT TO: 收件的受害者mail地址 DATA 邮件的内容 下面是攻击者远程登陆到一台邮件服务器的端口25，并发送欺骗信息的会话输出： 220 Smtp Server SLMail v2.7 Ready ESMTP spoken here MAIL FROM: pseudo-sender@ 250 OK RCPT TO: victim@ 250 OK, victim@ DATA 354 Start mail input; end withCRLF.CRLF hello, this is a test . 250 OK, Submitted queued 在这个例子中我们可以看到，对于那些不需要SMTP身份验证的服务器，发送带有假冒的发信人地址的信息给了接收方，从而实现电子邮件欺骗就是这样容易做到的。 * * * * * * 现在邮件服务提供商广泛采用的SMTP身份验证机制。原来使用SMTP协议发送邮件的时候必不需要任何验证，身份欺骗极易实现，尤其是通过像263、163这样的大型邮件服务商。现在将POP协议收取邮件需要用户名/密码验证的思想移至到SMTP协议，发送邮件也需要类似的验证。现在通常的做法是使用与接收邮件相同的用户名和密码来发送邮件，采用这种方法之后，虽然SMTP协议安全性的问题仍然无法从根本上得到解决，但是电子邮件欺骗已经变得不像过去那么容易了。那种任何人都可以使用服务器发送大量垃圾邮件和欺骗邮件的情况已经不可能发生了。但是，不是所有的邮件服务器都添加了SMTP身份验证的功能，尤其是一些中小单位的邮件服务器。这是无可奈何的现实。 * 域名解析：就是将用户提出的名字变换成网络地址的方法和过程，从概念上讲，域名解析是一个自上而下的过程。 当DNS客户端提出名字得时候，接