协议欺骗攻击技术常见种类简析及防范.docx

IP 欺骗攻击 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。 许多应用程序认为如果数据包能够使其自身沿着路由到达目的地 ,而且应答包也可 以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能 的前提。 假设同一网段内有两台主机 A、B,另一网段内有主机X。B授予A某些特权。 X为获得与A相同的特权，所做欺骗攻击如下：首先,X冒充A,向主机B发送一个带 有随机序列号的 SYN 包。主机 B 响应,回送一个应答包给 A ,该应答号等于原序列 号加1。然而，此时主机A已被主机X利用拒绝服务攻击 淹没”了，导致主机A服务 失效。结果，主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个 应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X并不能检测到 主机B的数据包（因为不在同一网段，只有利用TCP顺序号估算法来预测应答包的顺 序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机 A。此时,X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻 击。 要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻 击:抛弃基于地址的信任策略：阻止这类攻击的一种非常容易的办法就是放弃以地址 为基础的验证。不允许r类远程调用命令的使用 删除.rhosts文件;清空 /etc/hosts.equiv文件。这将迫使所有用户使用其它远程通信手段 ，如tel net、ssh skey等等。 使用加密方法：在包发送到网络上之前，我们可以对它进行加密。虽然加密过程 要求适当改变目前的网络环境 ,但它将保证数据的完整性和真实性。 进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同 IP地址 的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送 出去。 有一点要注意 ,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它 们也是通过分析测试源地址来实现操作的。因此 ,它们仅能对声称是来自于内部网 络的外来包进行过滤 ,若你的网络存在外部可信任主机 ,那么路由器将无法防止别人 冒充这些主机进行 IP 欺骗。 ARP 欺骗攻击 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址 （即MAC地址。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没 有考虑到过多的安全问题，给ARP留下很多的隐患,ARP欺骗就是其中一个例子。 而ARP欺骗攻击就是利用该协议漏洞，通过伪造IP地址和MAC地址实现ARP欺 骗的攻击技术。 我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A,而 主机B,C正在通信。现在A希望能嗅探到B-C的数据，于是A就可以伪装成C对 B做ARP欺骗——向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而 MAC地址为A的MAC地址。这个应答包会刷新 B的ARP缓存，让B认为A就是 C,说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地 址。这样,B想要发送给C的数据实际上却发送给了 A,就达到了嗅探的目的。我们 在嗅探到数据后，还必须将此数据转发给 C,这样就可以保证B,C的通信不被中断。 以上就是基于 ARP 欺骗的嗅探基本原理 ,在这种嗅探方法中 ,嗅探者 A 实际上 是插入到了 B-C中,B的数据先发送给了 A,然后再由A转发给C,其数据传输关系 如下所示 : B A C B A C 于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的 ARP欺 骗的例子。 ARP欺骗攻击有两种可能，一种是对路由器ARP表的欺骗;另一种是对内网电 脑ARP表的欺骗，当然也可能两种攻击同时进行。但不管怎么样，欺骗发送后，电脑 和路由器之间发送的数据可能就被送到错误的 MAC 地址上。 防范 ARP 欺骗攻击可以采取如下措施 : 在客户端使用arp命令绑定网关的真实 MAC地址命令 在交换机上做端口与 MAC地址的静态绑定。 在路由器上做IP地址与MAC地址的静态绑定 使用“ARP SERVE”按一定的时间间隔广播网段内所有主机的正确 IP-MAC 映射表。 DNS 欺骗攻击 DNS欺骗即域名信息欺骗是最常见的 DNS安全问题。当一个DNS服务器掉 入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗 了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如:将用户引 导到错误的互联网站点 ,或者发送一个电子邮件到一个未经授权的邮件服务器。网 络攻击者通常通过以下几种方法进行 DNS 欺骗。 (1缓存感染 黑客会熟练的使用DNS请求,将数据放入一个没有设防的 DNS服务器的缓存 当中。这些缓存信息会在