標題:
〔分享〕欺騙攻擊技術常見種類解析及防範
[打印本頁]
作者:
kuochefan
時間:
2008-8-1 11:21 PM
標題:
〔分享〕欺騙攻擊技術常見種類解析及防範
IP欺騙攻擊
IP欺騙技術就是透過偽造某台主機的IP位址騙取特權從而進行攻擊的技術。許多應用程式認為如果數據包能夠使其自身沿著路由到達到達站,而且應答包也可以回到源地,那么源IP位址一定是有效的,而這正是使源IP位址欺騙攻擊成為可能的前提。
假設同一網段內有兩台主機A、B,另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權,所做欺騙攻擊如下︰首先,X冒充A,向主機 B發送一個帶有隨機序列號的SYN包。主機B附應,回送一個應答包給A,該應答號等于原序 列號加1。然而,此時主機A已被主機X利用拒絕服務攻擊 “淹沒”了,導致主機A服務失效。結果,主機A將B發來的包丟棄。為了完成三次握手,X還需要向B回送一個應答包,其應答號等于B向A發送數據包的序列號加1。此時主機X 並不能檢測到主機B的數據包(因為不在同一網段),只有利用TCP順序號估算法來預測應答包的順序號並將其發送給目標機B。如果猜測正確,B則認為收到的 ACK是來自內部主機A。此時,X即獲得了主機A在主機B上所享有的特權,並開始對這些服務實施攻擊。
要防止源IP位址欺騙行為,可以採取以下措施來儘可能地保護系統免受這類攻擊︰
•拋棄基于地址的信任策略︰ 阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗証。不允許r類遠程調用命令的使用;刪除.rhosts 文件;清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段,如telnet、ssh、skey等等。
•使用加密方法︰ 在包發送到 網絡上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網路環境,但它將保證數據的完整性和真實性。
•進行包過濾︰可以配置路由器使其能夠拒絕網絡外部與本網內具有相同IP地址的連接請求。而且,當包的IP位址不在本網內時,路由器不應該把本網主機的包發送出去。
有一點要注意,路由器雖然可以封鎖試圖到達內部網路的特定類型的包。但它們也是透過分析測試源位址來實現操作的。因此,它們僅能對聲稱是來自于內部網路的外來包進行過濾,若你的網路存在外部可信任主機,那么路由器將無法防止別人冒充這些主機進行IP欺騙。
ARP欺騙攻擊
在局域網中,通信前必須透過ARP協議來完成IP位址轉換為第二層物理位址(即 MAC位址)。ARP協議對網路安全具有重要的意義,但是當初ARP模式的設計沒有考慮到過多的安全問題,給ARP留下很多的隱患,ARP欺騙就是其中一個例子。而ARP欺騙攻擊就是利用該協議漏洞,透過偽造IP位址和MAC位址實現ARP欺騙的攻擊技術。
我們假設有三台主機A,B,C位于同一個交換式局域網中,監聽者處于主機A,而主 機B,C正在通信。現下A希望能嗅探到B->C的數據,于是A就可以偽裝成C對B做ARP欺騙──向B發送偽造的ARP應答包,應答包中IP位址為C的IP位址而MAC位址為A的MAC位址。這個應答包會刷新B的ARP緩存,讓B認為A就是C,說詳細點,就是讓B認為C的IP位址映射到的MAC位址為主機A的MAC位址。這樣,B想要發送給C的數據實際上卻發送給了A,就達到了嗅探的目的。我們在嗅探到數據后,還必須將此數據轉發給C,這樣就可以保證B,C的通信不被中斷。
以上就是基于ARP欺騙的嗅探基本原理,在這種嗅探方法中,嗅探者A實際上是插入到了B->C中, B的數據先發送給了A,然後再由A轉發給C,其數據傳輸關係如下所示︰
B----->A----->C
B<----A<------C
于是A就成功于截獲到了它B發給C的數據。上面這就是一個簡單的ARP欺騙的例子。
ARP欺騙攻擊有兩種可能,一種是對路由器ARP表的欺騙;另一種是對內網電腦ARP表的欺騙,當然也可能兩種攻擊同時進行。但不管怎么樣,欺騙發送后,電腦和路由器之間發送的數據可能就被送到錯誤的MAC位址上。
防范ARP欺騙攻擊可以採取如下措施︰
•在客戶端使用arp命令綁定網關的真實MAC地址命令
•在交換機上做端口與MAC地址的靜態綁定。
•在路由器上做IP地址與MAC地址的靜態綁定
•使用“ARP SERVER”按一定的時間間隔廣播網段內所有主機的正確IP-MAC映射表。
DNS欺騙攻擊
DNS欺騙即域名訊息欺騙是最常見的DNS安全問題。當一個DNS伺服器掉入陷阱, 使用了來自一個惡意DNS伺服器的錯誤訊息,那么該DNS伺服器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS伺服器產生許多安全問題,例如︰將用戶引 導到錯誤的互聯網站點,或者發送一個電子郵件到一個未經授權的郵件伺服器。網路攻擊者通常透過以下幾種方法進行DNS欺騙。
(1)緩存感染
黑客會熟練的使用DNS請求,將數據放入一個沒有設防的DNS伺服器的緩存當中。這些緩存訊息會在客戶進行DNS訪問時返回給客戶,從而將客戶引導到入侵者所設置的營運木馬的Web伺服器或郵件伺服器上,然後黑客從這些伺服器上獲取用戶訊息。
(2)DNS訊息劫持
入侵者透過監聽客戶端和DNS伺服器的對話,透過猜測伺服器附應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號,DNS伺服器根據這個ID號獲取請求源位置。黑客在DNS伺服器之前將虛假的附應交給用戶,從而欺騙客戶端去訪問惡意的網站。
(3)DNS重定向
攻擊者能夠將DNS名稱查詢重定向到惡意DNS伺服器。這樣攻擊者可以獲得DNS伺服器的寫權限。
防范DNS欺騙攻擊可採取如下措施
•直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊。但這需要你記住要訪問的IP位址。
文章來源:黑客基地
作者:Trudy
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5