行業資(zī)訊
   
欺騙類攻擊的種類以及防範
發布時間:2011-11-4
浏覽人數:3553

欺騙類攻擊的種類以及防範

  許多應用程序認爲如果數據包能夠使其自身沿着路由到達目的地,而且應答包也可以回到源地,那麽源IP地址一(yī)定是有效的,而這正是使源IP地址欺騙攻擊成爲可能的前提。

  IP欺騙攻擊

  IP欺騙技術就是通過僞造某台主機的IP地址騙取特權從而進行攻擊的技術。許多應用程序認爲如果數據包能夠使其自身沿着路由到達目的地,而且應答包也可以回到源地,那麽源IP地址一(yī)定是有效的,而這正是使源IP地址欺騙攻擊成爲可能的前提。

  假設同一(yī)網段内有兩台主機A、B,另一(yī)網段内有主機X。B授予A某些特權。X爲獲得與A相同的特權,所做欺騙攻擊如下(xià):首先,X冒充A,向主機B發送一(yī)個帶有随機序列号的SYN包。主機B響應,回送一(yī)個應答包給A,該應答号等于原序列号加1。然而,此時主機A已被主機X利用拒絕服務攻擊“淹沒”了,導緻主機A服務失效。結果,主機A将B發來的包丢棄。爲了完成三次握手,X還需要向B回送一(yī)個應答包,其應答号等于B向A發送數據包的序列号加1。此時主機X并不能檢測到主機B的數據包(因爲不在同一(yī)網段),隻有利用TCP順序号估算法來預測應答包的順序号并将其發送給目标機B。如果猜測正确,B則認爲收到的ACK是來自内部主機A。此時,X即獲得了主機A在主機B上所享有的特權,并開(kāi)始對這些服務實施攻擊。

  要防止源IP地址欺騙行爲,可以采取以下(xià)措施來盡可能地保護系統免受這類攻擊:

  ·抛棄基于地址的信任策略:阻止這類攻擊的一(yī)種非常容易的辦法就是放(fàng)棄以地址爲基礎的驗證。不允許r類遠程調用命令的使用;删除.rhosts文件;清空/etc/hosts.equiv文件。這将迫使所有用戶使用其它遠程通信手段,如telnet、ssh、skey等等。

  ·使用加密方法:在包發送到網絡上之前,我(wǒ)們可以對它進行加密。雖然加密過程要求适當改變目前的網絡環境,但它将保證數據的完整性和真實性。

  ·進行包過濾:可以配置路由器使其能夠拒絕網絡外(wài)部與本網内具有相同IP地址的連接請求。而且,當包的IP地址不在本網内時,路由器不應該把本網主機的包發送出去(qù)。

  有一(yī)點要注意,路由器雖然可以封鎖試圖到達内部網絡的特定類型的包。但它們也是通過分(fēn)析測試源地址來實現操作的。因此,它們僅能對聲稱是來自于内部網絡的外(wài)來包進行過濾,若你的網絡存在外(wài)部可信任主機,那麽路由器将無法防止别人冒充這些主機進行IP欺騙。

  ARP欺騙攻擊

  在局域網中(zhōng),通信前必須通過ARP協議來完成IP地址轉換爲第二層物(wù)理地址(即MAC地址)。ARP協議對網絡安全具有重要的意義,但是當初ARP方式的設計沒有考慮到過多的安全問題,給ARP留下(xià)很多的隐患,ARP欺騙就是其中(zhōng)一(yī)個例子。而ARP欺騙攻擊就是利用該協議漏洞,通過僞造IP地址和MAC地址實現ARP欺騙的攻擊技術。

  我(wǒ)們假設有三台主機A,B,C位于同一(yī)個交換式局域網中(zhōng),監聽(tīng)者處于主機A,而主機B,C正在通信。現在A希望能嗅探到B->C的數據,于是A就可以僞裝成C對B做ARP欺騙——向B發送僞造的ARP應答包,應答包中(zhōng)IP地址爲C的IP地址而MAC地址爲A的MAC地址。這個應答包會刷新B的ARP緩存,讓B認爲A就是C,說詳細點,就是讓B認爲C的IP地址映射到的MAC地址爲主機A的MAC地址。這樣,B想要發送給C的數據實際上卻發送給了A,就達到了嗅探的目的。我(wǒ)們在嗅探到數據後,還必須将此數據轉發給C,這樣就可以保證B,C的通信不被中(zhōng)斷。

  以上就是基于ARP欺騙的嗅探基本原理,在這種嗅探方法中(zhōng),嗅探者A實際上是插入到了B->C中(zhōng),B的數據先發送給了A,然後再由A轉發給C,其數據傳輸關系如下(xià)所示:

  B->A->C

  B<A<--C

  于是A就成功于截獲到了它B發給C的數據。上面這就是一(yī)個簡單的ARP欺騙的例子。

  ARP欺騙攻擊

  有兩種可能,一(yī)種是對路由器ARP表的欺騙;另一(yī)種是對内網電腦ARP表的欺騙,當然也可能兩種攻擊同時進行。但不管怎麽樣,欺騙發送後,電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上。


防範ARP欺騙攻擊可以采取如下(xià)措施:

  ·在客戶端使用arp命令綁定網關的真實MAC地址命令

  ·在交換機上做端口與MAC地址的靜态綁定。

  ·在路由器上做IP地址與MAC地址的靜态綁定

  ·使用“ARP SERVER”按一(yī)定的時間間隔廣播網段内所有主機的正确IP-MAC映射表。

  DNS欺騙攻擊

  DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一(yī)個DNS服務器掉入陷阱,使用了來自一(yī)個惡意DNS服務器的錯誤信息,那麽該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器産生(shēng)許多安全問題,例如:将用戶引導到錯誤的互聯網站點,或者發送一(yī)個電子郵件到一(yī)個未經授權的郵件服務器。網絡攻擊者通常通過以下(xià)幾種方法進行DNS欺騙。

  (1)緩存感染

  黑客會熟練的使用DNS請求,将數據放(fàng)入一(yī)個沒有設防的DNS服務器的緩存當中(zhōng)。這些緩存信息會在客戶進行DNS訪問時返回給客戶,從而将客戶引導到入侵者所設置的運行木馬的Web服務器或郵件服務器上,然後黑客從這些服務器上獲取用戶信息。

  (2)DNS信息劫持

  入侵者通過監聽(tīng)客戶端和DNS服務器的對話(huà),通過猜測服務器響應給客戶端的DNS查詢ID。每個DNS報文包括一(yī)個相關聯的16位ID号,DNS服務器根據這個ID号獲取請求源位置。黑客在DNS服務器之前将虛假的響應交給用戶,從而欺騙客戶端去(qù)訪問惡意的網站。

  (3)DNS重定向

  攻擊者能夠将DNS名稱查詢重定向到惡意DNS服務器。這樣攻擊者可以獲得DNS服務器的寫權限。

  防範DNS欺騙攻擊可采取如下(xià)措施:

  ·直接用IP訪問重要的服務,這樣至少可以避開(kāi)DNS欺騙攻擊。但這需要你記住要訪問的IP地址。

  ·加密所有對外(wài)的數據流,對服務器來說就是盡量使用SSH之類的有加密支持的協議,對一(yī)般用戶應該用PGP之類的軟件加密所有發到網絡上的數據。這也并不是怎麽容易的事情。

  源路由欺騙攻擊

  通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作,這就是源路由攻擊。在通常情況下(xià),信息包從起點到終點走過的路徑是由位于此兩點間的路由器決定的,數據包本身隻知(zhī)道去(qù)往何處,但不知(zhī)道該如何去(qù)。源路由可使信息包的發送者将此數據包要經過的路徑寫在數據包裏,使數據包循着一(yī)個對方不可預料的路徑到達目的主機。下(xià)面仍以上述源IP欺騙中(zhōng)的例子給出這種攻擊的形式:

  主機A享有主機B的某些特權,主機X想冒充主機A從主機B(假設IP爲aaa.bbb.ccc.ddd)獲得某些服務。首先,攻擊者修改距離(lí)X最近的路由器,使得到達此路由器且包含目的地址aaa.bbb.ccc.ddd的數據包以主機X所在的網絡爲目的地;然後,攻擊者X利用IP欺騙向主機B發送源路由(指定最近的路由器)數據包。當B回送數據包時,就傳送到被更改過的路由器。這就使一(yī)個入侵者可以假冒一(yī)個主機的名義通過一(yī)個特殊的路徑來獲得某些被保護數據。

  爲了防範源路由欺騙攻擊,一(yī)般采用下(xià)面兩種措施:

  ·對付這種攻擊最好的辦法是配置好路由器,使它抛棄那些由外(wài)部網進來的卻聲稱是内部主機的報文。

  ·在路由器上關閉源路由。用命令no ip source-route。

新聞資(zī)訊
聯系我(wǒ)們

聯系電話(huà):020-87518715

聯系郵箱:services@picusit.com

公司名稱:鄭州易科計算機服務有限公司

公司地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

熱線咨詢電話(huà):

020-87518715

公司地址:
廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601
手機掃碼查看更多
如有問題咨詢請及時與我(wǒ)們溝通,我(wǒ)們會爲您詳細解答!
Copyright © 鄭州易科計算機服務有限公司 地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

網站首頁

公司介紹

服務項目

成功案例

技術動态

聯系方式