lecture06-網(wǎng)絡(luò)攻擊的分析(欺騙)

1、1網(wǎng)絡(luò)攻擊的分析網(wǎng)絡(luò)攻擊的分析欺騙欺騙（附加）（附加）王麗蘋華東師范大學(xué)軟件學(xué)院2021年7月19日2OutlinenInternet的安全缺陷（附加）的安全缺陷（附加）nTCP/IP overviewn監(jiān)聽監(jiān)聽n欺騙欺騙n拒絕服務(wù)拒絕服務(wù)n其它的一些攻擊其它的一些攻擊3欺騙技術(shù)欺騙技術(shù)nIP欺騙欺騙n假冒他人的假冒他人的IP地址發(fā)送信息地址發(fā)送信息n郵件欺騙郵件欺騙n假冒他人的假冒他人的email地址發(fā)送信息地址發(fā)送信息nWeb欺騙欺騙n你能相信你所看到的信息嗎？你能相信你所看到的信息嗎？nDNS欺騙欺騙n假冒合法的假冒合法的DNS服務(wù)器向請(qǐng)求方返回一個(gè)被篡改的域服務(wù)器向請(qǐng)求方返回一個(gè)被篡改

2、的域名到名到IP地址的應(yīng)答地址的應(yīng)答n其他欺騙術(shù)其他欺騙術(shù)n非技術(shù)性欺騙非技術(shù)性欺騙4IP欺騙：欺騙：IP Spoofing (1 of 2)n1985年年Robert T.Morris在文章中首次提在文章中首次提到了到了IP欺騙的概念欺騙的概念n含義：含義：攻擊者偽造數(shù)據(jù)包的源地址的攻擊。攻擊者偽造數(shù)據(jù)包的源地址的攻擊。nIP欺騙先決條件欺騙先決條件nIP數(shù)據(jù)包路由原則：根據(jù)目標(biāo)地址進(jìn)行路由數(shù)據(jù)包路由原則：根據(jù)目標(biāo)地址進(jìn)行路由nIP欺騙的動(dòng)機(jī)欺騙的動(dòng)機(jī)n隱藏自己的隱藏自己的IP地址，防止被跟蹤地址，防止被跟蹤n以以IP地址作為授權(quán)依據(jù)地址作為授權(quán)依據(jù)n穿越防火墻穿越防火墻5IP欺騙：欺騙：I

3、P Spoofing(2 of 2)nIP欺騙模型的組成：欺騙模型的組成：n攻擊目標(biāo)攻擊目標(biāo)n被攻擊目標(biāo)信任的一臺(tái)被攻擊目標(biāo)信任的一臺(tái)“合法合法”主機(jī)主機(jī)n攻擊者攻擊者nIP欺騙的形式欺騙的形式n單向單向IP欺騙：不考慮回傳的數(shù)據(jù)包欺騙：不考慮回傳的數(shù)據(jù)包n雙向雙向IP欺騙：要求看到回傳的數(shù)據(jù)包欺騙：要求看到回傳的數(shù)據(jù)包n更高級(jí)的欺騙：更高級(jí)的欺騙：TCP會(huì)話劫持會(huì)話劫持6IP欺騙：實(shí)例欺騙：實(shí)例n攻擊者和受信任主機(jī)位于攻擊者和受信任主機(jī)位于同一個(gè)網(wǎng)段：同一個(gè)網(wǎng)段：n如圖：如圖：B信任信任A并允許它訪并允許它訪問問B的的Rlogin服務(wù)，服務(wù)，C想借想借助助AB的信任關(guān)系訪問的信任關(guān)系訪問B上

4、上的服務(wù)，具體步驟如下：的服務(wù)，具體步驟如下：nC向向A實(shí)施攻擊使它不能正實(shí)施攻擊使它不能正常工作。常工作。nC更改自己的更改自己的IP地址為地址為A的的IP地址地址nC可以成功的向可以成功的向B請(qǐng)求服務(wù)，請(qǐng)求服務(wù)，并使用其中的功能并使用其中的功能ABCA,B之間有信任關(guān)系之間有信任關(guān)系攻擊攻擊更改更改IP獲取獲取B的服務(wù)的服務(wù)7電子郵件欺騙電子郵件欺騙n電子郵件欺騙的動(dòng)機(jī)電子郵件欺騙的動(dòng)機(jī)n隱藏發(fā)信人的身份，匿名信隱藏發(fā)信人的身份，匿名信n挑撥離間，唯恐世界不亂挑撥離間，唯恐世界不亂n騙取敏感信息騙取敏感信息nn欺騙的形式欺騙的形式n使用類似的電子郵件地址使用類似的電子郵件地址n修改郵件客戶

5、軟件的賬號(hào)配置修改郵件客戶軟件的賬號(hào)配置n直接連到直接連到smtp服務(wù)器上發(fā)信服務(wù)器上發(fā)信n電子郵件欺騙成功的要訣電子郵件欺騙成功的要訣n與郵局的運(yùn)作模式比較與郵局的運(yùn)作模式比較n基本的電子郵件協(xié)議不包括簽基本的電子郵件協(xié)議不包括簽名機(jī)制名機(jī)制n發(fā)信可以要求認(rèn)證發(fā)信可以要求認(rèn)證8電子郵件欺騙電子郵件欺騙-類似的電子郵件地址類似的電子郵件地址n發(fā)信人使用被假冒者的名字注冊(cè)一個(gè)賬號(hào)，然發(fā)信人使用被假冒者的名字注冊(cè)一個(gè)賬號(hào)，然后給目標(biāo)發(fā)送一封正常的信后給目標(biāo)發(fā)送一封正常的信n例如例如: Tom為為John的上司，的上司，Peter假冒假冒Tom的名字在的名字在某郵件系統(tǒng)上以某郵件系統(tǒng)上以Tom的名義

6、注冊(cè)一個(gè)郵箱。然后冒的名義注冊(cè)一個(gè)郵箱。然后冒充充Tom向其下屬向其下屬John發(fā)送郵件，試圖獲得敏感信息發(fā)送郵件，試圖獲得敏感信息 Hello John我是你的上我是你的上司司Tom，請(qǐng)把，請(qǐng)把XXX發(fā)發(fā)送給我送給我我在外面度假，請(qǐng)送我在外面度假，請(qǐng)送到我的個(gè)人信箱到我的個(gè)人信箱她能相信嗎她能相信嗎？9電子郵件欺騙電子郵件欺騙- 修改郵件客戶軟件的帳戶配置修改郵件客戶軟件的帳戶配置n郵件帳戶配置郵件帳戶配置n姓名姓名(Name)屬性屬性：會(huì)：會(huì)出現(xiàn)在接收方出現(xiàn)在接收方“From”和和“Reply-To”字段中，字段中，然后顯示在然后顯示在“發(fā)件人發(fā)件人”信息中信息中n電子郵件地址電子郵件地址

7、：會(huì)出現(xiàn)：會(huì)出現(xiàn)在接收方在接收方 “From”字字段中段中n回復(fù)地址回復(fù)地址：會(huì)出現(xiàn)在：會(huì)出現(xiàn)在“Reply-To”字段中，字段中，可以不填，默認(rèn)與電子可以不填，默認(rèn)與電子郵件地址相同郵件地址相同以上信息可以在客戶端按照自己的信息以上信息可以在客戶端按照自己的信息配制，帳號(hào)真實(shí)的地址為配制，帳號(hào)真實(shí)的地址為10電子郵件欺騙電子郵件欺騙- 修改郵件客戶軟件的帳戶配置修改郵件客戶軟件的帳戶配置n例如：利用上述更改后的信息給例如：利用上述更改后的信息給發(fā)送郵件，接收方收到什么信息呢？發(fā)送郵件，接收方收到什么信息呢？11電子郵件欺騙電子郵件欺騙- 修改郵件客戶軟件的帳戶配置修改郵件客戶軟件的帳戶配置n

8、接收方的郵件詳細(xì)信息，需要從郵件頭中發(fā)現(xiàn)破接收方的郵件詳細(xì)信息，需要從郵件頭中發(fā)現(xiàn)破綻。綻。通過郵件客戶端假通過郵件客戶端假冒的郵件地址。冒的郵件地址。12電子郵件欺騙電子郵件欺騙- 修改郵件客戶軟件的帳戶配置修改郵件客戶軟件的帳戶配置n接收方回復(fù)的郵件將會(huì)到什么地址？接收方回復(fù)的郵件將會(huì)到什么地址？冒充者最終不能收到返回的信冒充者最終不能收到返回的信息，但是可能會(huì)通過其他的方息，但是可能會(huì)通過其他的方法竊聽返回的郵件內(nèi)容。法竊聽返回的郵件內(nèi)容。13電子郵件欺騙電子郵件欺騙- 直接連到直接連到smtp服務(wù)器上發(fā)信服務(wù)器上發(fā)信ntelnet到郵件服務(wù)器的端口到郵件服務(wù)器的端口25，然后通過，然后

9、通過調(diào)用調(diào)用smtp的命令發(fā)送郵件。的命令發(fā)送郵件。n常見的常見的smtp命令：命令：nhelo 建立一次新的郵件連接建立一次新的郵件連接nmail from：指明發(fā)件人的地址：指明發(fā)件人的地址nrcpt to：指明接收郵件人的地址：指明接收郵件人的地址ndata: 郵件的內(nèi)容（輸入郵件的內(nèi)容（輸入.號(hào)表示結(jié)束）號(hào)表示結(jié)束）nquit: 結(jié)束郵件交換結(jié)束郵件交換14電子郵件欺騙電子郵件欺騙- 直接連到直接連到smtp服務(wù)器上服務(wù)器上發(fā)信發(fā)信n例如：登陸某郵件服務(wù)器，發(fā)送郵例如：登陸某郵件服務(wù)器，發(fā)送郵件可以包含如下步驟：件可以包含如下步驟：n （1）telnet webmail.*.*.* 2

10、5服務(wù)方反饋服務(wù)方反饋220 ESMTPn（2）客戶端輸入）客戶端輸入helo服務(wù)方反饋服務(wù)方反饋 250 HELO:n（3）客戶方輸入）客戶方輸入mail from:“friend” 服務(wù)方反饋服務(wù)方反饋250 OK (eyou mta)n（4）客戶方輸入）客戶方輸入rcpt to:wlp服務(wù)方反饋服務(wù)方反饋250 OK (eyou mta) ( _104857600)n（5）客戶方輸入）客戶方輸入data服務(wù)方反饋服務(wù)方反饋354 go ahead (eyou mta)n（6）客戶方輸入郵件信息和結(jié)束標(biāo)）客戶方輸入郵件信息和結(jié)束標(biāo)記記”.” 服務(wù)方反饋：服務(wù)方反饋：250 OK:has q

11、ueued (eyou mta)窗口中顯示的僅僅是服務(wù)方向客窗口中顯示的僅僅是服務(wù)方向客戶方的反饋信息，從客戶端輸入戶方的反饋信息，從客戶端輸入的字符將不會(huì)在窗口中顯示的字符將不會(huì)在窗口中顯示15電子郵件欺騙電子郵件欺騙- 直接連到直接連到smtp服務(wù)器上服務(wù)器上發(fā)信發(fā)信n在此例中客戶端的輸入信息和服務(wù)方的反饋信息可在此例中客戶端的輸入信息和服務(wù)方的反饋信息可以對(duì)照如下以對(duì)照如下helomail from:friendrcpt to:wlpdataReply-To:friendFrom:friend Subject: testDear friend: please give your mess

12、age!.接收方會(huì)收到什么樣的信息呢？接收方會(huì)收到什么樣的信息呢？16電子郵件欺騙電子郵件欺騙- 直接連到直接連到smtp服務(wù)器上服務(wù)器上發(fā)信發(fā)信n接收方的信息：接收方的信息：Data命令成命令成功后輸入的功后輸入的內(nèi)容內(nèi)容17防止郵件欺騙的措施防止郵件欺騙的措施n服務(wù)器防欺騙措施服務(wù)器防欺騙措施n郵件服務(wù)器的驗(yàn)證郵件服務(wù)器的驗(yàn)證nSmtp服務(wù)器驗(yàn)證發(fā)送者的身份，以及發(fā)送的郵件地址是否與服務(wù)器驗(yàn)證發(fā)送者的身份，以及發(fā)送的郵件地址是否與郵件服務(wù)器屬于相同的域郵件服務(wù)器屬于相同的域n驗(yàn)證發(fā)送者的域名是否有效，通過反向驗(yàn)證發(fā)送者的域名是否有效，通過反向DNS解析解析n審核制度，所有的郵件都有記錄。（

13、可能與隱私的保護(hù)審核制度，所有的郵件都有記錄。（可能與隱私的保護(hù)有所沖突）有所沖突）n用戶防欺騙措施：用戶防欺騙措施：n不能防止一個(gè)用戶通過類似的郵件地址冒充另一個(gè)用戶不能防止一個(gè)用戶通過類似的郵件地址冒充另一個(gè)用戶發(fā)送郵件發(fā)送郵件.n用戶需要有安全意識(shí)，發(fā)送郵件前查看郵件頭核實(shí)對(duì)方用戶需要有安全意識(shí)，發(fā)送郵件前查看郵件頭核實(shí)對(duì)方身份后再回復(fù)。身份后再回復(fù)。18Web欺騙欺騙nWeb是應(yīng)用層上提供的服務(wù)，直接面向是應(yīng)用層上提供的服務(wù)，直接面向Internet用戶，欺騙的根源在于用戶，欺騙的根源在于n由于由于Internet的開放性，任何人都可以建立自己的的開放性，任何人都可以建立自己的Web站

14、點(diǎn)站點(diǎn)nWeb站點(diǎn)名字站點(diǎn)名字(DNS域名域名)可以自由注冊(cè)，按先后順序可以自由注冊(cè)，按先后順序n 每一個(gè)使用每一個(gè)使用web的用戶對(duì)其運(yùn)行的原理并不是很清楚的用戶對(duì)其運(yùn)行的原理并不是很清楚nWeb欺騙的動(dòng)機(jī)欺騙的動(dòng)機(jī)n商業(yè)利益，商業(yè)競(jìng)爭(zhēng)商業(yè)利益，商業(yè)競(jìng)爭(zhēng)n政治目的政治目的n 經(jīng)濟(jì)利益經(jīng)濟(jì)利益nWeb欺騙的形式：使用相似的域名、改寫欺騙的形式：使用相似的域名、改寫URL等等19Web欺騙欺騙使用類似的域名使用類似的域名n注冊(cè)一個(gè)與目標(biāo)公司或組注冊(cè)一個(gè)與目標(biāo)公司或組織相似的域名，然后建立織相似的域名，然后建立一個(gè)欺騙網(wǎng)站，騙取該公一個(gè)欺騙網(wǎng)站，騙取該公司的用戶的信任，以便得司的用戶的信任，以便得

15、到這些用戶的信息到這些用戶的信息n例如，曾在網(wǎng)絡(luò)中存在的假例如，曾在網(wǎng)絡(luò)中存在的假工行網(wǎng)站就用工行網(wǎng)站就用WWW.1CBC.COM 來(lái)混淆來(lái)混淆WWW.ICBC.COM，騙取，騙取用戶的帳戶和密碼信息用戶的帳戶和密碼信息 n對(duì)于借助互聯(lián)網(wǎng)從事商業(yè)活對(duì)于借助互聯(lián)網(wǎng)從事商業(yè)活動(dòng)或者電子貨幣服務(wù)的用戶，動(dòng)或者電子貨幣服務(wù)的用戶，應(yīng)對(duì)這種欺騙提高警惕應(yīng)對(duì)這種欺騙提高警惕20Web欺騙欺騙-改寫改寫URLn一個(gè)一個(gè)HTTP頁(yè)面從頁(yè)面從Web服務(wù)器到瀏覽器的傳輸過程中，如服務(wù)器到瀏覽器的傳輸過程中，如果其中的內(nèi)容被修改了的話，則欺騙就會(huì)發(fā)生，其中最重果其中的內(nèi)容被修改了的話，則欺騙就會(huì)發(fā)生，其中最重要的是

16、要的是URL改寫改寫nURL改寫可以把用戶帶到不該去的地方，例如：改寫可以把用戶帶到不該去的地方，例如： Welcom to ICBC.n有一些更為隱蔽的做法有一些更為隱蔽的做法n直接指向一些惡意的代碼直接指向一些惡意的代碼n把把url定向放到定向放到script代碼中，難以發(fā)現(xiàn)代碼中，難以發(fā)現(xiàn)n改寫頁(yè)面的做法改寫頁(yè)面的做法n入侵入侵Web服務(wù)器，修改頁(yè)面服務(wù)器，修改頁(yè)面n設(shè)置中間設(shè)置中間http代理代理n在傳輸路徑上截獲頁(yè)面并改寫在傳輸路徑上截獲頁(yè)面并改寫n在客戶端裝載后門程序在客戶端裝載后門程序n21防止防止Web欺騙欺騙n使用類似的域名使用類似的域名n注意觀察注意觀察URL地址欄的變化地

17、址欄的變化n不要信任不可靠的不要信任不可靠的URL信息信息n改寫改寫URLn查看頁(yè)面的源文本可以發(fā)現(xiàn)查看頁(yè)面的源文本可以發(fā)現(xiàn)n禁止瀏覽器中的禁止瀏覽器中的JavaScript功能，那么各類改寫信息功能，那么各類改寫信息將無(wú)法完成。（但可能影響正常的瀏覽）將無(wú)法完成。（但可能影響正常的瀏覽）n使用使用ssl（Security Scoket Layer）防止信息被改寫）防止信息被改寫 nWeb的安全問題很多，我們需要更多的手段來(lái)保的安全問題很多，我們需要更多的手段來(lái)保證證Web安全安全22關(guān)于欺騙技術(shù)的小結(jié)關(guān)于欺騙技術(shù)的小結(jié)n從這些欺騙技術(shù)，我們可以看到從這些欺騙技術(shù)，我們可以看到nIP協(xié)議的脆弱性協(xié)議的脆弱性n應(yīng)用層上也缺乏有效的安全措施應(yīng)用層上也缺乏有效的安全措施n在網(wǎng)絡(luò)攻擊技術(shù)中，欺騙