欺騙攻擊與防御技術(shù)課件

1、欺騙攻擊與防御技術(shù)課件欺騙攻擊與防御技術(shù)課件本章內(nèi)容安排5.1 概述 5.2 IP欺騙及防御技術(shù)5.3 ARP欺騙及防御技術(shù) 5.4 電子郵件欺騙及防御技術(shù)5.5 DNS欺騙及防御技術(shù)5.6 Web欺騙及防御技術(shù)5.7 小結(jié)2022/9/112網(wǎng)絡(luò)入侵與防范講義本章內(nèi)容安排5.1 概述 2022/9/94網(wǎng)絡(luò)入侵與防范講5.1 概述在Internet上計算機(jī)之間相互進(jìn)行的交流建立在兩個前提之下：認(rèn)證（Authentication）信任（Trust）2022/9/113網(wǎng)絡(luò)入侵與防范講義5.1 概述在Internet上計算機(jī)之間相互進(jìn)行的交流建立5.1 概述認(rèn)證:認(rèn)證是網(wǎng)絡(luò)上的計算機(jī)用于相互間進(jìn)

2、行識別的一種鑒別過程，經(jīng)過認(rèn)證的過程，獲準(zhǔn)相互交流的計算機(jī)之間就會建立起相互信任的關(guān)系。 2022/9/114網(wǎng)絡(luò)入侵與防范講義5.1 概述認(rèn)證:2022/9/96網(wǎng)絡(luò)入侵與防范講義5.1 概述信任:信任和認(rèn)證具有逆反關(guān)系，即如果計算機(jī)之間存在高度的信任關(guān)系，則交流時就不會要求嚴(yán)格的認(rèn)證。而反之，如果計算機(jī)之間沒有很好的信任關(guān)系，則會進(jìn)行嚴(yán)格的認(rèn)證。2022/9/115網(wǎng)絡(luò)入侵與防范講義5.1 概述信任:2022/9/97網(wǎng)絡(luò)入侵與防范講義5.1 概述欺騙實(shí)質(zhì)上就是一種冒充身份通過認(rèn)證騙取信任的攻擊方式。攻擊者針對認(rèn)證機(jī)制的缺陷，將自己偽裝成可信任方，從而與受害者進(jìn)行交流，最終攫取信息或是展開

3、進(jìn)一步攻擊。 2022/9/116網(wǎng)絡(luò)入侵與防范講義5.1 概述欺騙實(shí)質(zhì)上就是一種冒充身份通過認(rèn)證騙取信任的攻擊5.1 概述目前比較流行的欺騙攻擊主要有5種：IP欺騙：使用其他計算機(jī)的IP來騙取連接，獲得信息或者得到特權(quán)；ARP欺騙：利用ARP協(xié)議的缺陷，把自己偽裝成“中間人”，效果明顯，威力驚人；電子郵件欺騙：電子郵件發(fā)送方地址的欺騙；DNS欺騙：域名與IP地址轉(zhuǎn)換過程中實(shí)現(xiàn)的欺騙；Web欺騙：創(chuàng)造某個萬維網(wǎng)網(wǎng)站的復(fù)制影像，從而達(dá)到欺騙網(wǎng)站用戶目的的攻擊。2022/9/117網(wǎng)絡(luò)入侵與防范講義5.1 概述目前比較流行的欺騙攻擊主要有5種：2022/9/5.2 IP欺騙及防御技術(shù)5.2.1 基

4、本的IP欺騙 5.2.2 IP欺騙的高級應(yīng)用TCP會話劫持5.2.3 IP欺騙攻擊的防御2022/9/118網(wǎng)絡(luò)入侵與防范講義5.2 IP欺騙及防御技術(shù)5.2.1 基本的IP欺騙 2025.2.1 基本的IP欺騙最基本的IP欺騙技術(shù)有三種：簡單的IP地址變化源路由攻擊利用Unix系統(tǒng)的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡單，因此效果也十分有限。2022/9/119網(wǎng)絡(luò)入侵與防范講義5.2.1 基本的IP欺騙最基本的IP欺騙技術(shù)有三種：202簡單的IP地址變化攻擊者將一臺計算機(jī)的IP地址修改為其它主機(jī)的地址，以偽裝冒充其它機(jī)器。首先了解一個網(wǎng)絡(luò)的具體配置及IP分布，然后改變自己的

5、地址，以假冒身份發(fā)起與被攻擊方的連接。這樣做就可以使所有發(fā)送的數(shù)據(jù)包都帶有假冒的源地址。 2022/9/1110網(wǎng)絡(luò)入侵與防范講義簡單的IP地址變化攻擊者將一臺計算機(jī)的IP地址修改為其它主機(jī)簡單的IP地址變化(2) 攻擊者使用假冒的IP地址向一臺機(jī)器發(fā)送數(shù)據(jù)包，但沒有收到任何返回的數(shù)據(jù)包，這被稱之為盲目飛行攻擊（flying blind attack），或者叫做單向攻擊（one-way attack）。因?yàn)橹荒芟蚴芎φ甙l(fā)送數(shù)據(jù)包，而不會收到任何應(yīng)答包。 2022/9/1111網(wǎng)絡(luò)入侵與防范講義簡單的IP地址變化(2) 攻擊者使用假冒的IP簡單的IP地址變化(3)利用這種方法進(jìn)行欺騙攻擊有一些限

6、制，比如說無法建立完整的TCP連接；但是，對于UDP這種面向無連接的傳輸協(xié)議就不會存在建立連接的問題，因此所有單獨(dú)的UDP數(shù)據(jù)包都會被發(fā)送到受害者的系統(tǒng)中。 2022/9/1112網(wǎng)絡(luò)入侵與防范講義簡單的IP地址變化(3)利用這種方法進(jìn)行欺騙攻擊有一些限制，源路由攻擊簡單的IP地址變化很致命的缺陷是攻擊者無法接收到返回的信息流。為了得到從目的主機(jī)返回源地址主機(jī)的數(shù)據(jù)流，有兩個方法：一個方法是攻擊者插入到正常情況下數(shù)據(jù)流經(jīng)過的通路上；另一種方法就是保證數(shù)據(jù)包會經(jīng)過一條給定的路徑，而且作為一次欺騙，保證它經(jīng)過攻擊者的機(jī)器。 2022/9/1113網(wǎng)絡(luò)入侵與防范講義源路由攻擊簡單的IP地址變化很致命

7、的缺陷是攻擊者無法接收到返源路由機(jī)制(2)第一種方法其過程如圖所示:但實(shí)際中實(shí)現(xiàn)起來非常困難，互聯(lián)網(wǎng)采用的是動態(tài)路由，即數(shù)據(jù)包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。2022/9/1114網(wǎng)絡(luò)入侵與防范講義源路由機(jī)制(2)第一種方法其過程如圖所示:2022/9/91源路由機(jī)制(3)第二種方法是使用源路由機(jī)制，保證數(shù)據(jù)包始終會經(jīng)過一條經(jīng)定的途徑，而攻擊者機(jī)器在該途徑中。源路由機(jī)制包含在TCP/IP協(xié)議組中。它允許用戶在IP數(shù)據(jù)包包頭的源路由選項字段設(shè)定接收方返回的數(shù)據(jù)包要經(jīng)過的路徑。某些路由器對源路由包的反應(yīng)是使用其指定的路由，并使用其反

8、向路由來傳送應(yīng)答數(shù)據(jù)。這就使一個入侵者可以假冒一個主機(jī)的名義通過一個特殊的路徑來獲得某些被保護(hù)數(shù)據(jù)。 2022/9/1115網(wǎng)絡(luò)入侵與防范講義源路由機(jī)制(3)第二種方法是使用源路由機(jī)制，保證數(shù)據(jù)包始終會源路由機(jī)制(4)它包括兩種類型的源路由：寬松的源站選擇（LSR）：發(fā)送端指明數(shù)據(jù)流必須經(jīng)過的IP地址清單，但是也可以經(jīng)過除這些地址以外的一些地址。嚴(yán)格的源路由選擇（SRS）：發(fā)送端指明IP數(shù)據(jù)包必須經(jīng)過的確切地址。如果沒有經(jīng)過這一確切路徑，數(shù)據(jù)包會被丟棄，并返回一個ICMP報文。2022/9/1116網(wǎng)絡(luò)入侵與防范講義源路由機(jī)制(4)它包括兩種類型的源路由：2022/9/918源路由機(jī)制的應(yīng)用源

9、站選路給攻擊者帶來了很大的便利。攻擊者可以使用假冒地址A向受害者B發(fā)送數(shù)據(jù)包，并指定了寬松的源站選路或者嚴(yán)格路由選擇(如果確定能經(jīng)過所填入的每個路由的話)，并把自己的IP地址X填入地址清單中。當(dāng)B在應(yīng)答的時候，也應(yīng)用同樣的源路由，因此，數(shù)據(jù)包返回被假冒主機(jī)A的過程中必然會經(jīng)過攻擊者X。這樣攻擊者不再是盲目飛行了，因?yàn)樗塬@得完整的會話信息。 2022/9/1117網(wǎng)絡(luò)入侵與防范講義源路由機(jī)制的應(yīng)用源站選路給攻擊者帶來了很大的便利。2022/利用信任關(guān)系在 Unix世界中，不同主機(jī)的賬戶間可以建立一種特殊的信任關(guān)系，以方便機(jī)器之間的訪問。這常常用于對大量機(jī)器的系統(tǒng)管理。單位里經(jīng)常指定一個管理員管

10、理幾十個區(qū)域或者甚至上百臺機(jī)器。管理員一般都會使用信任關(guān)系和UNIX的r*命令從一個系統(tǒng)方便的切換到另一個系統(tǒng)。r*命令允許一個人登錄遠(yuǎn)程機(jī)器而不必提供口令。這里的信任關(guān)系是基于IP地址進(jìn)行認(rèn)證的，而不是詢問用戶名和口令。也就是說將會認(rèn)可來自可信IP地址的任何人。2022/9/1118網(wǎng)絡(luò)入侵與防范講義利用信任關(guān)系在 Unix世界中，不同主機(jī)的賬戶間可以建立一種利用信任關(guān)系(2)從便利的角度看，信任的關(guān)系是非常有效的，但是從安全的角度來看，是不可取的。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺的機(jī)器，他就能登錄信任該IP的任何機(jī)器上。下面是經(jīng)常使用的一些r*命令：（1）rlogin：remote

11、login，遠(yuǎn)程登錄；（2）rsh：remote shell，遠(yuǎn)程shell；（3）rcp：remote copy,遠(yuǎn)程拷貝。2022/9/1119網(wǎng)絡(luò)入侵與防范講義利用信任關(guān)系(2)從便利的角度看，信任的關(guān)系是非常有效的，但利用信任關(guān)系(3)例子：主機(jī)A、B上各有一個賬戶，在使用當(dāng)中，在A上使用時需要輸入A上的相應(yīng)賬戶，在B上使用時必須輸入在B上的賬戶，主機(jī)A和B把用戶當(dāng)作兩個互不相關(guān)的用戶。為了減少切換時的反復(fù)確認(rèn)，可以在主機(jī)A和主機(jī)B中建立起兩個賬戶的全雙工信任關(guān)系。這可通過在A、B的登陸目錄上各建立一個hosts文件達(dá)到。在主機(jī)A的登陸目錄下建立一個.rhosts文件： echo “B

12、 usernameB” /.rhosts 這就建立起了A對B的信任關(guān)系。從主機(jī)B中就可以直接使用任何r*命令直接登陸到主機(jī)A中，而不用向遠(yuǎn)程主機(jī)提供密碼認(rèn)證。 B對A的信任關(guān)系與之類似。這些r*命令允許基于地址的認(rèn)證方式，它們會根據(jù)服務(wù)請求者的IP地址決定同意還是拒絕訪問。2022/9/1120網(wǎng)絡(luò)入侵與防范講義利用信任關(guān)系(3)例子：2022/9/922網(wǎng)絡(luò)入侵與防范講利用信任關(guān)系(4)這種方法一度被認(rèn)為是IP欺騙最主要的方法。但是，這種欺騙方法只能在Unix環(huán)境下使用，而且也比較陳舊了。 2022/9/1121網(wǎng)絡(luò)入侵與防范講義利用信任關(guān)系(4)這種方法一度被認(rèn)為是IP欺騙最主要的方法。5

13、.2.2 IP欺騙高級應(yīng)用TCP會話劫持基本原理相關(guān)基礎(chǔ)TCP會話劫持過程 TCP會話劫持的危害 實(shí)現(xiàn)TCP會話劫持的兩個小工具 2022/9/1122網(wǎng)絡(luò)入侵與防范講義5.2.2 IP欺騙高級應(yīng)用TCP會話劫持基本原理2022基本原理會話劫持就是接管一個現(xiàn)存動態(tài)會話的過程，換句話說，攻擊者通過會話劫持可以替代原來的合法用戶，同時能夠監(jiān)視并掌握會話內(nèi)容。此時，攻擊者可以對受害者的回復(fù)進(jìn)行記錄，并在接下來的時間里對其進(jìn)行響應(yīng)，展開進(jìn)一步的欺騙和攻擊。會話劫持結(jié)合了嗅探及欺騙技術(shù)。 2022/9/1123網(wǎng)絡(luò)入侵與防范講義基本原理會話劫持就是接管一個現(xiàn)存動態(tài)會話的過程，換句話說，攻基本原理(2)在

14、一般的欺騙攻擊中攻擊者并不是積極主動地使一個用戶下線來實(shí)現(xiàn)他針對受害目標(biāo)的攻擊，而是僅僅裝作是合法用戶。此時，被冒充的用戶可能并不在線上，而且它在整個攻擊中不扮演任何角色，因此攻擊者不會對它發(fā)動進(jìn)攻。但是在會話劫持中，為了接管整個會話過程，攻擊者需要積極攻擊使被冒充用戶下線。2022/9/1124網(wǎng)絡(luò)入侵與防范講義基本原理(2)在一般的欺騙攻擊中攻擊者并不是積極主動地使一個基本原理(3)一般的欺騙會話劫持2022/9/1125網(wǎng)絡(luò)入侵與防范講義基本原理(3)一般的欺騙會話劫持2022/9/927網(wǎng)絡(luò)入侵相關(guān)基礎(chǔ)TCP三步握手連接建立 序列號機(jī)制2022/9/1126網(wǎng)絡(luò)入侵與防范講義相關(guān)基礎(chǔ)T

15、CP三步握手連接建立 2022/9/928網(wǎng)絡(luò)入侵TCP三步握手連接建立 2022/9/1127網(wǎng)絡(luò)入侵與防范講義TCP三步握手連接建立 2022/9/929網(wǎng)絡(luò)入侵與防范講序列號機(jī)制序列號是一個32位計數(shù)器，這就意味著可以有大于4億種的可能性組合。簡單地說，序列號用來說明接收方下一步將要接收的數(shù)據(jù)包的順序。也就是說，序列號設(shè)置了數(shù)據(jù)包放入數(shù)據(jù)流的順序，接收方就可以利用序列號告訴發(fā)送方哪些數(shù)據(jù)包已經(jīng)收到，哪些數(shù)據(jù)包還未收到，于是發(fā)送方就能夠依此重發(fā)丟失的數(shù)據(jù)包。 2022/9/1128網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制序列號是一個32位計數(shù)器，這就意味著可以有大于4億序列號機(jī)制(2)例如，如果發(fā)送方

16、發(fā)送了4個數(shù)據(jù)包，它們的序列號分別是1258、1256、1257和1255，接收方不但可以根據(jù)發(fā)送方發(fā)包的序列號將數(shù)據(jù)包進(jìn)行歸序，同時接收方還可以用發(fā)送方的序列號確認(rèn)接收的數(shù)據(jù)包。在這種情況下，接收方送回的確認(rèn)信息是1259，這就等于是說，“下一個我期望從發(fā)送方收到的是序列號為1259的數(shù)據(jù)包”。 2022/9/1129網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制(2)例如，如果發(fā)送方發(fā)送了4個數(shù)據(jù)包，它們的序列序列號機(jī)制(3)實(shí)際上為了完成上述目的，這里存在：一個屬于發(fā)送方的序列號和另一個是屬于接收方的應(yīng)答號。發(fā)送方發(fā)送數(shù)據(jù)包使用發(fā)送方的序列號，同時當(dāng)接收方確認(rèn)從發(fā)送方接收數(shù)據(jù)包時，它也用發(fā)送方的序列號來進(jìn)

17、行確認(rèn)。在另一方面，接收方用屬于自己的序列號送回數(shù)據(jù)。2022/9/1130網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制(3)實(shí)際上為了完成上述目的，這里存在：一個屬于發(fā)序列號機(jī)制(4)數(shù)據(jù)傳輸過程中序列號和應(yīng)答號之間的關(guān)系：第二個數(shù)據(jù)包（BA）的SEQ = 第一個數(shù)據(jù)包（A B）的ACK；第二個數(shù)據(jù)包（BA）的ACK = 第一個數(shù)據(jù)包（A B）的SEQ +第一個數(shù)據(jù)包（A B）的傳輸數(shù)據(jù)長度。2022/9/1131網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制(4)數(shù)據(jù)傳輸過程中序列號和應(yīng)答號之間的關(guān)系：20序列號機(jī)制(5)再進(jìn)一步推廣，對于整個序列號計數(shù)體制，我們可以得到下面這個結(jié)論：序列號是隨著傳輸數(shù)據(jù)字節(jié)數(shù)遞增的。如果

18、傳輸數(shù)據(jù)字節(jié)數(shù)為10，序列號就增加10；若傳輸?shù)臄?shù)據(jù)為20字節(jié)，序列號就應(yīng)該相應(yīng)增加20。2022/9/1132網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制(5)再進(jìn)一步推廣，對于整個序列號計數(shù)體制，我們可序列號機(jī)制(6)從上面的講解中，我們可以清楚地認(rèn)識到：序列號和應(yīng)答號之間存在著明確的對應(yīng)關(guān)系。因此序列號和應(yīng)答號是完全有可能預(yù)測的，只需要獲取最近的會話數(shù)據(jù)包，就可以猜測下一次通話中的SEQ和ACK。這一局面是TCP協(xié)議固有缺陷造成的，由此帶來的安全威脅也是無法回避的。2022/9/1133網(wǎng)絡(luò)入侵與防范講義序列號機(jī)制(6)從上面的講解中，我們可以清楚地認(rèn)識到：序列號TCP會話劫持過程step1：發(fā)現(xiàn)攻擊目

19、標(biāo)step2：確認(rèn)動態(tài)會話step3：猜測序列號step4：使客戶主機(jī)下線step5：接管會話2022/9/1134網(wǎng)絡(luò)入侵與防范講義TCP會話劫持過程step1：發(fā)現(xiàn)攻擊目標(biāo)2022/9/93step1：發(fā)現(xiàn)攻擊目標(biāo)對于尋找合適的目標(biāo)有兩個關(guān)鍵的問題。首先，通常攻擊者希望這個目標(biāo)是一個準(zhǔn)予TCP會話連接（例如Telnet和FTP等）的服務(wù)器。其次，能否檢測數(shù)據(jù)流也是一個比較重要的問題，因?yàn)樵诠舻臅r候需要猜測序列號。這就需要嗅探之前通信的數(shù)據(jù)包，對于交換網(wǎng)絡(luò)環(huán)境，可能還需要使用ARP欺騙。2022/9/1135網(wǎng)絡(luò)入侵與防范講義step1：發(fā)現(xiàn)攻擊目標(biāo)對于尋找合適的目標(biāo)有兩個關(guān)鍵的問題。st

20、ep2：確認(rèn)動態(tài)會話攻擊者如何尋找動態(tài)會話？與大多數(shù)攻擊不同，會話劫持攻擊適合在網(wǎng)絡(luò)流通量達(dá)到高峰時才會發(fā)生的。首先，他有很多供選擇的會話；其次，網(wǎng)絡(luò)流通量越大則被發(fā)現(xiàn)的可能就越小。如果只有一個用戶進(jìn)行連接并數(shù)次掉線，那么就很有可能引起那個用戶的懷疑。但是，如果網(wǎng)絡(luò)流通量很大并且有很多的用戶進(jìn)行連接，那么用戶們很有可能忽略掉線后面隱藏的問題，也許只是認(rèn)為這是由于網(wǎng)絡(luò)流通過大而引起的。2022/9/1136網(wǎng)絡(luò)入侵與防范講義step2：確認(rèn)動態(tài)會話攻擊者如何尋找動態(tài)會話？2022/9step3：猜測序列號TCP區(qū)分正確數(shù)據(jù)包和錯誤數(shù)據(jù)包僅通過它們的SEQ/ACK序列號。序列號卻是隨著時間的變化而

21、改變的。因此，攻擊者必須成功猜測出序列號。通過嗅探或者ARP欺騙，先發(fā)現(xiàn)目標(biāo)機(jī)正在使用的序列號，再根據(jù)序列號機(jī)制，可以猜測出下一對SEQ/ACK序列號。同時，攻擊者若以某種方法擾亂客戶主機(jī)的SEQ/ACK，服務(wù)器將不再相信客戶主機(jī)正確的數(shù)據(jù)包，從而可以偽裝為客戶主機(jī)，使用正確的SEQ/ACK序列號，現(xiàn)在攻擊主機(jī)就可以與服務(wù)器進(jìn)行連接，這樣就搶劫一個會話連接。2022/9/1137網(wǎng)絡(luò)入侵與防范講義step3：猜測序列號TCP區(qū)分正確數(shù)據(jù)包和錯誤數(shù)據(jù)包僅通過step4：使客戶主機(jī)下線當(dāng)攻擊者獲得了序列號后，為了徹底接管這個會話，他就必須使客戶主機(jī)下線。使客戶主機(jī)下線最簡單的方式就是對其進(jìn)行拒絕服

22、務(wù)攻擊，從而使其不再繼續(xù)響應(yīng)。服務(wù)器會繼續(xù)發(fā)送響應(yīng)給客戶主機(jī)，但是因?yàn)楣粽咭呀?jīng)掌握了客戶主機(jī)，所以該機(jī)器就不再繼續(xù)響應(yīng)。 2022/9/1138網(wǎng)絡(luò)入侵與防范講義step4：使客戶主機(jī)下線當(dāng)攻擊者獲得了序列號后，為了徹底接step5：接管會話既然攻擊者已經(jīng)獲得了他所需要的一切信息，那么他就可以持續(xù)向服務(wù)器發(fā)送數(shù)據(jù)包并且接管整個會話了。在會話劫持攻擊中，攻擊者通常會發(fā)送數(shù)據(jù)包在受害服務(wù)器上建立一個賬戶，甚至留下某些后門。通過這種方式，攻擊者就可以在任何時候輕松進(jìn)入系統(tǒng)了。2022/9/1139網(wǎng)絡(luò)入侵與防范講義step5：接管會話既然攻擊者已經(jīng)獲得了他所需要的一切信息，TCP會話劫持的危害就其

23、實(shí)現(xiàn)原理而言，任何使用Internet進(jìn)行通信的主機(jī)都有可能受到這種攻擊。 會話劫持在理論上是非常復(fù)雜的， 但是現(xiàn)在產(chǎn)生了簡單適用的會話劫持攻擊軟件，技術(shù)門檻的降低導(dǎo)致了很多“少年攻擊者”的誕生。2022/9/1140網(wǎng)絡(luò)入侵與防范講義TCP會話劫持的危害就其實(shí)現(xiàn)原理而言，任何使用InterneTCP會話劫持的危害(2)會話劫持攻擊的危害性很大是有原因的。一個最主要的原因就是它并不依賴于操作系統(tǒng)。 另一個原因就是它可以被用來進(jìn)行積極的攻擊，通過攻擊行為可以獲得進(jìn)入系統(tǒng)的可能。 2022/9/1141網(wǎng)絡(luò)入侵與防范講義TCP會話劫持的危害(2)會話劫持攻擊的危害性很大是有原因的實(shí)現(xiàn)TCP會話劫持

24、的兩個小工具JuggernautJuggernaut是由Mike Schiffman開發(fā)的自由軟件，這個軟件是開創(chuàng)性的，是最先出現(xiàn)的會話攻擊程序之一。它運(yùn)行在Linux操作系統(tǒng)的終端機(jī)上，攻擊者能夠窺探網(wǎng)絡(luò)中所有的會話，并且劫持其中任何一個，攻擊者可以像真正用戶那樣向服務(wù)器提交命令。2022/9/1142網(wǎng)絡(luò)入侵與防范講義實(shí)現(xiàn)TCP會話劫持的兩個小工具Juggernaut2022/實(shí)現(xiàn)TCP會話劫持的兩個小工具(2)Hunt由Pavel Krauz制作的Hunt，是一個集嗅探、截取和會話劫持功能與一身的強(qiáng)大工具。它可以在無論共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)中工作，不僅能夠在混雜模式和ARP欺騙模式下進(jìn)

25、行嗅探，還具有中斷和劫持動態(tài)會話的能力。2022/9/1143網(wǎng)絡(luò)入侵與防范講義實(shí)現(xiàn)TCP會話劫持的兩個小工具(2)Hunt2022/9/95.2.3 IP欺騙攻擊的防御防范地址變化欺騙防范源路由欺騙防范信任關(guān)系欺騙 防范會話劫持攻擊2022/9/1144網(wǎng)絡(luò)入侵與防范講義5.2.3 IP欺騙攻擊的防御防范地址變化欺騙2022/9/防范地址變化欺騙有辦法防止攻擊者使用你的地址發(fā)送消息嗎？可以說，你沒有辦法阻止有人向另一方發(fā)送消息時不用自己的而使用你的地址。但是，采取一些措施可以有效保護(hù)自己免受這種攻擊的欺騙。2022/9/1145網(wǎng)絡(luò)入侵與防范講義防范地址變化欺騙有辦法防止攻擊者使用你的地址發(fā)

26、送消息嗎？防范地址變化欺騙(2)方法1：限制用戶修改網(wǎng)絡(luò)配置方法2：入口過濾方法3：出口過濾2022/9/1146網(wǎng)絡(luò)入侵與防范講義防范地址變化欺騙(2)方法1：限制用戶修改網(wǎng)絡(luò)配置2022/方法1：限制用戶修改網(wǎng)絡(luò)配置為了阻止攻擊者使用一臺機(jī)器發(fā)起欺騙攻擊，首先需限制那些有權(quán)訪問機(jī)器配置信息的人員。這么做就能防止員工執(zhí)行欺騙。 2022/9/1147網(wǎng)絡(luò)入侵與防范講義方法1：限制用戶修改網(wǎng)絡(luò)配置為了阻止攻擊者使用一臺機(jī)器發(fā)方法2：入口過濾 大多數(shù)路由器有內(nèi)置的欺騙過濾器。過濾器的最基本形式是，不允許任何從外面進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包使用單位的內(nèi)部網(wǎng)絡(luò)地址作為源地址。 因此，如果一個來自外網(wǎng)的數(shù)據(jù)包，

27、聲稱來源于本單位的網(wǎng)絡(luò)內(nèi)部，就可以非?？隙ㄋ羌倜暗臄?shù)據(jù)包，應(yīng)該丟棄它。這種類型的過濾可以保護(hù)單位的網(wǎng)絡(luò)不成為欺騙攻擊的受害者。2022/9/1148網(wǎng)絡(luò)入侵與防范講義方法2：入口過濾 大多數(shù)路由器有內(nèi)置的欺騙過濾器。過濾器方法3：出口過濾為了執(zhí)行出口過濾，路由器必須檢查數(shù)據(jù)包，確信源地址是來自本單位局域網(wǎng)的一個地址。如果不是那樣，這個數(shù)據(jù)包應(yīng)該被丟棄，因?yàn)檫@說明有人正使用假冒地址向另一個網(wǎng)絡(luò)發(fā)起攻擊。離開本單位的任何合法數(shù)據(jù)包須有一個源地址，并且它的網(wǎng)絡(luò)部分與本單位的內(nèi)部網(wǎng)絡(luò)相匹配。2022/9/1149網(wǎng)絡(luò)入侵與防范講義方法3：出口過濾為了執(zhí)行出口過濾，路由器必須檢查數(shù)據(jù)包，防范源路由欺騙

28、保護(hù)自己或者單位免受源路由欺騙攻擊的最好方法是設(shè)置路由器禁止使用源路由。事實(shí)上人們很少使用源路由做合法的事情。因?yàn)檫@個原因，所以阻塞這種類型的流量進(jìn)入或者離開網(wǎng)絡(luò)通常不會影響正常的業(yè)務(wù)。2022/9/1150網(wǎng)絡(luò)入侵與防范講義防范源路由欺騙保護(hù)自己或者單位免受源路由欺騙攻擊的最好方法是防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺騙攻擊最容易的方法就是不使用信任關(guān)系。但是這并不是最佳的解決方案，因?yàn)楸憷膽?yīng)用依賴于信任關(guān)系。但是能通過做一些事情使暴露達(dá)到最小：限制擁有信任關(guān)系的人員。不允許通過外部網(wǎng)絡(luò)使用信任關(guān)系。2022/9/1151網(wǎng)絡(luò)入侵與防范講義防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺騙攻擊最容

29、易的方法就是防范會話劫持攻擊 會話劫持攻擊是非常危險的，因?yàn)楣粽吣軌蛑苯咏庸芎戏ㄓ脩舻臅挕Ｔ谄渌墓糁锌梢蕴幚砟切┪ｋU并且將它消除。但是在會話劫持中，消除這個會話也就意味著禁止了一個合法的連接，從本質(zhì)上來說這么做就背離了使用Internet進(jìn)行連接的目的。 2022/9/1152網(wǎng)絡(luò)入侵與防范講義防范會話劫持攻擊 會話劫持攻擊是非常危險的，因?yàn)楣粽吣軌蛑狈婪稌捊俪止?2)沒有有效的辦法可以從根本上防范會話劫持攻擊，以下列舉了一些方法可以盡量縮小會話攻擊所帶來危害：進(jìn)行加密使用安全協(xié)議限制保護(hù)措施2022/9/1153網(wǎng)絡(luò)入侵與防范講義防范會話劫持攻擊(2)沒有有效的辦法可以從根本上

30、防范會話劫持進(jìn)行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那么進(jìn)行會話劫持攻擊也是十分困難的。因此，任何用來傳輸敏感數(shù)據(jù)的關(guān)鍵連接都必須進(jìn)行加密。2022/9/1154網(wǎng)絡(luò)入侵與防范講義進(jìn)行加密如果攻擊者不能讀取傳輸數(shù)據(jù)，那么進(jìn)行會話劫持攻擊也是使用安全協(xié)議無論何時當(dāng)用戶連入到一個遠(yuǎn)端的機(jī)器上，特別是當(dāng)從事敏感工作或是管理員操作時，都應(yīng)當(dāng)使用安全協(xié)議。一般來說，有像SSH（Secure Shell）這樣的協(xié)議或是安全的Telnet都可以使系統(tǒng)免受會話劫持攻擊。此外，從客戶端到服務(wù)器的VPN（Virtual Private Network）也是很好的選擇。2022/9/1155網(wǎng)絡(luò)入侵與防范講義使用安全協(xié)

31、議無論何時當(dāng)用戶連入到一個遠(yuǎn)端的機(jī)器上，特別是當(dāng)從限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，那么用戶將會越安全，這是個最小化會話劫持攻擊的方法。攻擊者越難進(jìn)入系統(tǒng)，那么系統(tǒng)就越不容易受到會話劫持攻擊。在理想情況下，應(yīng)該阻止盡可能多的外部連接和連向防火墻的連接。2022/9/1156網(wǎng)絡(luò)入侵與防范講義限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，那5.3 ARP欺騙攻擊與防御技術(shù)5.3.1 ARP背景知識介紹5.3.2 ARP欺騙攻擊原理5.3.3 ARP欺騙攻擊實(shí)例5.3.4 ARP欺騙攻擊的檢測與防御2022/9/1157網(wǎng)絡(luò)入侵與防范講義5.3 ARP欺騙攻擊與

32、防御技術(shù)5.3.1 ARP背景知識介5.3.1 ARP背景知識介紹ARP基礎(chǔ)知識ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2022/9/11網(wǎng)絡(luò)入侵與防范講義585.3.1 ARP背景知識介紹ARP基礎(chǔ)知識2022/9/9ARP基礎(chǔ)知識ARP(Address Resolution Protocol)：地址解析協(xié)議，用于將計算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）RFC826。屬于鏈路層的協(xié)議。在以太網(wǎng)中，數(shù)據(jù)幀從一個主機(jī)到達(dá)局域網(wǎng)內(nèi)的另一臺主機(jī)是根據(jù)48位的以太網(wǎng)地址（硬件地址）來確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核（如驅(qū)動）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。

33、2022/9/1159網(wǎng)絡(luò)入侵與防范講義ARP基礎(chǔ)知識ARP(Address Resolution 2022/9/11網(wǎng)絡(luò)入侵與防范講義60ARP基礎(chǔ)知識ARP協(xié)議有兩種數(shù)據(jù)包ARP請求包：ARP工作時，送出一個含有目的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，這也就是ARP請求包。它表示：我想與目的IP通信，請告訴我此IP的MAC地址。ARP請求包格式如下：arp who-has tell ARP應(yīng)答包：當(dāng)目標(biāo)主機(jī)收到ARP請求包，發(fā)現(xiàn)請求解析的IP地址與本機(jī)IP地址相同，就會返回一個ARP應(yīng)答包。它表示：我的主機(jī)就是此IP，我的MAC地址是某某某。ARP應(yīng)答包的格式如下：arp reply is-at

34、00:00:0c:07:ac:002022/9/9網(wǎng)絡(luò)入侵與防范講義62ARP基礎(chǔ)知識ARP協(xié)ARP基礎(chǔ)知識ARP緩存表ARP緩存表用于存儲其它主機(jī)或網(wǎng)關(guān)的IP地址與MAC地址的對應(yīng)關(guān)系。每臺主機(jī)、網(wǎng)關(guān)都有一個ARP緩存表。ARP緩存表里存儲的每條記錄實(shí)際上就是一個IP地址與MAC地址對，它可以是靜態(tài)的，也可以是動態(tài)的。如果是靜態(tài)的，那么該條記錄不能被ARP應(yīng)答包修改；如果是動態(tài)的，那么該條記錄可以被ARP應(yīng)答包修改。2022/9/1161網(wǎng)絡(luò)入侵與防范講義ARP基礎(chǔ)知識ARP緩存表2022/9/963網(wǎng)絡(luò)入侵與防范ARP基礎(chǔ)知識在Windows下查看ARP緩存表的方法使用命令：arp -a2

35、022/9/11網(wǎng)絡(luò)入侵與防范講義62ARP基礎(chǔ)知識在Windows下查看ARP緩存表的方法202ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信2022/9/11網(wǎng)絡(luò)入侵與防范講義63ARP工作原理局域網(wǎng)內(nèi)通信2022/9/9網(wǎng)絡(luò)入侵與防范講義局域網(wǎng)內(nèi)通信假設(shè)一個局域網(wǎng)內(nèi)主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，它們的IP地址、MAC地址如下。 主機(jī)名 IP地址 MAC地址 主機(jī)A 02-02-02-02-02-02 主機(jī)B 03-03-03-03-03-03 網(wǎng)關(guān)C 01-01-01-01-01-012022/9/1164網(wǎng)絡(luò)入侵與防范講義局域網(wǎng)內(nèi)通信假設(shè)一個局域網(wǎng)內(nèi)主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，它們的I局域網(wǎng)內(nèi)通信網(wǎng)絡(luò)結(jié)

36、構(gòu)圖2022/9/1165網(wǎng)絡(luò)入侵與防范講義局域網(wǎng)內(nèi)通信網(wǎng)絡(luò)結(jié)構(gòu)圖2022/9/967網(wǎng)絡(luò)入侵與防范講局域網(wǎng)內(nèi)通信通信過程假如主機(jī)主機(jī)A()要與主機(jī)主機(jī)B()通訊，它首先會檢查自己的ARP緩存中是否有這個地址對應(yīng)的MAC地址。如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，大致的意思是的MAC地址是什么請告訴。而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機(jī)，但是只有這臺主機(jī)才會響應(yīng)這個請求包，它會回應(yīng)一個arp包，告知的MAC地址是03-03-03-03-03-03。這樣主機(jī)A就得到了主機(jī)B的MAC地址，并且它會把這個對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩

37、者緩存表里的記錄來通訊，直到通訊停止后兩分鐘，這個對應(yīng)關(guān)系才會被從表中刪除。2022/9/1166網(wǎng)絡(luò)入侵與防范講義局域網(wǎng)內(nèi)通信通信過程假如主機(jī)主機(jī)A(2022/9/11網(wǎng)絡(luò)入侵與防范講義67局域網(wǎng)間通信假設(shè)兩個局域網(wǎng)，其中一個局域網(wǎng)內(nèi)有主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，另一個局域網(wǎng)內(nèi)有主機(jī)D和網(wǎng)關(guān)C。它們的IP地址、MAC地址如下。 主機(jī)名 IP地址 MAC地址 主機(jī)A 02-02-02-02-02-02 主機(jī)B 03-03-03-03-03-03 網(wǎng)關(guān)C 01-01-01-01-01-01 主機(jī)D 04-04-04-04-04-04 網(wǎng)關(guān)E 05-05-05-05-05-052022/9/9網(wǎng)絡(luò)入侵

38、與防范講義69局域網(wǎng)間通信假設(shè)兩個局局域網(wǎng)間通信網(wǎng)絡(luò)結(jié)構(gòu)圖2022/9/11網(wǎng)絡(luò)入侵與防范講義68局域網(wǎng)間通信網(wǎng)絡(luò)結(jié)構(gòu)圖2022/9/9網(wǎng)絡(luò)入侵與防范講義7局域網(wǎng)間通信通信過程假如主機(jī)A()需要和主機(jī)D()進(jìn)行通訊，它首先會發(fā)現(xiàn)這個主機(jī)D的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)。這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E。網(wǎng)關(guān)E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)D（）的，它就會檢查自己的ARP緩存（網(wǎng)關(guān)也有自己的ARP緩存），看看里面是否有對應(yīng)的MAC地址，如果沒有

39、就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機(jī)D通訊。 2022/9/1169網(wǎng)絡(luò)入侵與防范講義局域網(wǎng)間通信通信過程假如主機(jī)A()需5.3.2 ARP欺騙攻擊原理ARP欺騙攻擊原理ARP欺騙攻擊的危害2022/9/11網(wǎng)絡(luò)入侵與防范講義705.3.2 ARP欺騙攻擊原理ARP欺騙攻擊原理2022/92022/9/11網(wǎng)絡(luò)入侵與防范講義71ARP欺騙原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目的是為了在全交換環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的的攻擊者使用。2022/9/9網(wǎng)絡(luò)入侵與防范講義73ARP欺騙原理ARP欺2022/9/11網(wǎng)絡(luò)

40、入侵與防范講義72ARP欺騙原理(2)主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個不完善的地方，當(dāng)主機(jī)收到一個ARP應(yīng)答包后，它并不會去驗(yàn)證自己是否發(fā)送過這個ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。ARP欺騙正是利用了這一點(diǎn)。2022/9/9網(wǎng)絡(luò)入侵與防范講義74ARP欺騙原理(2)主ARP欺騙原理原理圖2022/9/11網(wǎng)絡(luò)入侵與防范講義73ARP欺騙原理原理圖2022/9/9網(wǎng)絡(luò)入侵與防范講義752022/9/11網(wǎng)絡(luò)入侵與防范講義74ARP欺騙原理欺騙過程主機(jī)B()向網(wǎng)關(guān)C發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-

41、03-03，主機(jī)B同時向主機(jī)A發(fā)送ARP應(yīng)答包說：我是，我的MAC地址是03-03-03-03-03-03。這樣，A發(fā)給C的數(shù)據(jù)就會被發(fā)送到B，同時獲得C發(fā)給A的數(shù)據(jù)也會被發(fā)送到B。這樣，B就成了A與C之間的“中間人”。2022/9/9網(wǎng)絡(luò)入侵與防范講義76ARP欺騙原理欺騙過2022/9/11網(wǎng)絡(luò)入侵與防范講義75ARP欺騙攻擊的危害ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁斷網(wǎng)或者網(wǎng)速慢）。使用ARP欺騙可以嗅探到交換式局域網(wǎng)內(nèi)所有數(shù)據(jù)包，從而得到敏感信息。ARP欺騙攻擊可以對信息進(jìn)行篡改，例如，可以在你訪問的所有網(wǎng)頁中加入廣告。利用ARP欺騙攻擊可

42、以控制局域網(wǎng)內(nèi)任何主機(jī)，起到“網(wǎng)管”的作用，例如，讓某臺主機(jī)不能上網(wǎng)。2022/9/9網(wǎng)絡(luò)入侵與防范講義77ARP欺騙攻擊的危害A5.3.3 ARP欺騙攻擊實(shí)例使用工具：Arp cheat and sniffer V2.1國內(nèi)開源軟件，它是一款arp sniffer工具，可以通過arp欺騙嗅探目標(biāo)主機(jī)TCP、UDP和ICMP協(xié)議數(shù)據(jù)包。攻擊環(huán)境：在一個交換式局域網(wǎng)內(nèi)受害者IP為3，MAC為00-0D-60-36-BD-05；網(wǎng)關(guān)IP為54，MAC為00-09-44-44-77-8A；攻擊者IP為8，MAC為00-07-E9-7D-73-E5。攻擊目的：攻擊者想得知受害者經(jīng)常登陸的FTP用戶名和

43、密碼。2022/9/1176網(wǎng)絡(luò)入侵與防范講義5.3.3 ARP欺騙攻擊實(shí)例使用工具：Arp cheat ARP攻擊實(shí)例-工具參數(shù)介紹-si源ip-di目的ip *代表所有,多項用,號分割-sp源端口-dp目的端口 *代表所有-w嗅探方式，1代表單向嗅探si-di，0代表雙向嗅探sidi-p嗅探協(xié)議TCP,UDP,ICMP大寫-m最大記錄文件，以M為單位-o文件輸出-hex十六進(jìn)制輸出到文件-unecho不回顯-unfilter不過慮0字節(jié)數(shù)據(jù)包-low粗略嗅探，丟包率高，cpu利用率低 基本0-timeout嗅探超時,除非網(wǎng)絡(luò)狀況比較差否則請不要調(diào)高,默認(rèn)為120秒2022/9/1177網(wǎng)絡(luò)

44、入侵與防范講義ARP攻擊實(shí)例-工具參數(shù)介紹-si源ip2022/9/ARP攻擊實(shí)例-工具參數(shù)介紹（2）-sniffsmtp嗅探smtp-sniffpop嗅探pop-sniffpost嗅探post-sniffftp嗅探ftp-snifftelnet嗅探telnet，以上5個嗅探不受參數(shù)si,sp,di,dp,w,p影響.-sniffpacket規(guī)則嗅探數(shù)據(jù)包,受參數(shù)si,sp,di,dp,w,p影響-sniffall開啟所有嗅探-onlycheat只欺騙-cheatsniff欺騙并且嗅探-reset欺騙后恢復(fù)-g網(wǎng)關(guān)ip-c欺騙者ip mac-t受騙者ip-time欺騙次數(shù)2022/9/1178

45、網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-工具參數(shù)介紹（2）-sniffsmtp嗅ARP攻擊實(shí)例-工具參數(shù)介紹（3）使用舉例：arpsf -p TCP -dp 25,110 -o f:1.txt -m 1 sniffpacket 說明：嗅探指定規(guī)則數(shù)據(jù)包并保存到文件arpsf -sniffall -cheatsniff -t -g 54說明：欺騙并且嗅探與外界的通訊，輸出到屏幕arpsf -onlycheat -t -c 4 -time 100 reset說明：對目標(biāo)欺騙一百次，欺騙后恢復(fù)arpsf -cheatsniff -t 4 -g 54 -sniffpacket -p TCP -dp 80,2

46、5,23,110 -o d:siff.txt -w 0 -m 1說明：嗅探4與外網(wǎng)的tcp連接情況并指定目的端口是80，23，25，110，嗅探方式是雙向嗅探，最大記錄文件是1M，輸出到d盤sniff.txt文件中。其中54是網(wǎng)關(guān)的地址。也可以改成同網(wǎng)段中其他的地址，那就是網(wǎng)內(nèi)嗅探了。2022/9/1179網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-工具參數(shù)介紹（3）使用舉例：2022/9/ARP攻擊實(shí)例-攻擊過程在Windows XP下通過命令行啟動軟件，運(yùn)行命令：arpsf -cheatsniff -t 3 -g 54 -sniffpacket -p TCP -dp 21 -o c:siff.txt

47、 -w 0 -m 1。含義是：嗅探3與其它主機(jī)的tcp連接情況并指定目的端口是21，嗅探方式是雙向嗅探，最大記錄文件是1M，結(jié)果輸出到C盤sniff.txt。其中54是網(wǎng)關(guān)的地址。運(yùn)行效果見下頁圖。2022/9/1180網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-攻擊過程在Windows XP下通過命令行輸入命令輸出版本信息選擇獲取網(wǎng)卡的方法選擇用于欺騙的網(wǎng)卡2022/9/1181網(wǎng)絡(luò)入侵與防范講義輸入命令輸出版本信息選擇獲取網(wǎng)卡選擇用于欺2022/9/98ARP攻擊實(shí)例-攻擊過程（2）當(dāng)Arp cheat sniff獲取了目標(biāo)機(jī)器、網(wǎng)關(guān)和本機(jī)的MAC之后，就開始欺騙目標(biāo)機(jī)器和網(wǎng)關(guān)。見下頁圖。 2022

48、/9/1182網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-攻擊過程（2）當(dāng)Arp cheat sni欺騙主機(jī)3欺騙網(wǎng)關(guān)542022/9/1183網(wǎng)絡(luò)入侵與防范講義欺騙主機(jī)3欺騙網(wǎng)關(guān)210.77.21.ARP攻擊實(shí)例-攻擊過程（3）當(dāng)受害者機(jī)器上的用戶登陸了FTP之后，Arp cheat sniff就可以把用戶的操作記錄下來。下頁是當(dāng)軟件運(yùn)行了一段時間之后捕獲到的有用信息，存儲在C:sniff.txt中。2022/9/1184網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-攻擊過程（3）當(dāng)受害者機(jī)器上的用戶登陸了F-TCP 14 21 - 3 2256 49 Bytes 2007-5-5 17:56:24-220-Se

49、rv-U v6.0 for WinSock ready.-TCP 14 21 - 3 2256 79 Bytes 2007-5-5 17:56:24-220-歡迎使用lcg220-movie:movie220 上載用戶名/密碼upload:upload-TCP 3 2256 - 14 21 12 Bytes 2007-5-5 17:56:24-USER movie-TCP 14 21 - 3 2256 36 Bytes 2007-5-5 17:56:24-331 User name okay, need password.-TCP 3 2256 - 14 21 12 Bytes 2007-5-

50、5 17:56:24-PASS movie-TCP 14 21 - 3 2256 30 Bytes 2007-5-5 17:56:24-230 User logged in, proceed.-服務(wù)器返回的版本信息服務(wù)器返回的歡迎信息用戶輸入的USER命令服務(wù)器返回的確認(rèn)用戶輸入的PASS命令服務(wù)器返回的登陸成功信息2022/9/1185網(wǎng)絡(luò)入侵與防范講義-ARP攻擊實(shí)例-攻擊過程（4）非常明顯，我們能夠得知，主機(jī)3上有用戶登陸了 14:21。用戶名和密碼都是movie。 2022/9/1186網(wǎng)絡(luò)入侵與防范講義ARP攻擊實(shí)例-攻擊過程（4）非常明顯，我們能夠得知，主機(jī)5.3.4 ARP欺騙攻

51、擊的檢測與防御如何檢測局域網(wǎng)中存在ARP欺騙攻擊如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)ARP欺騙攻擊的防范2022/9/11網(wǎng)絡(luò)入侵與防范講義875.3.4 ARP欺騙攻擊的檢測與防御如何檢測局域網(wǎng)中存在A如何檢測局域網(wǎng)中存在ARP欺騙攻擊網(wǎng)絡(luò)頻繁掉線網(wǎng)速突然變慢使用ARP a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址與真實(shí)的網(wǎng)關(guān)MAC地址不相同使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARP reply包2022/9/1188網(wǎng)絡(luò)入侵與防范講義如何檢測局域網(wǎng)中存在ARP欺騙攻擊網(wǎng)絡(luò)頻繁掉線2022/9如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)如果你知道正確的網(wǎng)關(guān)MAC地址，通過ARP a命令看到的列出的網(wǎng)關(guān)MAC與正確的M

52、AC地址不同，那就是攻擊主機(jī)的MAC。使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)的IP地址發(fā)送的ARP reply包，包中指定的MAC就是攻擊主機(jī)的MAC地址。使用ARP保護(hù)程序發(fā)現(xiàn)攻擊主機(jī)的MAC：2022/9/1189網(wǎng)絡(luò)入侵與防范講義如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)如果你知道正確的網(wǎng)關(guān)MACARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺計算機(jī)的IP地址與硬件地址一一對應(yīng)，不可更改。使用靜態(tài)ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進(jìn)行。使用ARP服務(wù)器，通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺ARP服務(wù)器不被黑。使用ARP欺騙防護(hù)軟件，如A

53、RP防火墻。及時發(fā)現(xiàn)正在進(jìn)行ARP欺騙的主機(jī)并將其隔離。2022/9/1190網(wǎng)絡(luò)入侵與防范講義ARP欺騙攻擊的防范MAC地址綁定，使網(wǎng)絡(luò)中每一臺計算機(jī)的IARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表假設(shè)我們事先已知網(wǎng)關(guān)54的MAC地址為：00-0f-7a-02-00-4b查看主機(jī)當(dāng)前的ARP表，命令為arp a，可以查看到當(dāng)前的ARP表中的記錄，都是動態(tài)的把網(wǎng)關(guān)的arp記錄設(shè)置成靜態(tài)，命令為arp -s 54 00-0f-7a-02-00-4b再次用arp a命令查看ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的ARP記錄已經(jīng)設(shè)置成靜態(tài)，操作過程見下頁2022/9/1191網(wǎng)絡(luò)入侵與防范講義ARP欺

54、騙攻擊的防范示例：在Windows下使用靜態(tài)的ARPARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARP表2022/9/1192網(wǎng)絡(luò)入侵與防范講義ARP欺騙攻擊的防范示例：在Windows下使用靜態(tài)的ARPARP欺騙攻擊的防范示例：ARP防火墻()2022/9/1193網(wǎng)絡(luò)入侵與防范講義ARP欺騙攻擊的防范示例：ARP防火墻()2022/9/995.4 電子郵件欺騙及防御技術(shù)5.4.1 電子郵件欺騙的原理5.4.2 電子郵件欺騙的防御2022/9/1194網(wǎng)絡(luò)入侵與防范講義5.4 電子郵件欺騙及防御技術(shù)5.4.1 電子郵件欺騙的原理5.4.1 電子郵件欺騙的原理攻擊者使用電子郵件欺騙有

55、三個目的：第一，隱藏自己的身份。第二，如果攻擊者想冒充別人，他能假冒那個人的電子郵件。第三，電子郵件欺騙能被看作是社會工程的一種表現(xiàn)形式。2022/9/1195網(wǎng)絡(luò)入侵與防范講義5.4.1 電子郵件欺騙的原理攻擊者使用電子郵件欺騙有三個目5.4.1 電子郵件欺騙的原理一個郵件系統(tǒng)的傳輸包含用戶代理（User Agent）、傳輸代理（Transfer Agent）及投遞代理（Delivery Agent）三大部分。用戶代理是一個用戶端發(fā)信和收信的程序，負(fù)責(zé)將信件按照一定的標(biāo)準(zhǔn)包裝，然后送到郵件服務(wù)器，將信件發(fā)出或由郵件服務(wù)器收回。傳輸代理則負(fù)責(zé)信件的交換和傳輸，將信件傳送至適當(dāng)?shù)泥]件服務(wù)器。再由

56、投遞代理將信件分發(fā)至最終用戶的郵箱。在正常的情況下，郵件會盡量將發(fā)送者的名字和地址包括進(jìn)郵件頭信息中，但是，有時候，發(fā)送者希望將郵件發(fā)送出去而不希望收件者知道是誰發(fā)的，這種發(fā)送郵件的方法稱為匿名郵件。實(shí)現(xiàn)匿名的一種最簡單的方法，是簡單地改變電子郵件軟件里的發(fā)送者的名字，但通過郵件頭的其它信息，仍能夠跟蹤發(fā)送者。另一種比較徹底的匿名方式是讓其他人發(fā)送這個郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了?，F(xiàn)在因特網(wǎng)上有大量的匿名轉(zhuǎn)發(fā)者（或稱為匿名服務(wù)器）。5.4.1 電子郵件欺騙的原理一個郵件系統(tǒng)的傳輸包含用戶代理5.4.1 電子郵件欺騙的原理執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執(zhí)行

57、不同層次的隱蔽。它們分別是： 利用相似的電子郵件地址 直接使用偽造的E-mail地址遠(yuǎn)程登錄到SMTP端口發(fā)送郵件2022/9/1197網(wǎng)絡(luò)入侵與防范講義5.4.1 電子郵件欺騙的原理執(zhí)行電子郵件欺騙有三種基本方法利用相似的電子郵件地址這主要是利用人們的大意心理。攻擊者找到一個受害者熟悉的名字。有了這個名字后，攻擊者注冊一個看上去像受害者熟悉的名字的郵件地址。這樣收信人很可能會回復(fù)這個郵箱發(fā)來信，這樣攻擊者就有得到想要信息的可能性。 2022/9/1198網(wǎng)絡(luò)入侵與防范講義利用相似的電子郵件地址這主要是利用人們的大意心理。2022/直接使用偽造的Email地址SMTP協(xié)議（即簡單郵件傳輸協(xié)議）

58、有著一個致命的缺陷：它所遵循過于信任的原則，沒有設(shè)計身份驗(yàn)證系統(tǒng)。 SMTP建立在假定人們的身份和他們所聲稱一致的基礎(chǔ)之上，沒有對郵件發(fā)送者的身份進(jìn)行驗(yàn)證。這使得人們可以隨意構(gòu)造發(fā)件人地址來發(fā)送郵件。下頁我們通過修改郵件客戶端軟件的設(shè)置來示例這一點(diǎn)。2022/9/1199網(wǎng)絡(luò)入侵與防范講義直接使用偽造的Email地址SMTP協(xié)議（即簡單郵件傳輸協(xié)議直接使用偽造的Email地址對于那些沒有設(shè)置SMTP身份驗(yàn)證功能的郵件服務(wù)器，例如右圖所示的Outlook郵件客戶軟件就不需要做相應(yīng)的設(shè)置，當(dāng)用戶使用郵件客戶軟件發(fā)出電子郵件時，發(fā)送郵件服務(wù)器不會對發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn)，因此攻擊者能夠隨意指定他

59、想使用的所有地址，而這些地址當(dāng)然會作為郵件源出現(xiàn)在收件人的信中。2022/9/11100網(wǎng)絡(luò)入侵與防范講義直接使用偽造的Email地址對于那些沒有設(shè)置SMTP身份直接使用偽造的Email地址此外，在右圖所示的例子中，攻擊者還能夠指定他想要的任何郵件返回地址。因此當(dāng)用戶回信時，答復(fù)回到攻擊者所掌握的郵箱testtest，而不是回到被盜用了地址的人那里。2022/9/11101網(wǎng)絡(luò)入侵與防范講義直接使用偽造的Email地址此外，在右圖所示的例子中，攻遠(yuǎn)程登錄到SMTP端口SMTP協(xié)議一般使用25號端口，郵件服務(wù)器通過它在互聯(lián)網(wǎng)上發(fā)送郵件。 執(zhí)行電子郵件欺騙的一個比較復(fù)雜的方法是遠(yuǎn)程登錄到郵件服務(wù)器

60、的25號端口發(fā)送郵件。2022/9/11102網(wǎng)絡(luò)入侵與防范講義遠(yuǎn)程登錄到SMTP端口SMTP協(xié)議一般使用25號端口，郵件服遠(yuǎn)程登錄到25號端口(2)攻擊者首先找到郵件服務(wù)器的IP地址，或者通過運(yùn)行端口掃描程序來判斷哪些機(jī)器是25號端口開放的郵件服務(wù)器。在攻擊者有了一臺25號端口開放的機(jī)器和一臺正在運(yùn)行的郵件服務(wù)器后，輸入下面的命令：telnet IP地址 25在連接上以后，再輸入下面的內(nèi)容：HELOMAIL FROM: 欺騙偽裝的mail地址RCPT TO: 收件的受害者mail地址DATA郵件的內(nèi)容2022/9/11103網(wǎng)絡(luò)入侵與防范講義遠(yuǎn)程登錄到25號端口(2)攻擊者首先找到郵件服務(wù)器