首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

系统架构设计师:信息安全技术基础知识--欺骗攻击与防御

1.ARP欺骗

1)ARP欺骗原理

ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携带主机A的IP地址Ia--物理地址AA:AA:AA:AA),请求IP地址为Ic的主机C回答物理地址Rc.

网上所有主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC,A接收到C的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。

因此,局域网中的机器B首先攻击C,使C瘫痪,然后向A发送一个自己伪造的ARP应答,而如果这个应答是 B冒充 C 伪造来的,即IP地址为C的IP,而MAC地址是B的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经变成B 的了。由于局域网的网络流通不是根据 IP地址进行,而是按照MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B.这就是一个简单的ARP欺骗,如图4-9所示。

2)ARP欺骗的防范措施

(1)在Win XP下输入命令:arp-sgate-way-ip gate-way-mac固化ARP表,阻止ARP欺骗。

(2)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

(3)采用双向绑定的方法解决并且防止ARP欺骗。

(4)ARP防护软件--ARP Guard。通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无须对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

2.DNS 欺骗

DNS 欺骗是一种比较常见的攻击手段。一个著名的利用 DNS欺骗进行攻击的案例是,全球著名网络安全销售商RSASecurity的网站所遭到的攻击。其实RSA Security网站的主机并没有被入侵,而是RSA的域名被黑客劫持,当用户连上RSA Security时,发现主页被改成了其他的内容。

1)DNS欺骗的原理

DNS 欺骗首先是冒充域名服务器,然后把查询的 IP 地址设为攻击者的 IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。DNS 欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

2)DNS 欺骗的现实过程

3)DNS欺骗的检测

根据检测手段的不同,将其分为被动监听检测、虚假报文探测和交叉检查查询3种。

(1)被动监听检测。该检测手段是通过旁路监听的方式,捕获所有D N S 请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了 DNS 欺骗攻击,因为DN S 服务器不会给出多个结果不同的应答包,即使目标域名对应多个IP地址,DNS 服务器也会在一个DNS应答包中返回,只是有多个应答域(Answer Section)而已。

(2)虚假报文探测。该检测手段采用主动发送探测包的手段来检测网络内是否存在D NS 欺骗攻击者。这种探测手段基于一个简单的假设:攻击者为了尽快地发出欺骗包,不会对域名服务器IP的有效性进行验证。这样如果向一个非DN S服务器发送请求包,正常来说不会收到任何应答,但是由于攻击者不会验证目标IP是否是合法DNS 服务器,他会继续实施欺骗攻击,因此如果收到了应答包,则说明受到了攻击。

(3)交叉检查查询。所谓交叉检查即在客户端收到DNS应答包之后,向DNS 服务器反向查询应答包中返回的IP地址所对应的DNS名字,如果二者一致说明没有受到攻击,否则说明被欺骗。

3.IP欺骗

1)IP欺骗的原理

通过编程的方法可以随意改变发出的包的IP地址,但工作在传输层的TCP 协议是一种相对可靠的协议,不会让黑客轻易得逞。由于TCP是面向连接的协议,所以在双方正式传输数据之前,需要用“三次握手”来建立一个值得信赖的连接。假设是 hosta和 hostb两台主机进行通信,hostb首先发送带有SYN标志的数据段通知hosta建立TCP连接,TCP的可靠性就是由数据包中的多位控制字来提供的,其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接中的初始值(ISN)。

假如想冒充 hostb 对 hosta进行攻击,就要先使 hostb 失去工作能力。也就是所谓的拒绝服务攻击,让hostb 瘫痪。

2)IP欺骗的防范

虽然 IP 欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻击可以删除UNIX中所有的/etc/hosts.equiv、YHOME/.rhosts文件,修改/etc/inetdconf文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。

  • 发表于:
  • 原文链接https://page.om.qq.com/page/O-c1iJrNfuSN3DuYJBzSu_aw0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券