网络攻击身份欺骗技术

1、第二篇 网络攻击篇第第6 6章章 网络攻击身份欺骗网络攻击身份欺骗第6章 网络攻击身份欺骗o 纵观网络上的各种安全性攻击特征，可归结为纵观网络上的各种安全性攻击特征，可归结为消极性和主动性两种。消极性和主动性两种。o其中，其中，身份欺骗身份欺骗就是一种主动性攻击。从本质就是一种主动性攻击。从本质上讲，它是针对网络结构及其有关协议在实现上讲，它是针对网络结构及其有关协议在实现过程中存在某些安全漏洞而进行安全攻击的过程中存在某些安全漏洞而进行安全攻击的.o身份欺骗的手段非常多，有身份欺骗的手段非常多，有IP欺骗、欺骗、MAC地地址欺骗、通过代理服务器欺骗、电子邮件欺骗、址欺骗、通过代理服务器欺骗、

2、电子邮件欺骗、账户名欺骗以及密钥盗用欺骗等等，其中账户名欺骗以及密钥盗用欺骗等等，其中IP欺欺骗使用得最广。骗使用得最广。o6.1 IP欺骗攻击欺骗攻击o6.2 与与IP协议相关的欺骗手段协议相关的欺骗手段o6.3 其它身份欺骗手段其它身份欺骗手段o6.4 实验：实验：ARP欺骗欺骗第6章 网络攻击身份欺骗6.1 IP欺骗攻击o6.1.1 IP欺骗的原理欺骗的原理o6.1.2 IP欺骗过程欺骗过程o6.1.3 IP地址盗用的常用方法地址盗用的常用方法6.1.1 IP欺骗的原理IP地址欺骗攻击是指攻击者地址欺骗攻击是指攻击者使用未经授权的使用未经授权的IP地址地址来配置网上的计算机，以达到非法使

3、来配置网上的计算机，以达到非法使用网上资源或隐藏身份从事破坏活动的目的。用网上资源或隐藏身份从事破坏活动的目的。IP欺骗，简单的说，就是一欺骗，简单的说，就是一台主机设备冒充台主机设备冒充另外一台主机的另外一台主机的IP地址地址，与其它设备通信。，与其它设备通信。它是利用不同主机之间的信任关系而进行欺它是利用不同主机之间的信任关系而进行欺骗攻击的一种手段，这种信任关系是以骗攻击的一种手段，这种信任关系是以IP地地址验证为基础的。址验证为基础的。主机信任关系主机信任关系 IP欺骗是利用了主机之间的正常信任关系来发动的。欺骗是利用了主机之间的正常信任关系来发动的。在在UNIX主机中，存在着一种特殊

4、的信任关系。假设主机中，存在着一种特殊的信任关系。假设有两台主机有两台主机host A和和host B，上面各有一个帐户，上面各有一个帐户Jim。通常情况下，在。通常情况下，在host A上使用时要输入在上使用时要输入在host A上的相应帐户上的相应帐户Jim ，在，在host B上使用时必上使用时必须输入须输入host B的帐户的帐户Jim.主机主机host A和和host B把把Jim当做两个互不相关的当做两个互不相关的用户，这显然有些不便。为了减少这种不便，可以在用户，这显然有些不便。为了减少这种不便，可以在主机主机host A和和host B中建立起两个帐户的相互信中建立起两个帐户的

5、相互信任关系。任关系。6.1.1 IP欺骗的原理主机信任关系主机信任关系 在在host A和和host B上用户上用户Jim的的home目录中创目录中创建建.rhosts文件。文件。从主机从主机host A上，在上，在Jim的的home目录中用命令：目录中用命令： echo “host b Jim”/.hosts 来实现来实现host A与与host B的信任关系的信任关系. 这时，你从主机这时，你从主机host B上，就能使用任何以上，就能使用任何以r开头的开头的远程调用命令，例如：远程调用命令，例如：rlogin、rsh、rcp等，而无需等，而无需输入口令验证就可以直接登录到输入口令验证就

6、可以直接登录到host A上。这些命令上。这些命令将允许以地址为基础的验证。这里的信任关系是将允许以地址为基础的验证。这里的信任关系是基于基于IP的地址的地址的。的。 6.1.1 IP欺骗的原理IP欺骗的理论根据欺骗的理论根据 根据以上主机信任关系的说明，既然根据以上主机信任关系的说明，既然host A和和host B之间的信任关系是基于之间的信任关系是基于IP址而建立址而建立起来的，起来的，那么假如能够冒充那么假如能够冒充host B的的IP，就可，就可以使用以使用rlogin登录到登录到host A，而不需任何口令，而不需任何口令验证。这就是验证。这就是IP欺骗的最根本的理论依据欺骗的最根

7、本的理论依据。 下面看一下正常的下面看一下正常的TCP/IP会话的过程：会话的过程：由于由于TCP是面向连接的协议，所以在双方正式传是面向连接的协议，所以在双方正式传输数据之前，需要用输数据之前，需要用“三次握手三次握手”来建立一个稳来建立一个稳重的连接。假设还是重的连接。假设还是host A和和host B两台主机两台主机进行通信：进行通信： 6.1.1 IP欺骗的原理 TCP的的可靠性可靠性就是由数据包中的多位控制字就是由数据包中的多位控制字来提供的，其中最重要的是数据序列来提供的，其中最重要的是数据序列SYN和数据和数据确认标志确认标志ACK。 （1）host B首先发送带有首先发送带有

8、SYN标志的数据段标志的数据段通知通知host A建立建立TCP连接，并将连接，并将TCP报头中的报头中的SYN设为自己本次连接中的初始值设为自己本次连接中的初始值SEQ或叫做或叫做ISN（Initial Sequence Number ）。）。o host Bhost A SYN SEQ：X 6.1.1 IP欺骗的原理 （2）host A确认这个传输，并设置标志为确认这个传输，并设置标志为ACK，ACK的值为的值为X+1，表示数据成功接收到，表示数据成功接收到，且告知下一次希望接收到之间的且告知下一次希望接收到之间的SEQ是是X+1。同时同时host A向请求方向请求方host B发送自己的

9、发送自己的SEQ，假设它的序列号是某个数值假设它的序列号是某个数值Y。o host Ahost B SYN，ACK SEQ：Y6.1.1 IP欺骗的原理（3）请求方）请求方host B向向host A发送发送ACK，表示成，表示成功接收到功接收到host A的回应，此时它的的回应，此时它的SEQ值为值为X+1，同时它的，同时它的ACK值为值为Y+1。 ohost Bhost A ACK SEQ：X+1 ACK：Y+16.1.1 IP欺骗的原理 看了这个过程，我们就很容易想到，假如想冒看了这个过程，我们就很容易想到，假如想冒充充host B对对host A进行攻击，就要首先使用进行攻击，就要首先

10、使用host B的的IP地址发送地址发送SYN标志给标志给host A，但是当，但是当host A收到后，并不会把收到后，并不会把SYN+ACK发送到我们的主机发送到我们的主机上，而是发送到真正的上，而是发送到真正的host B上去，这时上去，这时IP欺骗欺骗就失败了，因为就失败了，因为host B根本没发送根本没发送SYN请求。所请求。所以如果要冒充以如果要冒充host B，首先要让，首先要让host B失去工作失去工作能力，也就是所谓的拒绝服务攻击，设法能力，也就是所谓的拒绝服务攻击，设法让让host B瘫痪瘫痪。 6.1.1 IP欺骗的原理 但是最难的是下一步。要对但是最难的是下一步。要

11、对host A进行攻进行攻击，击，必须知道必须知道host A使用的使用的ISN。TCP使用使用的的ISN是一个是一个32位的计数器，从位的计数器，从0到到232-1。TCP为每一个连接选择一个初始序列号为每一个连接选择一个初始序列号ISN，为了防止因为延迟、重传等扰乱三次握手，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同的系统有着不同的算不能随便选取，不同的系统有着不同的算法。法。6.1.1 IP欺骗的原理o根据前面的讨论，我们已经得到了根据前面的讨论，我们已经得到了IP欺骗的过程。欺骗的过程。首先要查找被目标主机信任的计算机首先要查找被目标主机信任的计算机。计算机用户可以

12、通过。计算机用户可以通过许多命令或端口扫描确定下来，许多黑客就是利用端口扫描许多命令或端口扫描确定下来，许多黑客就是利用端口扫描技术非常方便的在一个局域网络内捕捉主机间的相互信任关技术非常方便的在一个局域网络内捕捉主机间的相互信任关系，为进一步的系，为进一步的IP欺骗提供了机会。欺骗提供了机会。使被信任主机失去工作能力使被信任主机失去工作能力。为了伪装成被信任主机而不露。为了伪装成被信任主机而不露陷，需要使其完全失去工作能力。由于攻击者将要代替真正陷，需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正的被信任主机不能收到任何的被信任主机，他必须确保真正的被信任主机不能

13、收到任何有效的网络数据，否则将会被揭穿。有许多方法可以达到这有效的网络数据，否则将会被揭穿。有许多方法可以达到这个目的，如个目的，如SYN洪水攻击、洪水攻击、TTN、Land等攻击。等攻击。 6.1.2 IP欺骗过程序列号取样和猜测序列号取样和猜测 。对目标主机对目标主机A进行攻击进行攻击,必须知道主机必须知道主机A的数据包序的数据包序列号列号往往先与被攻击主机的一个端口（如：往往先与被攻击主机的一个端口（如：25）建立）建立起正常连接起正常连接,并记录主机并记录主机A的的ISN,以及主机以及主机Z到主机到主机A的大致的的大致的RTT(往返往返)值值.这个步骤需要重复多次以便得出这个步骤需要重

14、复多次以便得出RTT的平均值的平均值.主主机机Z知道了主机知道了主机A的的ISN值和增加规律后值和增加规律后,也就知道也就知道了从主机了从主机A到主机到主机Z需要需要RTT/2的时间的时间.一旦估计出一旦估计出ISN的大小，就开始着手进行攻击的大小，就开始着手进行攻击。6.1.2 IP欺骗过程6.1.2 IP欺骗过程o攻击者伪装成被信任主机的攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿地址，此时，该主机仍然处在停顿状态（前面讲的丧失处理能力），然后向目标主机的状态（前面讲的丧失处理能力），然后向目标主机的513端口端口(rlogin的端口号的端口号)发送连接请求。发送连接请求。

15、o目标主机对连接请求作出反应，发送目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任数据包给被信任主机（如果被信任主机处于正常工作状态，那么会认为是错误并主机（如果被信任主机处于正常工作状态，那么会认为是错误并立即向目标主机返回立即向目标主机返回RST数据包，但此时它处于停顿状态）。按数据包，但此时它处于停顿状态）。按照计划，被信任主机会抛弃该照计划，被信任主机会抛弃该SYN/ACK数据包。数据包。o然后，攻击者向目标主机发送然后，攻击者向目标主机发送ACK数据包，该数据包，该ACK使用前面估计使用前面估计的序列号加的序列号加1（因为是在确认）。如果攻击者估计正确的话，目标（因为是在

16、确认）。如果攻击者估计正确的话，目标主机将会接收该主机将会接收该ACK 。至此，将开始数据传输。一般地，攻击者。至此，将开始数据传输。一般地，攻击者将在系统中放置一个后门，以便侵入。经常会使用将在系统中放置一个后门，以便侵入。经常会使用 cat /.rhosts。之所以这样是因为，这个办法迅速、简单地。之所以这样是因为，这个办法迅速、简单地为下一次侵入铺平了道路。为下一次侵入铺平了道路。 1、静态修改、静态修改IP地址地址 对于任何一个对于任何一个TCP/IP实现来说，实现来说，IP地址都是地址都是其用户配置的必须选项。如果用户的配置其用户配置的必须选项。如果用户的配置TCP/IP或修改或修改

17、TCP/IP配置时，使用的不是授权机构分配配置时，使用的不是授权机构分配的的IP地址，就形成了地址，就形成了IP地址的盗用，由于地址的盗用，由于IP地址地址是一个逻辑地址，是一个需要用户设置的值，因此是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于无法限制用户对于IP地址的静态修改地址的静态修改，除非是使用，除非是使用DHCP服务器分配服务器分配IP地址，但又会带来其他管理问地址，但又会带来其他管理问题。题。6.1.3 IP地址盗用的常用方法2. 成对修改成对修改IP-MAC地址地址 对于静态修改对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加地址的问题，现在很多单位都

18、采用静态路由技术加以解决，针对静态路由技术，以解决，针对静态路由技术，IP盗用技术又有了新的发展，即盗用技术又有了新的发展，即成对成对修改修改IP-MAC地址地址。 MAC地址是设备的硬件地址，即网卡地址。每一个网卡的地址是设备的硬件地址，即网卡地址。每一个网卡的MAC地址在所有的以太网设备中必须是唯一的，它由地址在所有的以太网设备中必须是唯一的，它由IEEE分配，是固化分配，是固化在网卡上的，一般不能随意的改动。但是，现在的一些兼容网卡，在网卡上的，一般不能随意的改动。但是，现在的一些兼容网卡，其其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的地址可以使用网卡配置程序进行修改。如

19、果将一台计算机的IP地址和地址和MAC地址都改为另外一台合法主机的地址都改为另外一台合法主机的IP地址和地址和MAC地址，地址，那静态路由技术就无能为力了。那静态路由技术就无能为力了。 另外，对于那些另外，对于那些MAC地址不能直接修改的网卡来说，用户还可地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。欺骗上层网络软件的目的。6.1.3 IP地址盗用的常用方法在操作系统在操作系统Windows 2000/XP环境下，依次环境下，依次进入进入“控制面板控制面板”、“系统系

20、统”、“硬件硬件”、“设设备管理器备管理器”，找到需要修改的网卡，接着单击鼠，找到需要修改的网卡，接着单击鼠标右键，选择标右键，选择“属性属性”菜单，在弹出的网卡属性菜单，在弹出的网卡属性对话框中选择对话框中选择“高级高级”选项卡，然后再选项卡，然后再“属性属性”文本框中选择文本框中选择“Network Address”项，在右项，在右边的值中填入新的边的值中填入新的MAC地址，最后单击确定按钮地址，最后单击确定按钮退出。退出。 以这种方法更改以这种方法更改MAC地址不用重启计算机，设地址不用重启计算机，设置完成后再置完成后再MS-DOS方式中输入方式中输入“ipconfig /all ”命令

21、即可以在命令行中看到修改后的命令即可以在命令行中看到修改后的MAC地址。地址。 6.1.3 IP地址盗用的常用方法3. 动态修改动态修改IP地址地址 对于一些黑客高手来说，直接编程在对于一些黑客高手来说，直接编程在网络上收发数据包，绕过上层网络软件，网络上收发数据包，绕过上层网络软件，来动态修改自己的来动态修改自己的IP地址（或地址（或IP-MAC地址对），达到地址对），达到IP欺骗并不是一件很困欺骗并不是一件很困难的事。难的事。6.1.3 IP地址盗用的常用方法 IP欺骗之所以可以实施，是因为信任服务欺骗之所以可以实施，是因为信任服务器的基础建立在网络地址的验证上，在整个攻击器的基础建立在网

22、络地址的验证上，在整个攻击过程中最难的是进行过程中最难的是进行序列号的估计序列号的估计，估计精度的，估计精度的高低是欺骗成功与否的关键。针对这些，可采取高低是欺骗成功与否的关键。针对这些，可采取如下的对策：如下的对策：6.1.4 IP欺骗的防范对策1. 禁止基于禁止基于IP地址的信任关系地址的信任关系 IP欺骗的原理是冒充被信任主机的欺骗的原理是冒充被信任主机的IP地址，地址，这种信任关系是建立在基于这种信任关系是建立在基于IP地址的验证地址的验证上，如果禁止基于上，如果禁止基于IP地址的信任关系，使地址的信任关系，使所有的用户通过其它远程通信手段进行远所有的用户通过其它远程通信手段进行远程访

23、问，可彻底的防止基于程访问，可彻底的防止基于IP地址的欺骗。地址的欺骗。6.1.4 IP欺骗的防范对策2. 安装过滤路由器安装过滤路由器如果计算机用户的网络是通过路由器接入如果计算机用户的网络是通过路由器接入Internet的，的，那么可以利用计算机用户的路由器来进行包过滤。那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部确信只有计算机用户的内部LAN可以使用信任关系，而可以使用信任关系，而内部内部LAN上的主机对于上的主机对于LAN以外的主机要慎重处理。以外的主机要慎重处理。使用路由器可以过滤掉所有来自于外部而希望与内部建立使用路由器可以过滤掉所有来自于外部而希望与内部建

24、立连接的请求。通过对信息包的监控来检查连接的请求。通过对信息包的监控来检查IP欺骗攻击将欺骗攻击将是非常有效的方法，使用是非常有效的方法，使用netlog或类似的包监控工具来或类似的包监控工具来检查外接口上包的情况。检查外接口上包的情况。6.1.4 IP欺骗的防范对策3. 使用加密法使用加密法 阻止阻止IP欺骗的另一个有效的方法是在通信时要求欺骗的另一个有效的方法是在通信时要求加密传输和验证加密传输和验证。当有多个手段并存时，加密方法。当有多个手段并存时，加密方法最为适应。最为适应。6.1.4 IP欺骗的防范对策4. 使用随机化的初始序列号使用随机化的初始序列号 IP欺骗另一个重要的因素是初始

25、序列号不是随机欺骗另一个重要的因素是初始序列号不是随机选择或者随机增加的，可以使用随机化的初始序选择或者随机增加的，可以使用随机化的初始序列号，通过下列公式来说明：列号，通过下列公式来说明： ISN=M+F(localhost，localport，remotehost，remoteport) 其中：其中：M：4微秒定时器；微秒定时器；F：加密：加密HASH函数函数 F产生的序列号，对于外部来说是难以被计算或产生的序列号，对于外部来说是难以被计算或者被猜测出的。者被猜测出的。6.1.4 IP欺骗的防范对策6.2 与IP协议相关的欺骗手段o6.2.1 ARP欺骗及防范欺骗及防范o6.2.2 基于基

26、于ICMP的路由欺骗的路由欺骗o6.2.3 RIP路由欺骗路由欺骗o6.2.4 DNS欺骗欺骗6.2.1 ARP欺骗及防范1. ARP 原理原理地址转换协议地址转换协议(ARP) 是在计算机相互通信时，实现是在计算机相互通信时，实现IP 地址与其对应网卡的物理地址（地址与其对应网卡的物理地址（MAC）的转换，）的转换，确保数据信息准确无误地到达目的地。确保数据信息准确无误地到达目的地。具体方法是使用计算机高速缓存，将最新的地址映射具体方法是使用计算机高速缓存，将最新的地址映射通过动态绑定到发送方。当客户机发送通过动态绑定到发送方。当客户机发送ARP 请求时，请求时，同时也在监听信道上其他的同时

27、也在监听信道上其他的ARP 请求。请求。它靠维持在内存中保存的一张表来使它靠维持在内存中保存的一张表来使IP包得以在网络包得以在网络上被目标机器应答，当上被目标机器应答，当IP包到达该网络后，只有机器包到达该网络后，只有机器的的MAC地址和该地址和该IP包中的包中的MAC地址相同的机器才会地址相同的机器才会应答这个应答这个IP包。包。 o通常主机在发送一个通常主机在发送一个IP包之前，它要到该转换表包之前，它要到该转换表中寻找和中寻找和IP包对应的包对应的MAC地址。如果没有找到，地址。如果没有找到，该主机就发送一个该主机就发送一个ARP广播包，形式如下：广播包，形式如下：o“我是主机我是主机

28、xxx.xxx.xxx.xxx , MAC是是xxxxxxxxxxx ,IP为为xxx.xxx.xxx.xx1的主的主机请告诉你的机请告诉你的MAC oIP为为xxx.xxx.xxx.xx1的主机响应这个广播，的主机响应这个广播，应答应答ARP广播为：广播为：我是我是xxx.xxx.xxx.xx1,我我的的MAC为为xxxxxxxxxx2 6.2.1 ARP欺骗及防范6.2.1 ARP欺骗及防范2. 安全漏洞安全漏洞 通常当主机在发送一个通常当主机在发送一个IP包之前，它要到该包之前，它要到该转换表中寻找和转换表中寻找和IP包对应的包对应的MAC地址。如果没有地址。如果没有找到，该主机就发送一

29、个找到，该主机就发送一个ARP广播包，得到对方广播包，得到对方主机主机ARP应答后，该主机刷新自己的应答后，该主机刷新自己的ARP缓存，缓存，然后发出该然后发出该IP包。但是当攻击者向目标主机发送包。但是当攻击者向目标主机发送一个带有欺骗性的一个带有欺骗性的ARP 请求时，可以改变该主机请求时，可以改变该主机的的ARP 高速缓存中的地址映射，使得该被攻击的高速缓存中的地址映射，使得该被攻击的主机在地址解析时其结果发生错误，导致所封装主机在地址解析时其结果发生错误，导致所封装的数据被发往攻击者所希望的目的地，从而使数的数据被发往攻击者所希望的目的地，从而使数据信息被劫取。据信息被劫取。 3. 防

30、止防止ARP 欺骗欺骗 (1) 停止使用地址动态绑定和停止使用地址动态绑定和ARP 高速缓存定高速缓存定期更新的策略，在期更新的策略，在ARP 高速缓存中高速缓存中保存永久的保存永久的IP 地址与硬件地址映射表地址与硬件地址映射表，允许由系统管理人，允许由系统管理人员进行人工修改。员进行人工修改。 (2)在路由器的在路由器的ARP 高速缓存中高速缓存中放置所有受托主放置所有受托主机的永久条目机的永久条目，也可以减少并防止，也可以减少并防止ARP 欺骗，欺骗，但路由器在寻径中同样存在安全漏洞。但路由器在寻径中同样存在安全漏洞。 (3)使用使用ARP服务器服务器。通过该服务器查找自己的。通过该服务

31、器查找自己的ARP转换表来响应其他机器的转换表来响应其他机器的ARP广播。确保广播。确保这台这台ARP服务器不被黑。服务器不被黑。6.2.1 ARP欺骗及防范 1. 关于关于ICMPInternet 控制报文协议控制报文协议( ICMP) 允许路由器向其它路由器或主允许路由器向其它路由器或主机发送差错或控制报文。安全问题就经常发生在重定向类型的机发送差错或控制报文。安全问题就经常发生在重定向类型的ICMP报文收发上。报文收发上。如果网络拓扑改变了，那么主机或路由器中送路表就不正确，改变如果网络拓扑改变了，那么主机或路由器中送路表就不正确，改变可以是临时硬件维修或互联网加入新网络等。可以是临时硬

32、件维修或互联网加入新网络等。为了避免整个网络每台主机的配置文件重复选路信息，允许个别主为了避免整个网络每台主机的配置文件重复选路信息，允许个别主机通过发送机通过发送ICMP重定向报文，请求有关主机或路由器改变路由表，重定向报文，请求有关主机或路由器改变路由表，当路由器检测到一台主机使用非优化路由时，允许向该主机发送重当路由器检测到一台主机使用非优化路由时，允许向该主机发送重定向定向ICMP报文，请示该主机改变成更直接有效的路由表。报文，请示该主机改变成更直接有效的路由表。6.2.2 基于ICMP的路由欺骗2. 欺骗的发生欺骗的发生 当一台机器向网络中另一台机器发送当一台机器向网络中另一台机器发

33、送ICMP重定向消息时，如果一台机器佯装成路重定向消息时，如果一台机器佯装成路由器截获所有到达某些目标网络或全部目标网由器截获所有到达某些目标网络或全部目标网络络IP的数据报，改变的数据报，改变ICMP重定向数据报，重定向数据报， 欺骗并改变目的主机的路由，恶意者可以直接欺骗并改变目的主机的路由，恶意者可以直接发送非法的发送非法的ICMP 重定向报文，达到破坏目重定向报文，达到破坏目的。的。6.2.2 基于ICMP的路由欺骗3. 防止欺骗防止欺骗(1) 避免避免ICMP重定向欺骗最简单方法是重定向欺骗最简单方法是将主机将主机配置成不能处理配置成不能处理ICMP重定向消息重定向消息。(2) 验证

34、验证ICMP重定向消息重定向消息，检查核实，检查核实ICMP重重定向是否来自于可靠的路由器或主机。定向是否来自于可靠的路由器或主机。6.2.2 基于ICMP的路由欺骗 1.RIP原理原理 RIP (Routing Information Protocol) 是使用是使用最广泛的一种最广泛的一种选路信息协议选路信息协议，它是基于本地网的矢量，它是基于本地网的矢量距离选路算法的直接而简单的实现。距离选路算法的直接而简单的实现。它把参加通信的机器分为主动工作模式和被动工作模它把参加通信的机器分为主动工作模式和被动工作模式。一般只有路由器才能以主动模式工作，而其它主式。一般只有路由器才能以主动模式工作

35、，而其它主机为被动工作方式。机为被动工作方式。主动模式主动模式RIP路由器每隔路由器每隔30s广播一次报文，报文在广播一次报文，报文在32bit的首部之后，包含了一系列的的首部之后，包含了一系列的序偶序偶，每个序偶，每个序偶由一个由一个IP地址和一个到达该网络的整数距离值构成。地址和一个到达该网络的整数距离值构成。被动模式工作的路由器或主机监听网上所有广播报文，被动模式工作的路由器或主机监听网上所有广播报文，并根据矢量距离算法更新送路表，从而使得该送路表并根据矢量距离算法更新送路表，从而使得该送路表保持最新且费用更小。保持最新且费用更小。6.2.3 RIP路由欺骗2.欺骗的发生欺骗的发生 在在

36、TCP/IP系统中，系统中，RIP协议处于协议处于UDP协议的上层协议的上层,RIP所所接受的路由修改信息都封装在接受的路由修改信息都封装在UDP的数据报中的数据报中,RIP在在520端端口上接受来自远程路由器的路由修改信息口上接受来自远程路由器的路由修改信息,并对本地的路由做并对本地的路由做相应的修改相应的修改,同时通知其他的路由器同时通知其他的路由器.RIP工作在工作在UDP的端口号为的端口号为520 ，那么路由欺骗的一种简单，那么路由欺骗的一种简单途径是在端口途径是在端口520上通过上通过UDP广播非法路由信息，在一般的广播非法路由信息，在一般的Unix系统中，没有特权使用系统中，没有特

37、权使用RIP的任何人都可以利用的任何人都可以利用RIP对对网络中所有被动参与网络中所有被动参与RIP协议者发起路由欺骗攻击。协议者发起路由欺骗攻击。如果如果RIP作为内部路由上的协议，或者被动工作模式涉及到作为内部路由上的协议，或者被动工作模式涉及到一个乃至多个路由器时，这种攻击所造成的危害必定更大。一个乃至多个路由器时，这种攻击所造成的危害必定更大。6.2.3 RIP路由欺骗3.防止欺骗防止欺骗防止防止RIP 欺骗的一种途径是停止使用欺骗的一种途径是停止使用RIP的被动工作模式，尤其是较大网络系统涉及的被动工作模式，尤其是较大网络系统涉及多个路由器时，应限制性地使用多个路由器时，应限制性地使

38、用RIP协议。协议。另一种途径就是另一种途径就是RIP协议被动参与者必须采协议被动参与者必须采用一些论证方法来接收值得信任的用一些论证方法来接收值得信任的RIP报文报文.6.2.3 RIP路由欺骗1. 关于域名系统关于域名系统 域名系统域名系统(DNS) 实质是一种便于用户记忆使用的实质是一种便于用户记忆使用的机器名与机器名与IP 地地址间的映射机制址间的映射机制，它提供一个分级命名方案，能高效地将名字映射，它提供一个分级命名方案，能高效地将名字映射到地址。当一个客户机在域名查询或请求域名转换时，所发送的报到地址。当一个客户机在域名查询或请求域名转换时，所发送的报文包含有它的名字、名字种类的说

39、明、所需回答的类型等。文包含有它的名字、名字种类的说明、所需回答的类型等。为了实现域名与为了实现域名与IP 地址的高速转换，在域名服务器与主机中都采用地址的高速转换，在域名服务器与主机中都采用高速缓存存储有关数据库，当域名服务器收到查询时，检查名字是高速缓存存储有关数据库，当域名服务器收到查询时，检查名字是否处于它授权管理的子域内，如果是则绑定名字映射信息发回给客否处于它授权管理的子域内，如果是则绑定名字映射信息发回给客户机，如经检查没有在被授权范围内，给客户机一个非授权绑定的户机，如经检查没有在被授权范围内，给客户机一个非授权绑定的信息，并根据客户机请求而进行递归转换或迭代解析。信息，并根据

40、客户机请求而进行递归转换或迭代解析。 6.2.4 DNS欺骗2. DNS 安全问题安全问题 DNS 安全威胁主要还是在于其使用高速缓存保存域名和安全威胁主要还是在于其使用高速缓存保存域名和IP地址的地址的映射策略。映射策略。如果某一域名服务器已受到安全攻击或为入侵者所控制，其域名与如果某一域名服务器已受到安全攻击或为入侵者所控制，其域名与IP地址映射数据库被修改，在它为所授权范围的客户机提供域名服务时，地址映射数据库被修改，在它为所授权范围的客户机提供域名服务时，所有信息就变为不可靠，客户机所得到的域名解析结果正是黑客所希所有信息就变为不可靠，客户机所得到的域名解析结果正是黑客所希望的，客户机

41、的信息资源可能被黑客截取和破坏。望的，客户机的信息资源可能被黑客截取和破坏。再有，当查询的再有，当查询的IP 地址为本地非授权范围内时，本地域名服务器提地址为本地非授权范围内时，本地域名服务器提供迭代解析，如果在解析过程中的初始条件已被黑客修改，则解析结供迭代解析，如果在解析过程中的初始条件已被黑客修改，则解析结果出错。果出错。DNS欺骗3. 反击反击DNS 欺骗欺骗 通过引入名字到地址的映射应用程序接口通过引入名字到地址的映射应用程序接口(API) 来简化使用来简化使用DNS 处理。处理。API 先查阅本地数据，当本先查阅本地数据，当本地数据无法给出结果时，地数据无法给出结果时，API 咨询

42、咨询DNS，这样就减，这样就减小了小了DNS 欺骗的可能性，且比直接查询欺骗的可能性，且比直接查询DNS更安全更安全; 如果在域名服务器中加入限制条件，增加检查并限定如果在域名服务器中加入限制条件，增加检查并限定权限，可以增强安全性。权限，可以增强安全性。DNS欺骗6.3 其它身份欺骗手段其它身份欺骗手段 1.通过代理服务器欺骗通过代理服务器欺骗代理服务器经常被网络攻击者在攻击目标主机的同时，代理服务器经常被网络攻击者在攻击目标主机的同时，用来隐藏自己的身份，以代理服务器为用来隐藏自己的身份，以代理服务器为“攻击跳板攻击跳板”，即使攻击目标的网络管理员发现受到攻击，也难以追即使攻击目标的网络管

43、理员发现受到攻击，也难以追踪到网络攻击者的真实身份或踪到网络攻击者的真实身份或IP地址。地址。所以如果跳板机上有详细的访问日志纪录，那么网络所以如果跳板机上有详细的访问日志纪录，那么网络管理者就能根据访问日志向上追踪，找到网络攻击者管理者就能根据访问日志向上追踪，找到网络攻击者的的IP地址。地址。考虑到这些因素，网络攻击者常常会采用多级代理服考虑到这些因素，网络攻击者常常会采用多级代理服务器，或者通过务器，或者通过“跳板主机跳板主机”来攻击目标，而且在攻来攻击目标，而且在攻击后清除访问日志上的纪录。这样，网络管理人员就击后清除访问日志上的纪录。这样，网络管理人员就难以追踪到攻击者的难以追踪到攻

44、击者的IP地址。地址。网络攻击者为了转移网络安全管理人员的追踪网络攻击者为了转移网络安全管理人员的追踪视线，常常盗用他人的网络账户进行攻击视线，常常盗用他人的网络账户进行攻击.例如，通过窃听网络线路获得网络管理人员的例如，通过窃听网络线路获得网络管理人员的账号和密码，然后利用此账号进入系统。账号和密码，然后利用此账号进入系统。2. 盗用他人网络账户 由于网络上电子邮件的个人认证信息的真实性由于网络上电子邮件的个人认证信息的真实性无法得到认证，而且电子邮件使用是自由的，无法得到认证，而且电子邮件使用是自由的，于是，网络攻击者常常会通过邮件攻击特定的于是，网络攻击者常常会通过邮件攻击特定的网络目标

45、。网络目标。网络攻击者会随意设置邮件账户，而且邮件传网络攻击者会随意设置邮件账户，而且邮件传输协议输协议SMTP并不是对邮件发送者的身份进行并不是对邮件发送者的身份进行认证，网络攻击者可以伪造声称是内部用户的认证，网络攻击者可以伪造声称是内部用户的电子邮件，并且是来自某个客户而且是认识的电子邮件，并且是来自某个客户而且是认识的人，或伪造成是来自一些权威机构的电子邮件。人，或伪造成是来自一些权威机构的电子邮件。这样被攻击者就不会怀疑邮件的内容，轻易的这样被攻击者就不会怀疑邮件的内容，轻易的接受邮件的附件或者链接。接受邮件的附件或者链接。 3. 电子邮件欺骗攻击6.4 实验：实验：ARP欺骗欺骗o 为进一步了解为进一步了解ARP欺骗的原理，使用欺骗的原理，使用ARP-Killer进行实验。实验环境为装有进行实验。实验环境为装有Windows 2000操作系统的计算机以及局域网。操作系统的计算机以及局域网。oARP协议是协议是“Address Resolution Protocol”（地址解析协议）的缩写。（地址解析协议）的缩写。ARP协协议是一种将议是一种将IP转化成以转化成以IP对应的对应的网卡的物理地网卡的物理地址址的一种协议，或者说的一种协议，或