网络地址欺骗详解

1、地址欺骗一欺骗欺骗原理原理某机器要向主机发送报文，会查询本地的缓存表，找到的地址对应的地址后，就会进行数据传输。如果未找到，则广播一个请求报文（携带主机的地址一一物理地址，请求地址为的主机回答物理地址c网上所有主机包括都收到请求，但只有主机识别自己的地址，于是向主机发回一个响应报文。其中就包含有的地址CCC接收到的应答后，就会更新本地的缓存。接着使用这个地址发送数据（由网卡附加地址）因此，本地高速缓存的这个表是本地网络流通的基础，而这个缓存是动态的。协议并不只在发送了请求才接收应答。当计算机接收到应答数据包的时候，就会对本地的缓存进行更新，将应答中的和地址存储在缓存中。因此，局域网中的机器首先

2、攻击使瘫痪，然后向发送一个自己伪造的应答，而如果这个应答是冒充伪造来的，即地址为的而地址是的，则当接收到伪造的应答后，就会更新本地的缓存，这样在看来的地址没有变，而它的地址已经变成的了。由于局域网的网络流通不是根据地址进行，而是按照地址进行传输。如此就造成传送给的数据实际上是传送到这就是一个简单的欺骗，如图所示。MAC地址为MAC：C瘫痪ARPMAC地址为MAC：C瘫痪ARP报文信任关系攻击，使MAC：CC：CClCC:CCA欺骗的防范措施在下输入命令固化表，阻止欺骗。使用服务器。通过该服务器查找自己的转换表来响应其他机器的厂播。确保这台服务器不被黑。采用双向绑定的方法解决并且防止欺骗。防护软

3、件一u通过系统底层核心驱动，无须安装其他任何第三方软件如，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无需对计算机进行地址及地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建缓存列表，因为此软件是以服务与进程相结合的形式存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。欺骗欺骗是一种比较常见的攻击手段。一个著名的利用欺骗进行攻击的案例，是全球著名网络安全销售商的网站所遭到的攻击。其实网站的主机并没有被入侵，而是的域名被黑客劫持，当用户连上时，发现主页被改成了其他的内容。欺骗的原理欺骗首先是冒充域名服务器，然后把查询的地址设为攻击者的

4、地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是欺骗的基本原理。欺骗其实并不是真的黑掉了对方的网站，而是冒名顶替、招摇撞骗罢了。欺骗的现实过程如图所示，的地址为0如果向的子域服务器查询的地址时，冒充向回复的地址为1这时就会把当的地址了。当连时，就会转向那个虚假的地址了，这样对来说，就算是给时，就会转向那个虚假的地址了，这样对来说，就算是给黑掉了。因为别人根本连接不上他的域名。欺骗的检测根据检测手段的不同，将其分为被动监听检测、虚假报文探测和交叉检查查询3种被动监听检测：该检测手段是通过旁路监听的方式，捕获所有请求和应答数据包，并为其建立一个请求应答映射表

5、。如果在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则怀疑受到了欺骗攻击，因为服务器不会给出多个结果不同的应答包，即使目标域名对应多个地址，服务器也会在一个应答包中返回，只是有多个应答域而已。虚假报文探测：该检测手段采用主动发送探测包的手段来检测网络内是否存在欺骗攻击者。这种探测手段基于一个简单的假设攻击者为了尽快地发出欺骗包，不会对域名服务器叩的有效性进行验证。这样如果向一个非服务器发送请求包，正常来说不会收到任何应答，但是由于攻击者不会验证目标是否是合法服务器，他就会继续实施欺骗攻击，因此如果收到了应答包，则说明受到了攻击。交叉检查查询：所谓交叉检查即在客户端收到应答包之

6、后，向服务器反向查询应答包中返回的地址所对应的名字，如果二者一致说明没有受到攻击，否则说明被欺骗。三欺骗欺骗的原理通过编程的方法可以随意改变发出的包的地址，但工作在传输层的协议是种相对可靠的协议，不会让黑客轻易得逞。由于是面向连接的协议，所以在双方正式传输数据之前，需要用。三次握手来建立一个值得信赖的连接。假设是和两台主机进行通信，首先发送带有标志的数据包通知建立连接，的可靠性就是由数据包中的多位控制字来提供的，其中最重要的是数据序列和数据确认标志C将报头中的设为自己本次连接中的初始值S假如想冒充对进行攻击，就要先使用的地址发送标志给，但是当收到后，并不会把发送到欺骗者的主机上，而是发送到真正

7、的上去，这时就“露陷”了，因为根本没发送发请求。所以如果要冒充，首先要让失去工作能力。也就是所谓的拒绝服务攻击，让瘫痪。可是这样还是远远不够的，最困难的就是要对进行攻击，必须知道使用的S使用的是一个位的计数器，从到9为每一个连接选择一个初始序列号为了防止因为延迟、重传等扰乱三次握手，不能随便选取，不同的系统有着不同的算法。约每秒增加，如果有连接出现，每次连接将把计数器的数值增加。很显然，这使得用于表示的位计数器在没有连接的情况下每9.3小2时复位一次。之所以这样，是因为它有利于最大于度地减少“旧有”连接的信息干扰当前连接的机会。如果初始序例号是随意选择的，那么不能保证现有序例号是不同于先前的。

8、假设有这样一种情况，在一个路由回路路中的数据包最终跳出循环，回到了“旧有”的连接，显然这会对现有连接产生干扰。预测出攻击目标的序例号非常困难，而且各个系统也不相同，在系统，最初的序列号变量由一个常数每秒加1产生，等加到这个常数的一半时，就开始一次连接。这样，如果开始一个合法连接，并观察到一个正在使用，便可以进行预测，而且这样做有很高的可信度。现在假设黑客已经使用某种方法，能预测出S在这种情况下，他就可以将序列号送给，这时连接就建立了。欺骗的过程：(1)使被信任主机失去工作服力为了伪装成主机而不露陷，需要使其完全失去工作能力。由于攻击者将要代替主机，他必须确保主机不能收到任何有效的网络数据，否则

9、将会被揭穿。有许多方法可以达到这个目的如洪水攻击、等攻击)现假设已经使用某种方法使得主机完全失去了工作能力。(2)序例号取样和猜测前面讲到了，对目标主机进行攻击，必须知道目标主机的数据包序例号。通常如何进行预测呢往往先与被攻击主机的一个端口如：建立起正常连接。通常，这个过程被重复次，并将目标主机最后所发送的存储起来。然后还需要进行估计他的主机与主机之间的往返时间，这个时间是通过多次统计平均计算出来的。往返连接增加。现在就可以估计出的大小是乘以往返时间的二半，如果此时目标主机刚刚建立过一个连接，那么再加上640。0一0旦估计出的大小，就开始着手进行攻击，当然虚假数据包进入目标主机时，如果刚才估计

10、的序例号是准确的，进入的数据将被放置在目标机的缓冲区中。但是在实际攻击过程中往往没这么幸运，如果估计序例号的小于正确值，那么将被放弃。而如果估计回国囫目于正确值，并且在缓冲区的大小之内，那么该数据被认为是一个未来的数据，哑四国将等待其他缺少的数据。如果估计序例号大于期待的数字且不在缓冲区之内，放弃它并返回一个期望获得的数据序例号。伪装成主机的，此时，该主机仍然处在瘫痪状态，然后向目标捌端口发送连接请求。目标主机立刻对连接请求作出反应，发更新确认包给主机，因为此时主机仍然处于瘫痪状态，它当然无法收到这个包，紧接关攻击者向目标主机发送数据包，该包使用前面估计的序例号加1如果攻击者估计正确的话，目标主机将会接收该连接就正式建立起了，可以开始数据传输了。如果达到这一步，一次完整的欺骗就算完成了。下面总结一下攻击的整个步骤首先使主机的网络暂时瘫痪，以免对攻击造成干扰连接到目标机的某个端口来猜测基值和增加规律接下来把源地址伪装成主机,发送带有标志的数据段请求连接接下来把源地址伪装成主机,发送带有标志的数据段请求连接然后等待目标机发送包给已经瘫痪的主机，因为现在看不然后等待目标机发送包