第十讲-攻击与应急响应

第十讲攻击与应急响应

攻击概述缓冲区溢出攻击扫描器病毒恶意代码网络侦听

拒绝服务欺骗技术网络应急响应10.1攻击概述10.1.1攻击的一些基本概念1.攻击的位置远程攻击：指外部攻击者通过各种手段，从该子网以外的地方向该子网或者该子网内的系统发动攻击。本地攻击：指针对本局域网内的其他系统发送的攻击，或在本机上进行非法越权访问。伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象，从而使追查者误以为攻击者来自外单位。2.攻击的目的主要包括：进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、政治意图、经济利益等等。3.攻击的层次一般来说，攻击可分为以下几个层次：简单拒绝服务；本地用户获得非授权读访问；本地用户获得他们本不应该拥有的文件写权限；远程用户获得了非授权的帐号；远程用户获得了特许文件的读权限；远程用户获得了特许文件的写权限；远程用户拥有了根权限。4.攻击的工具用户命令脚本或程序自治主体工具箱分布式工具电磁泄漏5.攻击的人员黑客与破坏者间谍恐怖主义者公司雇员计算机犯罪内部人员10.1.2系统的漏洞漏洞是指硬件软件或策略上的缺陷。

漏洞类型多种多样，如软件错误和缺陷、系统配置不当、口令失窃、明文通信信息被监听以及TCP/IP初始设计存在缺陷等各方面。漏洞问题是与时间紧密相关的。一般要经历如下过程：系统发布漏洞暴露发布不定新漏洞出现安全漏洞与系统攻击之间的关系是：漏洞暴露（可能的攻击）发布补丁1.软件的Bug

软件的Bug主要分为以下几类：缓冲区溢出意料外的联合使用问题不对输入内容进行预期检查文件操作的顺序以及锁定等问题2.系统配置系统配置不当主要有以下几种：默认配置的不足管理员的疏忽临时端口信任关系Windows系统中最危险的漏洞

Internet信息服务（IIS）远程数据访问（MDAC）

MicrosoftSQL服务无保护的Windows网络共享－－NETBIOS

匿名登录－－空会话

LAN管理认证一般的Windows认证－－无口令或弱口令帐号

InternetExplorerRemoteRegistryAccessWindowsScriptingHostUNIX系统中最危险的漏洞

远程过程调用（RPC）

ApacheWebServer

安全Shell（SSH）简单网络管理协议SNMP

文件传输协议FTPR-Services－－可信关系

LinePrinterDaemon（LPD）

SendmailBind/DNS

一般的Unix认证－－无口令或弱口令帐号10.1.3远程攻击的步骤寻找目标主机收集目标信息：锁定目标；使用不同应用程序测试分析；获取帐号信息；获得管理员信息。各种相关工具的准备：收集各种实际使用的工具。攻击策略的制定：攻击策略主要依赖于入侵者所想要达到的目的。数据分析：通过扫描，获取相关数据并进行分析；实施攻击：或许系统的信任等级；获取特许访问权限；安放探测软件或后门软件等，并在攻击得逞后试图毁掉攻击入侵的痕迹。10.2缓冲区溢出10.2.1缓冲区溢出的概念及原理缓冲区溢出指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈。

缓冲区溢出可能会带来两种后果：

过长的字符串覆盖了相邻的存储单元引起程序运行失败，严重的可导致系统崩溃；

利用这种漏洞可以执行任意指令甚至可以取得系统特权由此引发许多种攻击方法。

缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，从而让攻击者取得系统的控制权。为做到这一点，必须达到如下目标：在程序的地址空间安排适当的代码：

攻击方法：

植入法；

利用已经存在的代码通过适当地初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。

攻击方法：

激活记录；

函数指针；

长跳转缓冲区；#include<stdio.h>Main(){charname[8];

printf(“Pleasetypeyourname:”);

gets(name);

printf(“Hello,%s!”,name);return0;}LocalEBPReturnabcESPEBP堆栈栈顶10.2.2缓冲区溢出的保护方法

编写正确的代码：是解决缓冲区溢出漏洞的根本方法；

非执行的缓冲区：通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入被攻击程序输入缓冲区的代码；

程序指针完整性检查：在程序指针被应用之前检测它是否被改变；

安装安全补丁：[12345678][XXXX][YYYY][Z……]NameEBPRetStackEBPESPEIPHeapESP：ExtendStackPointerEBP:ExtendBasePointerEIP:ExtendInstructionPointer10.3扫描器10.3.1扫描器的概念扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。扫描器不是一个直接攻击网络漏洞的程序，它仅仅能帮助我们测试和评价目标的安全性，并及时发现内在的安全漏洞。安全扫描工具通常分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞；基于网络的扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、防火墙等设备的安全漏洞。最重要的扫描器是端口扫描器。端口扫描器通常通过与目标主机TCP/IP端口建立连接和/并请求某些服务，记录目标主机的应答，搜集目标主机相关信息，从而发现目标主机某些内在的安全弱点。

通常，端口扫描有如下功能：发现一个主机或网络的能力；识别目标系统上正在运行的TCP和UDP服务；识别目标系统的操作系统类型；识别某个应用程序或某个特定服务的版本号；发现系统的漏洞。10.3.2端口及端口扫描端口就是潜在的通信通道。端口可分为：知名端口：1～255；常见的网络服务都运行于这个端口范围；受保护端口：256～1023；常见的系统服务都运行于这个端口范围；用户定义端口(动态端口)：1024～65535为使系统正常运行，应尽量关闭无用的端口，操作如下：

在本地运行netstat命令，判断哪些端口是打开的；

对系统进行外部的端口扫描，列出所有实际在侦听的端口号；

如两者得到的结果不同，应分析原因，同时检查各端口运行的服务；

记录最终端口列表，以确定没有额外的端口出现。常用的端口扫描技术（1）

TCPconnect()

操作系统提供的connect()系统调用，用来与目标计算机的端口进行连接，如端口处于侦听状态，则connect()就能成功，否则返回-1。（2）

TCPSYN扫描扫描程序发送一个SYN数据包，如果一个RST返回，表示端口没有处于侦听状态。如果收到一个SYN||ACK，表示端口处于侦听状态。（3）

TCPFIN扫描其思想是关闭的端口会用适当的RST来回复FIN数据包，而打开的端口则会忽略对FIN数据包的回复。（4）

IP段扫描它并不直接发送TCP探测数据包，而是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。

TCP反向认证扫描；

FTP代理扫描；

UDPICMP端口不能到达扫描；

ICMPecho扫描。10.3.3主机扫描主机扫描的目的是确定在目标网络上的主机是否可达。属信息收集的初级阶段。

传统的扫描手段

ICMPEcho扫描：通过是否有应答判断目标是否激活状态。

ICMPSweep扫描：并行发送，同时扫描多个目标主机。

BroadcastICMP扫描：向整个局域网发送ICMPEcho请求。

Non-EchoICMP扫描：用于对主机或网络设备的扫描。

非常规的扫描手段利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效地到达目的地，从而突破防火墙和网络过滤设备的封锁。

异常IP包头：伪造IP包头获取目标主机或过滤设备的信息（如ACL等）。在IP头中设置无效的字段值：获取目标主机或过滤设备的信息。错误的数据分片：根据反馈信息获取如上信息。通过超长包扫描内部路由器：获取目标系统的网络拓扑结构。反向映射扫描：用于扫描被过滤设备或防火墙保护的网络和主机，获取网络内部的结构。10.3.4漏洞扫描漏洞扫描是指检测远程或本地系统存在的安全缺陷。该技术可分为两类：主机漏洞扫描和网络漏洞扫描，前者主要针对系统的配置缺陷以及其他安全规则相抵触的对象；而后者则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。

网络漏洞扫描技术不仅可以检测平台的漏洞，也可以对网络设备、整个网段进行检测。

完整的网络漏洞扫描过程分为3个阶段：发现目标主机或网络。进一步收集目标信息。根据信息判断或者进一步测试系统是否存在安全漏洞。漏洞检测技术是建立在端口扫描技术的基础之上。其主要通过以下两种方法来实现。基于漏洞库的匹配检测方法插件技术：通过调用由脚本语言编写的插件子程序来执行扫描。其好处是使扫描软件的升级和扩展变得简单。10.4病毒10.4.1计算机病毒的定义与特征

定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的主要特征：

破坏性；

传染性；

自我复制能力；

隐蔽性；

潜伏性及可触发性10.4.2计算机病毒的分类与传播计算机病毒一般包含三个部分：引导部分、传染部分、表现部分引导型病毒：攻击系统引导扇区文件型病毒：依附型、覆盖型混合型病毒：既可嵌入到磁盘引导区中又可嵌入到可执行程序中宏病毒：主要攻击支持宏的软件，主要特点：制作方便、传播快、跨平台、兼容性差10.4.3计算机病毒的防止与检测

防止：计算机病毒的防治要从防毒、查毒、解毒三方面来进行。系统对于计算机病毒的实际防治能力和效果也要从这三个方面来评判。防毒是指预防病毒入侵的能力查毒是指发现和追踪病毒的能力解毒是指从感染对象中清除病毒、恢复被感染前的原始信息的能力

检测：计算机病毒的的检测方法很多，典型的方法包括以下几种：

直接检查法：通过直接观察来判断系统是否感染病毒。

特征代码法：

准确快速、误报率低；

不能检测未知病毒

校验和法：

能发现未知病毒；

不能识别病毒名，对隐蔽性病毒无效

行为监测法：

具备发现未知病毒的能力；

可能误报，实现较困难

软件模拟法：用软件方法模拟和分析程序的运行，能检测多态性病毒。10.4.4计算机病毒预防选用正版的系统及软件并及时更新升级安装杀毒软件并定期扫描实施合理的安全配置养成良好的操作习惯定期检查您的系统随时保持警惕常用杀毒软件

KV3000

瑞星金山诺顿卡巴斯基

Symantec10.5恶意代码

恶意代码又称恶意软件，是一种具有在信息系统上执行非授权进程能力的代码。恶意代码本身是程序，并且通过执行来发生作用。早期的恶意代码主要是指病毒，但目前其它形式的恶意代码如蠕虫、恶意网页、木马、逻辑炸弹、后门等正日益泛滥，并且有逐渐融合的趋势。

不必要代码是指内有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码均看作是恶意代码。恶意代码的传播途径主要包括如下：感染本地文件、局域网共享目录中的文件或者复制副本到对方目录；寻找E-mail地址，大量发送垃圾邮件；通过共享网络软件进行传播；建立后门程序，通过后门进行传播；通过即时通信软件传播；通过U盘等存储介质进行传播；利用系统软件的漏洞进行传播；通过短信传播10.5.1蠕虫蠕虫和病毒类似，也可进行自我复制。它能够利用网络漏洞来扩酸并且创建新的副本。蠕虫并不总是有害的，它可作为以太网网络设备的一种诊断工具，用以快速有效地检测网络。蠕虫的基本程序结构包括：传播模块、隐藏模块、目的功能模块。其中传播模块又可分为3个基本模块：扫描模块、攻击模块和复制模块。1.蠕虫的分类根据工作原理分为：主机蠕虫和网络蠕虫

主机蠕虫完全包含在他们运行的计算机中，并且使用网络的连接仅将其自身复制到其他的计算机中。复制完成后就会终止自身。因此任意时刻只有一个蠕虫的副本运行。

网络蠕虫由许多部分组成。且每个部分运行在不同的激起上并且使用网络来达到一些通信的目的。根据攻击对象可分为：针对网络和针对个人

针对企业和局域网的蠕虫通过利用系统的漏洞，主动攻击，往往造成整个局域网瘫痪（如红色代码、尼姆达等）。

针对个人的蠕虫往往借助于网络或网络工具进行传播（如求职信病毒等）10.5.2恶意网页恶意网页通过插在网页中的恶意代码来修改浏览者的注册表，从而起到破坏作用。如禁止使用计算机、格式化硬盘、自动下载运行木马、禁止某些功能或菜单项、修改IE、以及不断弹出对话框等等恶意现象。遭遇到上述现象后应立即采取一些强制措施，如通过电脑的任务管理器强制关闭正在运行的恶意网页，并及时修复注册表和升级杀毒软件、浏览器等。以免造成不必要的损失和麻烦。2.蠕虫与病毒的比较

一般认为，蠕虫是一种通过网络传播的病毒，它具有病毒的一些共性（如传播性、隐蔽性、破坏性等）。但它和普通病毒的工作方式存在不同，主要表现在以下方面：普通病毒蠕虫存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络上的计算机10.5.3特洛伊木马特洛伊木马本质上只是一种远程管理工具，它本身不带伤害性，也没有传染性。特洛伊木马具有隐蔽性和非授权性的特点。

隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐蔽木马；

非授权性是指这个未经授权的程序提供了一些用户不知道的功能。木马的隐蔽性通常通过伪装的方式来实现，主要包括以下方式：

冒充为图像文件；

合并（捆绑）程序欺骗；

伪装成应用程序扩展组件1.木马的工作原理

特洛伊木马属于客户/服务工作模式。它分为两部分：客户端和服务器。其原理是一台主机提供服务（服务器、被控制端），另一台主机接受服务（客户机、控制端）。作为服务器的主机一般会打开一个默认的端口进行侦听。1.1木马自动加载运行技术

常见的木马加载技术如下：

在Win.ini中启动；

在System.ini中启动；

利用注册表加载运行；

在Autoexec.bat和Config.sys中加载运行；

在Winstart.bat中启动；

在启动组启动；

在*.ini中启动；

修改文件关联；

捆绑文件；

反弹端口型木马的主动连接等1.2木马程序建立连接技术木马程序的数据传递通常采用TCP/UDP协议，利用Winsock与目标机的指定端口建立起连接，使用send和recv等API进行数据的传递。合并端口木马：在一个端口同时绑定两个TCP或者UDP连接，通过把木马端口绑定于特定的服务端口之上，从而达到隐蔽端口的目的。利用ICMP协议进行数据的发送：通过修改ICMP头的构造，加入木马的控制字段，将自己伪装成一个Ping的进程，系统就会将ICMP_ECHOREPLY的监听、处理权交给木马进程。反弹端口型木马：服务器端（被控制端）使用主动端口，客户端（控制端）使用被动端口，木马定时监测控制端的存在，发现控制端上线立即主动连接。使用基于嗅探原理的原始Sock木马：服务器端是一个发包器和嗅探器，它将捕获制定特征的数据包。2.木马的防范

使用防火墙和反黑客软件；

端口扫描；

查看连接；

检查注册表；

查找文件。10.5.4逻辑炸弹逻辑炸弹是一种只有当满足特定逻辑条件时才进行破坏的程序。

与病毒相比：逻辑炸弹强调破坏作用本身，而事实破坏的程序不会传播。

与典型木马相比：逻辑炸弹一般是隐含在具有正常功能的软件中。

案例：江民杀毒软件KV300.10.5.5后门入侵者可以通过端口、串/并口、无线设备连接等后门方式入侵计算机。如果一个程序仅仅提供远程访问，那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序，那么就变成了木马。后门产生的必要条件：必须以某种方式与其他终端结点相连目标机默认开放的可供外界访问的端口必须在一个以上目标计算机存在程序设计或认为疏忽。后门工作机制：后门程序也是通过操作系统漏洞、程序漏洞、协议漏洞等方式传播，不同的是后门程序多了一个入侵者入侵后预留通道（如添加超级用户帐号等）。后门程序可以看作木马程序的一种，但它更专注于远程控制/访问。10.5.6流氓软件流氓软件是介于病毒和正规软件之间的软件。流氓软件没有准确的定义，但通常既有如下一些特征：强制安装、难以卸载或恶意卸载、恶意捆绑、浏览器劫持、广告弹出、恶意收集用户信息等。流氓软件的类型：广告软件：未经用户允许下载并安装到用户计算机上、或与其它软件捆绑。间谍软件：是一种后门软件，用以收集用户的信息。浏览器劫持软件：通过各种手段对浏览器篡改，使浏览器配置不正常或不能正常工作。远行为记录软件：用以记录用户的计算机使用习惯、网络浏览习惯等。以此收集信息进行相应的广告推广和商业活动。恶意共享软件：是指某些共享软件为了获取利益，采用诱骗手段、陷阱等方式强迫用户注册，或在合法软件体内捆绑各类恶意插件。10.6网络侦听10.6.1Sniffer工作原理嗅探（Sniffer）是在网络中通过侦听的方式对通信数据包进行监听、采集与分析的技术手段。嗅探器则是用于实现网络嗅探的程序或工具。嗅探器成功的关键在于以太网的通信机制和网卡的工作模式。网络嗅探须考虑网络拓扑环境。当前主要有两种：共享式网络和交换式网络。前者的互联设备是集线器，后者则是交换机。前者采用广播方式，后者则通过交换机在其内部的不同端口间存储转发类完成数据传送。网络侦听的主要用途是观测分析实时经由的数据包，从而快速地进行网络故障定位。被侦听的网络通常包括以下几种：以太网、交换网、FDDI和令牌环网、其他网络（如有线电视、无线等）。

Sniffer通常运行在路由器或具有路由功能的主机上，可能截获在同一条物理信道上传输的所有的信息，包括用户ID和口令等。即逻辑上的子网划分并不能阻止嗅探器攻击。10.6.3Sniffer预防和检测1.预防确保以太网的整体安全使用加密传输敏感数据使用安全拓扑结构2.检测反应时间利用Ping模式进行检测使用ARP数据包进行检测10.6.2交换网嗅探交换网络结构能在一定程度上抵御嗅探攻击。但无法阻止。对交换网数据包进行嗅探的方法包括：

MAC洪水包：通过发送大量虚假MAC地址和IP地址的IP包使交换机进入所谓的“打开失效”模式，此时交换机的工作方式与集线器类似。从而实现攻击目的。利用交换机的镜像功能：端口镜像就是把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。通过在镜像端口上使用嗅探器即可嗅探到被镜像端口的数据通信。利用ARP欺骗实现嗅探：网络设备为减少广播量，通常会通过ARP表在缓存中保存IP与MAC地址的映射关系，且ARP表使用老化机制，这给了嗅探器假冒攻击的机会。10.7拒绝服务拒绝服务（DoS）是网络信息系统由于某种原因不能为授权用户提供正常的服务。它通常分为针对网络的和针对主机的DoS攻击。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，从而无法处理常规的任务。攻击者面临的主要问题是网络带宽。

产生拒绝服务的原因：

资源毁坏；

资源耗尽或过载；

配置错误；

软件弱点。常见的DoS攻击方式：1.TCPSYNFlooing

利用TCP协议的三次握手原理实施攻击。预防措施：在防火墙上过滤来自同一主机的后续连接。客户客户服务器服务器(1)TCPSYN(1)TCPSYN(2)SYNACK(2)SYNACK(3)TCPACK分配资源等待回复等待等待超时分配资源等待回复连接2.Smurf攻击利用ICMP技术进行攻击。预防措施：为防止入侵者利用网络攻击他人，应关闭外部路由器或防火墙的广播地址特性；为防止被攻击，应在防火墙上设置规则，丢弃掉ICMP包。3.Fraggle攻击其基本概念及做法像Smurf，但它是采用UDPecho讯息。预防措施：可以通过在防火墙上过滤掉UDP应答消息来防范。Internet攻击机器被攻击机器路由器4.分布式拒绝服务攻击DDoS

DDoS是攻击者控制一些数量的PC机或路由器，用这些PC机或路由器发动DoS攻击。攻击者通常采取IP地址欺骗技术。预防措施：采用IDS技术。DDoS攻击过程如下：探测扫描大量主机以寻找可入侵主机目标；通过一些典型而有效的远程溢出漏洞攻击程序，获取其系统控制权；在每台入侵主机中安装攻击程序；利用已入侵主机继续进行扫描和入侵。被攻击机器主控端分布端客户端10.8欺骗技术10.8.1IP欺骗

IP欺骗技术就是伪造某台主机IP地址的技术。IP地址欺骗的发生主要是因为通信双方基于地址验证的认证策略造成的。如果通信双方实施应用层认证则能有效防止这类攻击。

TCP提供可靠传输是因为它传送出的所有字节都分配有序列号。TCP的序列号可以看作是32位的计数器，其范围为0～232-1。而数据包的ACK对所收到的数据进行确认，并指出下一个期待接收的数据序列号。由于TCP通过滑动窗口的概念进行流量控制，而窗口由16位bit所定义，谷接收端TCP能最大提供65535个字节的缓冲，故利用窗口大小和第一个数据的序列号可计算出最大可接收的数据序列号。初始学列号（ISN）由tcp_init()函数确定。ISN每秒增加128000，如果有连接将把计数器的数值增加64000。从而使得用于ISN的32位计数器在没有连接的情况下每9.32小时复位一次。在Berkeley系统，最初的序列号变量由一个常数每秒加一产生，等到这个常数一半时就开始一次连接。故如果开始了一个合法的连接，并观察到一个ISNS在用，便可以计算有很高可信度的ISNS用在下一个连接企图。IP欺骗步骤和防止

假定：

目标主机已选定；

信任模式已发现。则工作过程如下：

使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接；如果成功，则放置后门，以进行非授权操作。

IP欺骗步骤（A）及会话的劫持过程（B）如下：1.远程登录，建立会话，完成认证过程1.监听流量3.劫持会话4.迫使A下线ABZ（B）（A）ZAB时刻1时刻2时刻4时刻3

防止：

抛弃基于地址的信任策略；

进行包过滤；

使用加密方法传输；

使用随机化的初始序列号10.8.2电子邮件欺骗

1.电子邮件攻击电子邮件攻击主要表现为：电子邮件轰炸和电子邮件欺骗。前者主要是通过向同一信箱发送大量的垃圾邮件来轰炸所在的邮件服务器；而后者则主要是一种冒充行为（如冒充管理员）。

2.电子邮件欺骗方法执行电子邮件欺骗有三种基本方法：相似的电子邮件地址冒充回复地址利用电子邮件附件远程联系，登录到端口25

欺骗者远程登录到SMTP服务器的端口25，邮件服务器使用它在互联网上发送邮件。攻击者通过所在的邮件服务器与目标服务器联系，在25端口发送消息，从而实现消息转移，然后用户的邮件服务器把该消息发送给用户。这种攻击行为欺骗性较强。10.8.3Web欺骗

Web欺骗是攻击者伪造某个WWW站点的镜像副本，使该镜像站点的入口进入到攻击者的Web服务器，并经过攻击者计算机的过滤，从而达到攻击者监视目标的任何活动以获取有用信息的目的。

Web欺骗成功的关键是要在受攻击者和其他Web服务器之间建立攻击者的Web服务器。其欺骗产生的根源在于Internet的开放性，即任何人都可以建立自己的Web站点，域名可以自由注册，而清楚Web的运行规则的人却是少数。Web欺骗的手段与方法如下：基本的Web欺骗：如注册非常有欺骗性的域名等；

DNS域名重定向：通过改变DNS服务器的数据库，从而把网站域名重定向到另一个网站上，从而实现劫持。

URL重写：攻击者把自己的信息插入到通信流中。通常是通过把网络流量转移到攻