协议欺骗攻击技术常见种类简析及防范
欺骗攻防技术
在基本的IP欺骗攻击中,攻击者仅仅假冒的是另一台主机的IP地址或MAC地址。被 冒充的用户可能并不在线上,并且在整个攻击中也不扮演任何角色。但是在会话劫 持中,被冒充者本身是处于在线状态的,因此常见的情况是,为了接管整个会话过 程,攻击者要积极地攻击被冒充用户并迫使其离线。
5
会话劫持过程
(1)在确定目标主机之后,要找到目标 主机所采用的信任模式。
(1)查看ARP缓存表。
机建立了一条TCP连接。事实上,攻击者把目标主
机和被信任主机之间的双向TCP连接分解成了两个
单向的TCP连接)。攻击者就可以获得对目标主机
的访问权,并可以进一步进行攻击。
4
会话劫持
会话劫持就是接管一个现存动态会话的过程,攻击者可以在双方会话当中进行监听, 也可以在正常的数据包中插入恶意数据,甚至可以替代某一方主机接管会话。
10
ARP欺骗攻击的方法
利用了ARP缓存表的缺陷:当主机收到一个ARP响应包后,它不会验证自己是否发送 过这个ARP请求,也不会验证这个ARP应答包是否可信,而是直接将响应包里的MAC 地址与IP地址对应以替换原来的MAC地址。ARP欺骗过程如下: (1)主机B向主机A发送ARP Reply,告 诉主机A 192.168.0.1 的MAC是×××B (2)主机B向路由器发送ARP Reply,告 诉路由器 192.168.0.100 .防范基本的IP欺骗攻击
防御确认欺骗攻击的方法
防御确认欺骗攻击的方法随着互联网的发展,网络欺骗攻击也越来越多,其中最常见的就是确认欺骗攻击。
确认欺骗攻击是指攻击者通过伪造或篡改网络数据包,使得接收方误认为发送方已经收到了数据包,从而达到欺骗的目的。
为了防御确认欺骗攻击,我们可以采取以下方法。
一、使用加密协议加密协议是指在网络通信过程中对数据进行加密处理,从而保证数据的安全性。
常见的加密协议有SSL、TLS等。
使用加密协议可以有效地防御确认欺骗攻击,因为攻击者无法破解加密数据包,从而无法篡改数据包内容。
二、使用数字签名数字签名是指在数据包中添加一个数字签名,用于验证数据包的真实性和完整性。
数字签名可以防止数据包被篡改或伪造,从而有效地防御确认欺骗攻击。
三、使用防火墙防火墙是一种网络安全设备,可以对网络数据包进行过滤和检测,从而防止恶意攻击。
使用防火墙可以有效地防御确认欺骗攻击,因为防火墙可以检测到伪造的数据包,并将其拦截。
四、使用数字证书数字证书是一种用于验证身份的安全证书,可以用于验证数据包的发送方和接收方的身份。
使用数字证书可以有效地防御确认欺骗攻击,因为攻击者无法伪造数字证书,从而无法伪装成合法的发送方。
五、使用双因素认证双因素认证是指在用户登录时需要提供两种不同的身份验证方式,例如密码和指纹、密码和短信验证码等。
使用双因素认证可以有效地防御确认欺骗攻击,因为攻击者无法同时获取两种不同的身份验证方式。
六、定期更新软件和系统定期更新软件和系统可以有效地防御确认欺骗攻击,因为更新可以修复已知的漏洞和安全问题,从而提高系统的安全性。
七、加强员工安全意识教育加强员工安全意识教育可以有效地防御确认欺骗攻击,因为员工是企业网络安全的第一道防线。
通过加强员工安全意识教育,可以提高员工对网络安全的认识和意识,从而减少安全漏洞和风险。
确认欺骗攻击是一种常见的网络安全威胁,为了防御确认欺骗攻击,我们可以采取多种方法,例如使用加密协议、数字签名、防火墙、数字证书、双因素认证、定期更新软件和系统以及加强员工安全意识教育等。
常见网络入侵技术及网络防护技术简介
常见网络入侵技术和网络防护技术简述随着计算机和网络技术的快速发展,网络信息已经成为社会发展的重要组成部分,涉及到国家的政府、军事、经济等诸多领域。
由于计算机网络组成形式的多样性和网络的开放性等特点,致使这些网络信息容易受到来自世界各地的各种人为攻击。
据统计,全球每20秒就有一起黑客事件发生,因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。
本文简单介绍了几种常见的网络入侵手段和网络防护技术。
一、背景上世纪九十年代开始发展起来的计算机网络技术,给人们在处理信息和资源共享带来了极大的方便,深刻影响并改变着我们的生活方式。
当各种商业活动,金融领域,国家政府机构,军事国防对网络依赖度越来越高时,也不得不面对更多来自网络安全方面的考验。
随之出现的诸如木马,蠕虫,DoS攻击等,正在成为网络安全最大的威胁。
全球知名的个人电脑安全软件制造商Symantec专家Ⅵncent Weaver在接受新华社记者采访时说:“中国排全球互联网黑客攻击的第三号目标。
”中国互联网络信息中心(CNNIC)报告指出,截至 2013年底,网民人数已达 6.18亿,手机网民超过 5亿,同样面临着严重的安全威胁。
其中计算机病毒感染率更是长期处于较高水平。
每年因计算机病毒、蠕虫和木马造成的安全事件占全部安全事件的83%。
近年来国内发生了许多网络安全事件,其中部分事件有着重大的社会和政治影响。
我国重要信息系统受到境内、外恶意病毒的攻击,木马的侵入、渗透,危害相当严重。
从整个国家和地区情况看,近年来世界广为知晓的“棱镜门”事件,以及前一个时期通过国外媒体暴露的有关国内知名的公司核心服务器受到侵害的安全问题非常突出。
国外媒体报道的中国周边国家韩国突发的网络安全和信息瘫痪的事件,都令人深思和警醒。
随着互联网的发展,网络安全给我们带来的挑战应该更加凸显。
尽管这几年我国政府在逐步的加大网络安全方面的工作力度、技术投入和资金保障,但仍然客观存在着网络安全的问题,有的还比较突出,整个形势不容乐观。
论校园网管理中ARP欺骗及攻击和安全防范措施
论校园网管理中ARP欺骗及攻击和安全防范措施通过介绍ARP协议的概念和工作原理,分析了当前ARP攻击的主要类型和特点,提出了一些具体的防范措施,来解决网络管理中出现的ARP的欺骗和攻击。
标签:APR;病毒攻击;防范措施1 ARP协议及欺骗原理1.1 ARP协议ARP欺骗,一个让我们耳熟能详的网络安全事件,普遍的存在于校园网、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不变,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说,ARP欺骗是网络的一块顽疾。
分析ARP欺骗,就不得不研究一下ARP协议,因为这种攻击行为正是利用了ARP协议本身的漏洞来实现的。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用,就是将IP地址转换为MAC地址。
在局域网中,网络中实际传输的是“数据帧”,数据帧如果要到达目的地,就必须知道对方的MAC地址,它不认IP的。
但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
我们以主机A向主机B发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问。
网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
ARP欺骗的种类及危害
ARP欺骗的种类及危害ARP欺骗(Address Resolution Protocol Spoofing)是一种网络攻击手段,它利用ARP协议的漏洞,通过伪造和欺骗的方式,将网络中其他计算机的IP地址与MAC地址映射关系篡改,从而对网络通信进行非法的监控、劫持或伪装。
ARP欺骗的种类和危害主要包括以下几个方面:1.单向ARP欺骗单向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP响应报文,将受害者的IP地址与自己的MAC地址映射关系发送给网关路由器。
当局域网中其他计算机将数据包发送给受害者时,数据包会被发送至攻击者的计算机,攻击者可以对数据包进行监控、篡改或拦截。
这种攻击方式可以窃取受害者的敏感信息,如账号密码、通信内容等。
此外,在拦截数据包后,攻击者还可以利用ARP欺骗进行中间人攻击,进一步伪装成受害者与其他计算机进行通信,从而迷惑其他计算机的身份。
2.反向ARP欺骗反向ARP欺骗是指攻击者在局域网中发送大量的伪造ARP请求报文,将受害者的IP地址与攻击者的MAC地址映射关系发送给受害者。
当受害者接收到伪造的ARP请求报文后,会将自己的IP地址与攻击者的MAC地址的映射关系写入ARP缓存中,从而将其所有网络通信的数据包发送给攻击者。
这种攻击方式可以使受害者完全失去对自己通信数据的控制,攻击者可以窃取所有的数据包,并对其进行监控、篡改或拦截。
3.双向ARP欺骗总的来说,ARP欺骗的危害主要包括以下几个方面:1.数据窃取:攻击者可以窃取通过ARP欺骗获得的数据包,包括用户的账号密码、敏感信息等。
2.数据篡改:攻击者可以对数据包进行篡改,破坏数据的完整性和可信性。
3.中间人攻击:攻击者可以利用ARP欺骗将自己伪装成通信双方之一,从而窃取双方的通信内容或者篡改通信内容。
4.拒绝服务攻击:攻击者可以通过ARP欺骗使网络中的计算机无法正常通信,从而导致网络服务的不可用。
5.传播恶意软件:攻击者可以利用ARP欺骗将受害者的数据包重定向至自己的恶意服务器上,从而传播病毒、木马等恶意软件。
校园网ARP欺骗及攻击和安全防范措施
校园网ARP欺骗及攻击和安全防范措施【摘要】本文首先介绍了ARP协议的概念和工作原理,接着分析了当前ARP病毒的主要类型和特点,最后提出了一些具体的防范措施,来应对ARP的欺骗和攻击。
本文笔者结合自己的一些网络管理经验,对ARP病毒进行了分析和总结,并提出了相应的防范措施。
【关键词】APR 病毒攻击防范措施一、ARP协议及工作原理1. ARP协议简介ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。
在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP 协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。
2.ARP协议的工作原理a.在同一个网段内假设主机A和B在同一个网段,主机A要向主机B发送信息。
具体的地址解析过程如下。
(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B 对应的ARP表项。
如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。
由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。
(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。
之后以单播方式发送ARP响应报文给主机A。
(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
防范arp欺骗攻击的主要方法有
防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。
2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。
4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。
5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。
6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。
7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。
8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。
ARP协议分析及ARP欺骗类病毒的防御
ARP协议分析及ARP欺骗类病毒的防御目前利用TCP/IP协议安全漏洞进行欺骗攻击的事件经常发生,攻击者利用ARP欺骗进行拒绝服务攻击(DoS)或中间人攻击,造成网络通信中断或数据被截取和窜改,严重影响网络的安全。
本文通过ARP协议原理分析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。
标签:ARP协议ARP欺骗ARP病毒一、引言ARP欺骗具有隐蔽性、随机性的特点,在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,给网络安全运行带来巨大隐患,是局域网安全的首要威胁。
有时会出现网络设备完好,运转正常的情况下,局域网内用户上网速度缓慢甚至完全阻塞的情况,这种现象往往是由于局域网内遭到ARP攻击引起的,一些带有ARP欺骗功能的木马病毒,利用ARP协议的缺陷,像大规模爆发的流行性感冒一样,造成网络时断时续,无法正常上网。
同时清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。
二、ARP协议概述ARP协议全称为Address Resolution Protocol,即地址解析协议,是TCP/IP协议栈中的基础协议之一,它工作于OSI模型的第二层,在本层和硬件接口间进行联系, 同时为上层(网络层) 提供服务。
是将IP地址与网络物理地址一一对应的协议,负责IP地址和网卡实际地址(MAC)之间的转换。
也就是将网络层地址解析为数据链路层的MAC地址。
在以太网中,一个网络设备要和另一个网络设备进行直接的通信,除了知道目标设备的IP地址外,还要知道目标设备的MAC地址。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通讯的顺利进行。
当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己子网掩码进行“与”操作,以判断目标设备与自己是否位于同一网段内,如果目标设备与源设备在同一网段内,则源设备以第二层广播的形式(目标MAC地址全为1)发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。
ARP欺骗攻击的实现与防范
– ARP 扫描 – ARP 中间人攻击 – ARP断网攻击。
ARP欺骗攻击原理-- ARP 扫描攻击
• ARP 扫描(ARP请求风暴)用于查找网络中存活的 主机,为后续攻击做准备。
• 其原理是:攻击主机向网段中所有机器挨个发起 ARP 请求,网络中的主机收到此 ARP 请求后,会 对攻击主机进行响应。
– B址M向A是CA地19发址2.送1本6一8来.1个应0.自3该(己是C伪的C造C-IPC的C地-AC址RCP-)C应C,-答CCM,-CAC这C,地个这址应里是答被B中B伪-的B造B数-了B据B)-为B。B发-B当B送A-B方接B(I收PC地到的B 伪造的 ARP 应答,就会更新本地的 ARP 缓存(A 被欺骗了) ,这时 B 就 伪装成C了。
– 同19时2.1,68B.1同0.样1(向AC的发IP送地一址个)A,RPM应A答C地,址应是答B包B-中BB发-B送B-B方B-IBPB地-BB址(四A的MAC 地址本来应该是AA-AA-AA-AA-AA-AA) ,当 C 收到 B 伪造的 ARP 应答,也 会更新本地 ARP 缓存(C 也被欺骗了),这时 B 就伪装成了 A。
• ARP 中间人攻击,能够导致被攻击主机的信 息泄密,同时也会耗费网络带宽。
ARP欺骗攻击原理-- ARP断网攻击
• ARP 断网攻击能使网络通讯中断,危害性 最为严重。
• 其原理是:攻击主机向被攻击发起主动发 起 ARP 回应,告诉对方一个错误的网关 MAC,从而让对方的数据发往错误甚至是 不存在的 MAC 地址处,从而断网。如果同 时对网络中的所有主机进行攻击,则会导 致整个局域网全部断网。
ARP报头结构
• 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1; • 协议类型字段指明了发送方提供的高层协议类型,IP为0800(16进制); • 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以
ARP攻击方式及介绍攻击造成的现象
ARP攻击方式及介绍攻击造成的现象ARP(Address Resolution Protocol)是一种广泛使用的局域网通信协议,用于将IP地址解析为MAC地址。
它通过发送ARP请求,询问特定IP地址的MAC地址,并将结果缓存在本地ARP缓存中,以提高网络传输的效率。
然而,由于ARP的工作方式容易受到攻击者的利用,因此ARP攻击成为了网络安全领域的一大威胁。
本文将介绍ARP攻击的几种常见方式,并详细讨论攻击造成的现象。
1. ARP欺骗(ARP Spoofing):ARP欺骗是最常见的ARP攻击方式之一,攻击者通过发送伪造的ARP响应包,将自己的MAC地址欺骗成目标主机的MAC地址,使得网络流量误导到攻击者的计算机上。
受到ARP欺骗影响的主机会将其传输的数据发送到攻击者所在的计算机,从而攻击者可以窃取敏感信息、修改数据或者拒绝服务。
另外,ARP欺骗还可以用于中间人攻击(Man-in-the-Middle Attack),攻击者将自己伪装成通信双方之间的中间节点,窃取通信内容或篡改通信数据。
2. ARP投毒(ARP Poisoning):ARP投毒是一种特殊形式的ARP欺骗,攻击者发送大量的伪造ARP响应包给所有主机,将一个或多个正常的ARP缓存条目篡改成攻击者所期望的条目。
这样一来,就会导致通信的源和目标主机都将数据发送到攻击者所在的计算机上。
攻击者通过篡改数据或拦截通信,干扰正常的网络传输或窃取敏感信息。
3. ARP劫持(ARP Hijacking):ARP劫持是一种利用ARP欺骗技术的高级攻击方式,攻击者通过持续发送伪造的ARP响应包,将目标主机的ARP表中原有的合法条目替换为攻击者所期望的条目。
这样,攻击者可以完全控制目标主机的网络连接,拦截、修改或重定向目标主机的通信。
4. 反向ARP攻击(Reverse ARP Attack):反向ARP攻击是一种少见的ARP攻击方式,攻击者伪造目标主机的ARP响应包,将目标主机的MAC地址欺骗成攻击者的MAC地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IP欺骗攻击
IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可
以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能
的前提。
假设同一网段内有两台主机A、B,另一网段内有主机X。B 授予A某些特权。
X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带
有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列
号加1。然而,此时主机A已被主机X利用拒绝服务攻击“淹没”了,导致主机A服务
失效。结果,主机A将B 发来的包丢弃。为了完成三次握手,X还需要向B回送一个
应答包,其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到
主机B的数据包(因为不在同一网段,只有利用TCP顺序号估算法来预测应答包的顺
序号并将其发送给目标机B。如果猜测正确, B则认为收到的ACK是来自内部主机
A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻
击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻
击:·抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址
为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空
/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、
skey等等。
·使用加密方法:在包发送到网络上之前,我们可以对它进行加密。虽然加密过程
要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
·进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址
的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送
出去。
有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它
们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网
络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人
冒充这些主机进行IP欺骗。
ARP欺骗攻击
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址
(即MAC 地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没
有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。
而ARP欺骗攻击就是利用该协议漏洞,通过伪造IP地址和MAC地址实现ARP欺
骗的攻击技术。
我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而
主机B,C 正在通信。现在A希望能嗅探到B->C的数据,于是A就可以伪装成C对
B做ARP欺骗——向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而
MAC地址为A的MAC地址。这个应答包会刷新B的ARP缓存,让B认为A就是
C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地
址。这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们
在嗅探到数据后,还必须将此数据转发给C,这样就可以保证B,C的通信不被中断。
以上就是基于ARP欺骗的嗅探基本原理,在这种嗅探方法中,嗅探者A实际上
是插入到了B->C中, B的数据先发送给了A,然后再由A转发给C,其数据传输关系
如下所示:
B----->A----->C B<----A<------C
于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的ARP欺
骗的例子。
ARP欺骗攻击有两种可能,一种是对路由器ARP表的欺骗;另一种是对内网电
脑ARP表的欺骗,当然也可能两种攻击同时进行。但不管怎么样,欺骗发送后,电脑
和路由器之间发送的数据可能就被送到错误的MAC地址上。
防范ARP欺骗攻击可以采取如下措施:
·在客户端使用arp命令绑定网关的真实MAC地址命令
·在交换机上做端口与MAC地址的静态绑定。
·在路由器上做IP地址与MAC地址的静态绑定
·使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC
映射表。
DNS欺骗攻击
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉
入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗
了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引
导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。网
络攻击者通常通过以下几种方法进行DNS 欺骗。
(1缓存感染
黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存
当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵
者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取
用户信息。
(2DNS信息劫持
入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的
DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个
ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户,从而欺骗客
户端去访问恶意的网站。
(3DNS重定向
攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得
DNS服务器的写权限。
防范DNS欺骗攻击可采取如下措施
·直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。但这需要你记
住要访问的IP地址。
·加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的
协议,对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是
怎么容易的事情。
源路由欺骗攻击
通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主
机出现错误动作,这就是源路由攻击。在通常情况下,信息包从起点到终点走过的路
径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何
去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包
循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给
出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为
aaa.bbb.ccc.ddd获得某些服务。首先,攻击者修改距离X最近的路由器,使得到
达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的
地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器数据包。当
B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主
机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
·对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声
称是内部主机的报文。
·在路由器上关闭源路由。用命令no ip source-route。