Please enable JavaScript.

Coggle requires JavaScript to display documents.

欺骗攻击及防御技术 - Coggle Diagram

- - - - 简单的IP地址变化
        
        将自己的IP修改为别人的IP，伪造报文发给目的主机，由于IP是别人的，所以自己是收不到响应的，所以也称盲目飞行攻击
        
        无法建立完整的TCP，但可以使用UDP
      - 源路由攻击
        
        源路由类型
        
        宽松的源站选择（LSR）
        
        严格的源站选择（SRS）
        
        攻击的类型
        
        插入到数据流的必经之路上
        
        保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器
        
        实现的基础
        
        源路由机制在TCP/IP协议组中，它允许用户在IP数据包包头的源路由选项字段设定接收方返回的数据包要经过的路径
        
        某些路由器对源路由包的反应是使用其中指定的路由，并使用其反向路由来传送应答数据，这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护的数据
      - 利用Unix系统的信任关系
        
        基于IP地址信任的，而不是询问用户名和口令
    - - 简介
        
        接管一个现存动态会话的过程，换句话说，攻击者通过会话挟持可以替代原来的合法用户，同时能够监视并掌握会话内容。此时，攻击者可以对受害者的回复进行记录，并在接下来的时间里对其进行响应，展开进一步的欺骗和攻击
      - 结合了嗅探和欺骗技术
      - 相关基础
        
        TCP三次握手
        
        tcp三次握手
        
        序列号机制
        
        32位计数器
        
        说明接收方下一步将要接受数据包的顺序
      - 过程
        
        发现攻击目标
        
        期望这个目标是一个被允许的TCP会话连接，检测数据列也是比较重要的问题，因为要猜测序列号，这就要嗅探之前通信的数据包，可能还需要ARP欺骗。
        
        确认动态会话
        
        网络流通量越大，越不容易被发现
        
        猜测序列号
        
        TCP区分正确的数据包和错误的数据包仅通过它们的SEQ/ACK序列号
        
        扰乱客户主机的SEQ/ACK，让服务器不信任客户主机，从而伪装客户主机，使用正确的SEQ/ACK进行通信。
        
        让客户主机下线
        
        DOS 拒绝服务攻击
        
        接管会话
        
        通过发送数据建立一个账户，这样就可以进入系统
    - - 防御地址变化欺骗
        
        限制用户修改网络配置
        
        入口过滤
        
        出口过滤
      - 防范信任关系欺骗
        
        限制用有信任关系的人员
        
        不允许通过外部网络使用信任关系
      - 防范会话挟持
        
        进行加密
        
        使用安全协议
        
        限制保护措施
  - - - 将IP（32位）转化为MAC（48位），链路层协议
    - - 请求包
        
        arp who-has 192.168.1.1 tell 192.168.1.2
        
        谁是192.168.1.1 请告诉 192.168.1.2
      - 应答包
        
        arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00
        
        192.168.1.1 的 mac 地址是 00:00:0c:07:ac:00
    - - 在局域网（冲突域）中，数据帧是根据MAC寻址的。
      - 内核必须知道目的端的硬件地址才能发送数据
    - - 每台主机、网关都有一个ARP缓存表
      - 类型
        
        动态
        
        静态
      - 命令
        
        arp -a
        
        查看本机ARP缓存表
    - - 局域网内通信
        
        192.168.1.2 请求一个IP地址 192.168.1.1 （在同一个网段）
        
        查看本机ARP缓存表，有就直接发送
        
        ARP缓存表中没有，广播ARP请求包，询问192.168.1.1的MAC地址，存入ARP缓存表中，发送包。
      - 局域网间通信
        
        通常是不同网段的，首先检查ARP缓存表，假如没有，那么就直接丢给网关，由网关再去决定，转发到路由器，或者是其他网段。
    - - 利用ARP协议本身的缺陷进行的一种非法攻击
      - 容易被病毒、木马或者有特殊目的的攻击者使用
      - 主机在接受到ARP应答报文时，不去确实是不是自己发送的，就直接替换了ARP缓存表
    - - 同网段用户容易断网
      - 泄露敏感信息
      - 对信息进行篡改
      - 起到网管的功能，让某特定用户不能上网
    - - 网络频繁掉线
      - 网速突然变慢
      - 使用arp -a 命令发现网关的MAC 地址与真实的网关MAC地址不同
      - 使用嗅探软件，发现有大量的ARP Reply 包
    - - MAC地址绑定
      - 静态ARP缓存表
      - 使用ARP服务器
      - 使用ARP防火墙
      - 及时发现正在进行ARP欺骗的主机，对其隔离
  - - - 隐藏自己身份
      - 冒充别人
      - 社会工程的表现形式
    - - 用户代理
      - 传输代理
      - 投递代理
    - - 利用相似的电子邮件地址
      - 直接使用伪造的E-mail地址
      - 远程登录到SMTP端口发送邮件
    - - 邮件接收者
        
        配置邮件客户端，每次都能显示完整的电子邮件地址，而不只是别名
      - 邮件发送者
        
        保护好邮件客户端
      - 邮件服务器
        
        采用SMTP
      - 邮件加密
        
        PGP
  - - - 域名解析，主机名字和IP地址装换
      - DNS服务器里面有一个DNS缓存表
      - 基于UDP 使用 53端口
    - - 1. 用户访问 www.baidu.com
      - 请求DNS服务器，假如本机设定的那个DNS服务器上面缓存表上面有，就直接放回。
      - 没有就由该DNS服务器，继续向其他更高一级的DNS服务器请求。
    - - 可以控制本地的域名服务器
        
        控制本地的域名服务器，在数据库中增加一个附加记录，例如 example.com，将攻击目标的域名，指向攻击者的欺骗IP
        
        紧接着，攻击者向本机设定的DNS服务器（home.com），请求解析，example.com，这时候，home.com的DNS服务器就会去问example.com的DNS服务器，请求到之后，刷新缓存替换成为攻击者修改过的IP地址。
      - 无法控制本地的域名服务器
        
        要点
        
        首先，黑客要冒充某个域名服务器的IP地址
        
        黑客要能预测目标域名服务器所发送DNS数据包的ID号（关键）
        
        过程
        
        在一段时间内，DNS服务器一般都采用一种可循的ID生成机制。
        
        可以控制远端DNS服务器网段的某主机
        
        他只要在远程的DNS服务器网段上发送一个对攻击者本地域名的解析请求，通过嗅探得到数据包。（远程的DNS服务器转而请求本地的DNS服务器，从而拿到ID号）
        
        不可以控制远端DNS服务器网段的某主机
        
        向目标DNS服务器，请求某个不存在的域名地址进行解析
        
        攻击者冒充所请求的DNS服务器，向目标DNS服务器连续发送应答包，这些包中的ID号依次递增。
        
        过一段时间，攻击者再次向目标DNS服务器发送针对该域名的解析请求，如果得到放回结构，就说明目标DNS的服务器接受了黑哥的伪造应答。继而说明黑客猜测的ID在真确的区段上。否则可以继续尝试。
        
        假如拿到的ID号为 666
        
        由攻击者本地主机发起，让远端的DNS服务器，去请求其他的DNS服务器，假如请求 www.baidu.com的DNS服务器
        
        此时攻击者，对远端的服务器，发送 ID 666 www.baidu.com=1.1.1.1 ID 667 www.baidu.com=1.1.1.1 …… 应答包
        
        此时接受到的IP地址将会是 1.1.1.1
        
        局限
        
        不能替换缓存表已经存在的记录
        
        DNS服务器存在缓存刷新时间问题
    - - 使用最新版的DNS服务器软件
      - 关闭DNS服务器的递归功能
      - 限制区域传输范围
      - 限制动态更新
      - 采用分层的DNS体系结构
  - - - 伪造站点，收集用户输入的数据，对数据进行相应的危害操作
    - - 改写Web页面所有URL地址，使其指向自己伪造的Web页面
    - - 网络钓鱼
        
        伪造银行页面，收集用户账户密码，进行转账
    - - 习惯查看URL
      - 检查源代码，如果发生了URL重定向
      - 使用反钓鱼软件
      - 禁用脚本JavaScript，ActiveX
      - 确保应用有效和能适当的跟踪用户
      - 培养用户的安全意识