详解黑客的攻击方式1---网络欺骗攻击

1、网络欺骗攻击

     网络信息安全是21世纪各国面临的重大挑战之一。我国面对这一挑战，已经做出了一些相应的研究和开发，例如：产品的加密解密、认证与访问控制、入侵检测与响应、安全分析与模拟、灾难恢复等。近年来，在实际的与入侵者周旋中网络欺骗作为一种有效的信息安全技术出现了

1.1、五种常见的网络欺骗方式

    网络欺骗就是通过欺骗使入侵者相信信息系统是有价值的、有可利用漏洞的并且具有一些可攻击窃取的资源（资源是伪造的或者不重要的），将入侵者引向这些错误的资源。增加入侵者的工作量、复杂度、不确定性，使入侵者不知道自己是否有效或成功。而且，它允许防护者跟踪入侵者的行为，并在入侵者之前修补系统的安全漏洞。

• 1、 ARP欺骗
      ARP（地址解析协议）是在仅知道主机的IP地址时确定其物理地址的一种协议。因为IPv4和以太网的广泛使用。其主要是将IP地址翻译为以太网的MAC地址。但也能在ATM（异步传输）和FDDI（光纤分布式数据接口）IP网络中使用。局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输，计算机是根据MAC地址来识别一台机器。
      区域内A要向主机B发送报文，会查询本地的ARP缓存表，找到B的ip地址对应的MAC的地址后进行数据的传输。如果没有找到B的ip对应的MAC地址，A会广播一条ARP请求报文（携带主机B的IP地址），网上的所有主机都会收到ARP请求，但只有主机B在识别自己的IP地址并向A发送一个ARP响应报文。其中包含B的MAC地址，A接收到B的应答后会更新自己ARP缓存。然后在使用这个MAC地址发送数据。ARP欺骗主要分为单向欺骗和双向欺骗。

A的地址为：IP: 192.168.1.1 MAC:AA-AA-AA-AA-AA-AA
B的地址为：IP: 192.168.1.2 MAC:BB-BB-BB-BB-BB-BB
C的地址为：IP: 192.168.1.3 MAC:CC-CC-CC-CC-CC-CC

• 单向欺骗

    A和C之间进行通信，此时B向A发送一个伪造的ARP应答，这个应答数据为发送方，IP地址是192.168.1.3（C的IP地址）,MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了），当A收到应答以后会更新自己的ARP缓存（A被欺骗了），在A这里B就伪装成了C。同时B在向C发送一个ARP应答，应答包中发送方IP地址是192.168.1.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来是AA-AA-AA-AA-AA-AA,这里被伪造了）。当C收到应答以后会更新自己的ARP缓存（C被欺骗了），在C这里B就伪装成了A。到目前为止，主机A和C都被主机B欺骗，A和C之间的通讯数据都要经过B，主机B完全可以知道他们之间说了什么。这个典型的ARP欺骗的过程。
    掐断A与C的通讯，原理是：B向A发送一个ARP数据包，内容为C的的四肢为00:00:00:00:00:00（一个错误的地址），从此A在向C发送的数据包都会发送到00，因为地址是错误的所以通讯中断。需要注意的是A—>C中断，但是C—>A没有中断，所以叫单向欺骗。
    掐断C与A的通信，实现原理一样。如果同时掐断，那么A和C的通信就完全中断了。即A<–x-->C.

• 双向欺骗

    A要和C正常通信，实现原理是：B给A你说我是C，然后又给C说我我才是A，这样就看可以把A和C的ARP缓存表全部修改了。通信变为A把数据发送给B，B再发送给C。反过来也一样。
    攻击机发送ARP应答包给被攻击机和网关，他们分别都修改其ARP缓存表为攻击机的MAC，这样他们之间的数据就被攻击机所截获。

• 怎么应对ARP欺骗

• 使用Sniffer杀手扫描整个局域网IP段，查找属于混乱模式下的计算机。
• 使用tracert命令在任意一台受影响的主机上，打开DOS命令框，输入tracert 61.135.179.148。在跟踪一个外网地址时，只要第一条不是默认网关（查看默认网关输入ipconfig），那么此ip就是病毒源。

• 2、IP地址欺骗

    IP地址欺骗时指再行动产生的IP数据包为伪造的源IP地址，为了冒充其他的系统或者发件人的身份。这是一种入侵的攻击形式。入侵者使用一台电脑上网，借用另一台机器的IP地址，从而冒充另外一台机器和服务器打交道。IP欺骗的实质就是伪造IP，就是让一台计算机扮演另外一台计算机，利用主机之间的信任关系来达到欺骗的目的。如果两台计算机之间的信任关系是基于IP地址建立的，那么就可以使用rlogin命令登录到该主机上，不需要通过任何口令的验证，这就是IP欺骗最根本的理论依据。
    IP欺骗的过程如下：

• 先选定目标主机，且其信任模式已被发现，并找到一台被目标主机信任的主机。
• 一旦发现被信任的主机，为了实现伪装，会使其丧失工作能力。因为在攻击者要代替被信任主机过程中要确保真正被信任的主机不能接收任何有效的网络数据，否则就会被拆穿。
• 在被信任主机丧失工作能力以后伪装成为被信任主机，同时建立起与目标主机基于地址验证的应用连接。如果成功可以用一些简单的命令来方式后门，从而进行非授权的操作

    以上就是IP地址欺骗的全过程。在这个过程看似简单，但实际上是需要做很多的工作。虽然可以通过编程的方式改变发出数据包的IP地址，但是TCP协议将对IP地址进一步的封装，不会使其轻易的得手。
    由于TCP是面向连接的协议，所以在双方正式的传输数据之前，需要使用3次握手来建立一个稳定的连接。假设主机A和主机B来进行通信，主机B先发送带有SYN（同步序列标号）标志的数据段通知主机A建立TCP连接，TCP的可靠性就是有数据包中的多为控制字来提供的，其中最重要的数据序列SYN和数据确认标志ACK，且将TCP报头中的SYN设为自己本次连接中的初始值(ISN)。当主机A收到主机B的SYN包以后，会发送给主机B一个带有SYN+ACK标志的数据段，告知自己的ISN并确认主机A发送的第一个数据段，将ACK设置成主机B的SYN+1.当主机B确认主机A收到的SYN+ACK数据包，将ACK设置成主机A的SYN+1。主机A收到主机B的ACK后，连接成功建立。双方就可以正式的传输数据了。
    假设黑客冒充主机B对主机Ａ进行攻击，就要先使用主机B的IP地址发送SYN发送标志给Ａ，但当主机Ａ收到后并不会把SYN+ACK发送到黑客的主机上，而是发送到真正的主机B上，这时IP欺骗就会识破，因为B根本就没有发送SYN，所以要想冒充B，就一定不能使真正的主机B工作。

• 3、DNS欺骗

    冒充域名服务器,把要查询的IP地址设置成为攻击者的IP地址,用户上网就是能看见攻击者的主页,而不是想要查看的网站主页了,这就是DNS欺骗的基本原理，DNS欺骗并不是真正的"黑掉"了对方的网站，只是冒名顶替、招摇撞骗罢了。
    实际上，就是把攻击者自己的电脑设成目标域名的代理服务器。这样外界的进入目标计算机的数据流都在攻击者的监控之下，并且任意窃听和修改数据流的数据，从而收集大量的数据。和IP欺骗相似，DNS欺骗的技术在实现的时候会有一定的难度，为了克服这个难度，有必要了解DNS查询包的结构。
    在DNS查询包中有一个标识IP，他是一个很重要的域，他的作用是鉴别每一个DNS数据包的印记，在客户端设置，由服务器返回，使用户匹配请求和响应。
    如果某用户打开百度主页(www.baidu.com)，黑客想通过假的域名服务器(220.181.6.8)进行欺骗，就要在真正的域名服务器(220.181.6.45)返回响应前先给出查询的用户的IP地址。但在DNS查询包中有一个重要的域就是标识ID，要使发送伪造的DNS信息包不被识破的话，就必须伪造出正确的ID。如果无法判断出该标记，DNS欺骗就无法进行。只要在局域网中安装了嗅探器，就可以知道用户的ID。要在internet上实现欺骗，只有发送大量的一定范围的DNS信息包来得到正确的ID。

• 4、电子邮件欺骗

    电子邮件欺骗(email spoofing)就是伪造电子邮件头，导致信息看起来是源于某个人或某个地址，而实际上不是真正的源地址。垃圾邮件的发布者通常使用欺骗和恳求的方式尝试让收件人打开邮件，并尽最大可能让回复。

• 5、Web欺骗

    web欺骗是一种电子信息欺骗，攻击者在其中创造了整个web世界的一个令人信服但是完全错误的拷贝。错误的web看起来是十分逼真，拥有相同的网页和链接。然而，攻击者控制者错误的web站点，这样受攻击者浏览器和和web之间的所有网络信息就完全被攻击者截获，其工作原理就是一个过滤器。
    由于攻击者可以观察或者修改任何从受攻击者到web服务器的信息，同样控制着从web服务器的返回信息，这样攻击者就有许多发起攻击的可能性，包括监听和破获。现在绝大部分的公司都是采用的表单来完成业务，这就意味者攻击者可以获得用得账号和密码。即使受攻击者拥有一个“安全”连接（通常是通过Secure Sockets Layer来实现的，用户的浏览器会显示一把锁或者钥匙来表示处于安全连接），也无法逃脱被监视的命运。
    在得到必要的数据后，攻击者可以通过修改受攻击者和web服务器商人和一个方向的数据进行破坏活动。可以修改受攻击者的确认数据，例如： 在购买东西时候的收货地址，数量，产品代码等。也可以修改web服务器的返回收据。例如：插入易于误解或者攻击性的资料，破坏在线公司和用户的关系等。

1.2、网络钓鱼攻击概念

    网络欺骗是黑客经常使用的一种攻击方式，也是一中隐蔽性较高的网络攻击方式。这里以网络钓鱼为例，来介绍攻击过程和防御措施。
    网络钓鱼（Phishing，与钓鱼的英语fishing的发音相近，又名钓鱼法或钓鱼式攻击）是通过大量的发送声称来自银行或者其他的知名机构的欺骗性的垃圾邮件，意图引诱收件人给出敏感信息（如用户名、口令、账号ID、ATM PIN码等）的一种攻击方式。
    由于网络钓鱼是一个非自我复制的恶意代码，所以需要向其他人发送复制文件，网络钓鱼可以作为电子邮件附件传播，或可能隐藏在用户进行交流的文档和其他文件中，还可以被其他恶意代码（如蠕虫）所携带。网络钓鱼有时也会隐藏在从互联网上下载的免费软件中。当用户安装这个软件时，木马就被在后台自动安装。

1.3、网络钓鱼攻击的常用手段

    钓鱼攻击采用多种技术，使一封电子邮件信息或网页的显示同其运行表现出欺骗性差异。以下为一些常见的攻击技术。

• 1、复制图片和网页设计、相似的域名

    用户鉴别网站的一种方法是检查地址栏中显示URL。为了达到欺骗的目的，攻击者会注册一个域名，使看起来同要假冒的网站域名相似，有时还会改变大小写或使用特殊字符。由于大多数的浏览器的是以无衬线字体显示URL恶的，因此“paypal.com”可以冒充“paypaI.com”。更常见的是假域名只简单的将真与域名的一部分插入其中。而大多数的用户缺少判断一个假域名的工具和知识。

• 2、URL隐藏

     假冒URL的另一个方法的利用URL语法中较少用到的特性，用户名和密码可包含在域名前，语法为：http://username:passward@domain/。攻击者将看起来合理的一个域名放在用户名的位置，将真实的域名隐藏起来或者放在地址栏的最后。网页浏览器最近更新已经关闭了这个漏洞，其方法是在地址栏显示前将URL中的用户名和密码去掉，或者就是禁止用户名/密码这个URL语法，Internet Explorer就是用户了最后一种方法。

• 3、IP地址

    隐藏一台服务器身份最简单的方式就是以IP地址的方式显示，如：http://210.93.131.255,这种技术的有效性令人难以置信，由于许多合法的URL也包含一些不透明且不易来理解的数字，因此只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

• 4、欺骗性的超链接

    一个超链接的标题完全独立于他指向的URL。攻击者会利用这种显示与运行的内在差异，在链接标题中显示一个URL，在背后使用一个完全不一样的URL，即使是一个有着丰富经验的用户，在看到显而易见的URL后也不会去检察其真正的URL。检查超链接目的地址的标准方式使把鼠标放在超链接上，让其显示真正的链接地址，但是、这种方式也有可能会被攻击者利用JavaScript或URL隐藏技术更改。

• 5、隐藏提示

    这是一种更加复杂的攻击，即不是在URL上做文章，而是完全替换地址栏或者状态栏到使其提供欺骗性提示信息的目的。在最近就发生过这样的攻击，攻击者使用了以JavaScript在Internet Explorer地址栏上创建了一个小窗口，它显示的是一个完全无关的URL。

• 6、弹出窗口

    弹出窗口攻击，有一次在对Citibank客户的一次攻击使网页技术前进了一步。他在浏览器中显示的是真实的Citibank网页，但在网页上弹出了一个简单的小窗口，要求输入个人信息。

• 7、社会工程

    钓鱼攻击还使用非技术手段使用户落入陷阱，其中一个策略就是急迫性，从而使用户急于采取行动，而花较少的时间去核实消息的真实性。另一个策略就是威胁用户，如果不按照所要求的去做就会造成可怕的后果，如终止服务或者关闭账号。少数攻击者还会许诺将获得巨额得回报（比如“你中了一个大奖”），一般威胁攻击会会比较常见，一般用户会为不劳而获会产生怀疑，但也不乏期盼天上掉馅饼得用户。

1.4、网络钓鱼攻击的预防

     网络钓鱼攻击从防范角度来说可以分为两个方面，一方面使对钓鱼攻击利用得资源进行限制，一般钓鱼攻击所利用得资源是有限的，比如WEB漏洞是web服务提供商可以直接修补的、邮件服务商可以通过域名反向解析邮件发送服务器来提醒用户是否接收匿名邮件、利用IM软件传播钓鱼URL链接是IM服务提供商是可以直接封杀的。另一方面是不可控的行为，比如浏览器漏洞，大家就必须打上补丁防御攻击者直接使用客户端的软件漏洞来发起钓鱼攻击，各个安全软件厂商也是会提供软件客户端的漏洞补丁。同时各大网站有义务保护好所有用户的隐私，有义务提醒所有用户防止钓鱼，以提醒用户的安全意识。在日常生活中，为了防止钓鱼应该做到以下几点：

• 不要轻易在网站上留下自己省份的任何资料，包括手机号、身份证号、银行卡号等。
• 不要轻易在网上传输自己的隐私资料。
• 不要轻易相信网上的消息，除非得到权威机构的证明。
• 不要轻易在网站注册时透露自己的真是资料。
• 如果涉及金钱交易、商业合同、工作安排等重大事项，不要仅仅只通过网络完成，有心的骗子会利用进行欺诈。
• 不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。
• 其他网络安全防范措施。一是安装防火墙和防病毒软件，并经常升级；二是注意经常给系统打补丁，堵塞软件漏洞；三是禁止浏览器运行JavaScript和ActiveX代码；四是不浏览未知网站或安装未知软件；五是提高自我保护意识，尽量避免在网吧等公共网站上浏览涉及隐私的网站或者服务。