网络欺骗主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗和地址欺骗等。其技术主要分为HONEYPOT、分布式HONEYPOT和欺骗空间技术等。其中,源路由欺骗方式指通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作,而所谓的地址欺骗包括伪造源地址和伪造中间站点。
1.1.1攻击原理
网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,且具有一些可供窃取的资源,当然这些资源是伪造的或者是不重要的,以将入侵者引向这些错误资源,它能诱使入侵者按照自己的意志进行选择,迅速监测到入侵者的进攻并且获知其进攻技术和意图,通过增加入侵者的工作量、入侵复杂度和不确定性,从而消耗入侵者的资源。
欺骗能够成功的关键是在受攻击者和其他Web服务器之间,建立起攻击者的Web服务器,这种攻击方法在安全问题中被称为“来自中间的攻击”。
要建立起中间Web服务器,黑客们会通过进行如下的工作来实现。
1.改变地址
攻击者先改写Web页中的所有的URL链接地址,这样其就不会指向真正的Web服务器,而是指向了攻击者自己的Web服务器。
比如攻击者所处的Web服务器是xxx.yyy,攻击者通过在所有链接前增加http://www.xxx.yyy 来改写URL。
例如,http://www.xxx1.com 将变为 http://www.xxx.yyy/http://www.xxx1.com。
当用户点击改写过的http://www.xxx1.com(可能仍然显示的是http://www.xxx1.com)之后,将进入的是http://www.xxx.yyy,由http://www.xxx.yyy向http://www.xxx1.com发出请求并获得真正的文档,再改写文档中的所有链接,最后经过http://www.xxx.yyy返回给用户的浏览器。
具体的工作流程如下:
(1)用户点击经过改写后的http://www.xxx.yyy-/http://www.xxx1.com;
(2)http://www.xxx.yyy 向 http://www.xxx1.com 请求文档;
(3)http://www.xxx1.com 向 http://www.xxx.yyy 返回文档;
(4)http://www.xxx.yyy 改写文档中的所有URL;
(5)http://www.xxx.yyy 向用户返回改写后的文档。
如此一来,修改过的文档中的所有URL都将会指向了xxx.yyy,当用户点击任何一个链接,都会直接进入攻击者的服务器,而不会直接进入真正的URL。如果用户由此依次进入其他网页,其将永远不会摆脱掉受攻击的可能。
① 200多本网络安全系列电子书
② 网络安全标准题库资料
③ 项目源码
④ 网络安全基础入门、Linux、web安全、攻防方面的视频
⑤ 网络安全学习路线图
【戳此白嫖】
2.填写表单
只要遵循标准的Web协议,这种表单欺骗就不会被察觉:
表单的确定信息被编码到URL中,内容会以HTML形式来返回。既然前面的URL都已经得到了改写,则表单欺骗将是很自然的事情。
所以如果受攻击者填写了一个错误Web上的表单,从表面上来看,则会和填写其他正常的表单一样,当受攻击者提交表单后,所提交的数据就进入了攻击者的服务器。
攻击者的服务器就能够观察,甚至修改所提交的数据了。
同样,在得到真正的服务器返回信息后,攻击者在将其向受攻击者返回以前,也可以为所欲为。
3.建立“安全连接”
为了提高Web应用的安全性,有人提出了一种叫做“安全连接”的概念,是指在用户浏览器和Web服务器之间建立一种基于SSL的安全连接。
受攻击者可以和Web欺骗中所提供的错误网页建立起一个看似正常的“安全连接”:网页的文档可以正常地传输,且作为安全连接标志的图形(通常是关闭的一把钥匙或者锁)依然工作正常。也即浏览器提供给用户的是一种感觉安全可靠的连接,但此时的安全连接是建立攻击者服务器,而并不是用户所希望的站点。
9045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
