3.2网络欺骗攻击

1、基本概念

• 欺骗攻击：利用假冒、伪装后的身份与其他主机进行合法的通信或者发送虚假报文，使受到攻击的主机出现错误；伪造一系列假的网络地址替代真实主机提供网络服务，以此获取用户合法信息并加以利用，转而攻击其他主机或者获取经济利益的网络欺诈行为。

• 常见的欺骗攻击：IP地址欺骗、ARP欺骗、DNS欺骗、钓鱼邮件、钓鱼网站、伪基站诈骗短信等

2、IP欺骗

• 攻击者在伪造源数据的IP报文头部字段，将其设置为他人的或者不存在的IP地址后再向被攻击方发生此IP报文，以达到掩人耳目，隐匿攻击源的目的。通常，攻击者会选择具有某种网络特权或者高度信任的IP地址作为伪造的IP地址。

 

• 防御

  • 抛弃基于IP地址的信任策略，弃用以源数据的IP地址为基础的信任验证

  • 采用包过滤技术，在路由器或者防火墙上启用包过滤，确认只有来自内部网络的数据可以信任

  • 除此以外的主机所发送的数据都需要谨慎处理，按照防护等级要求可过滤掉来自外部企图与内部网络建立连接的请求

  • 采用加密方式对通信双方的交互数据进行加密，被加密的数据中包含双方身份的校验结果

  • 采用随机化IP报文序列号的方式，阻止攻击者预测或者重复使用报文序列号，增加其伪装信任IP地址的难度

3、ARP欺骗（ARP毒化或ARP攻击）

• 针对以太网地址解析协议的一种攻击技术

  • 攻击者通过欺骗局域网内主机的网关MAC地址，使其错以为攻击者更改后的MAC地址是网关的MAC，导致其将数据发送到错误的目标主机上

• 防御

  • 不要将网络安全信任单独建立在IP或者MAC地址上，而应建立在IP+MAC的基础之上

  • 设置静态ARP绑定关系，即静态设置MAC-IP映射关系，避免被ARP欺骗攻击刷新缓存表

  • 根据需要禁用ARP协议

  • 使用安全的ARP服务器并确保其不被攻击

  • 静态配置路由器的ARP条目，确保到达IP地址的路径合法

  • 增强管理，定期轮询网络ARP缓存中的数据真实性

  • 使用防火墙抵御ARP攻击

4、DNS欺骗

• 攻击者冒充域名解析服务器，或者篡改被攻击后的正常域名解析查询到真实IP地址，从而实现欺骗的一种攻击方式

• DNS欺骗采用了冒名顶替的手法来欺骗网络用户访问“李鬼”网站

• DNS欺骗通常与钓鱼网站相结合使用，包括：缓存感染、DNS劫持、DNS重定向

 

• 防御

  • 采用IP地址通信

  • 建立可靠的第三方DNS验证，确保用户得到的解析结果是真实可信的

5、社会工程学

• 攻击者通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理设置陷阱进行诸如欺骗等手段取得利益的一种手法

• 利用欺骗等手段骗取对方信任，获取机密情报

• 社会工程学是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

• 钓鱼邮件：最常见的社会工程学攻击形式之一

  • 威胁最大的是鱼叉式钓鱼攻击：有目标的网络钓鱼，针对特定组织使用欺诈性的电子邮件获取机密信息

  • 攻击者通过编写具有迷惑性主题的电子邮件，并在其中植入包含了木马、僵尸网络和挖矿程序等恶意软件作为附件，引诱收件人点击查看

• 钓鱼邮件防御

  • 使用安全防护完善的邮件服务器

  • 提高警惕性，不打开来源不明的邮件，不随意点击不安全的附件

  • 本地主机安装安防软件并定期更新病毒库、系统及应用程序补丁

• 钓鱼网站：欺骗用户的虚假网站

  • 钓鱼网站的页面与真实网站界面基本一致，用于欺骗消费者或者窃取访问者提交的账号和密码信息；一般只有一个或几个页面，通常伪装成银行及电子商务网站，窃取用户提交的银行账号、密码等私密信息

• 钓鱼网站防御

  • 不要通过第三方的链接去访问目标网站

  • 使用具有防御钓鱼网站的浏览器上网

  • 尽量访问HTTPS网站，并检查网站数字证书的真实性和有效性

• 伪基站诈骗短信：攻击者利用伪基站设备向附近的移动终端发送欺诈短信，诱使被攻击者访问钓鱼网站或者恶意网页，手机终端被植入木马，个人隐私泄露，经济蒙受损失。

• 伪基站诈骗防御

  • 注意手机信号的异常变化，如突然没有移动信号，收到可疑短信后短期内又恢复的情况

  • 不轻信短信内容，不点击短信链接

  • 不贪小便宜，牢记天上不会掉馅饼，掉下的可能是陷阱

  • 实在无法确认，请致电官方客服或者警察局核实短信真伪