【网络与系统安全实验】欺骗攻击及防御技术

【网络与系统安全实验】欺骗攻击及防御技术

概述

在Internet上，计算机之间相互进行的交流建立在两个前提之下：
1、认证（Authentication）
认证是网络上的计算机用于相互间进行识别的过程，经过认证的过程，获准相互交流的计算机之间就会建立起相互信任的关系。
2、信任（Trust）
信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。

欺骗，实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻击。

目前比较流行的欺骗攻击主要有：
1、IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权；
2、ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人；
3、电子邮件欺骗：电子邮件发送方地址的欺骗；
4、DNS欺骗：域名与IP地址转换过程中实现的欺骗；
5、Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击

IP欺骗及防御技术

基本的IP欺骗

最基本的IP欺骗技术有三种：
1、基本地址变化
2、使用源站选路截取数据包
3、利用Unix机器上的信任关系

基本地址变化
IP欺骗包括把一台计算机伪装成别人机器的IP地址的这种情况，所以IP欺骗最基本的方法就是搞清楚一个网络的配置，然后改变自己的IP地址。这样做就可以使所有发送的数据包都带有假冒的源地址。

攻击者使用假冒的IP地址向一台机器发送数据包，但没有收到任何返回的数据包，这被称之为盲目飞行攻击(flyingblind attack)，或者叫做单向攻击(oneway attack)。因为只能向受害者发送数据包，而不会收到任何应答包。
利用这种方法进行欺骗攻击有一些限制，比如说TCP连接没法建立；但是，对于UDP这种面向无连接的传输协议就不会存在建立连接的问题，因此所有单独的UDP数据包都会被发送到受害者的系统中。

基本地址变化方法没法接收返回的信息流。为了得到从目的主机返回源地址主机的数据流，有两个方法：
1、攻击者插入到正常情况下数据流经过的通路上；
2、保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。

源站选路（使用源站选路截取数据包）。
这就需要使用源路由，它被包含在TCP/IP协议组中。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里。
某些路由器对源路由包的反应是使用其指定的路由，并使用其反向路由来传送应答数据。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

它包括两种类型的源路由：
1、宽松的源站选择（LSR）：发送端指明数据流必须经过的IP地址清单，但是也可以经过除这些地址以外的一些地址。
2、严格的源路由选择（SRS）：发送端指明IP数据包必须经过的确切地址。如果没有经过这一确切路径，数据包会被丢弃，并返回一个ICMP报文。

源站选路给攻击者带来了很大的便利。攻击者可以使用假冒地址A向受害者B发送数据包，并指定了宽松的源站选路或者严格路由选择(如果确定能经过所填入的每个路由的话)，并把自己的IP地址X填入地址清单中。当B在应答的时候，也应用同样的源路由，因此，数据包返回被假冒主机A的过程中必然会经过攻击者X。 这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。

在Unix/Linux世界中，利用信任关系可以使机器之间的切换变得更加容易，特别是在进行系统管理的时候。
单位里经常指定一个管理员管理几十个区域或者甚至上百台机器，管理员一般都会使用信任关系和UNIX的r命令从一个系统方便的切换到另一个系统。r命令允许一个人登录远程机器而不必提供口令。
取代询问用户名和口令，远程机器基本上使用IP地址来进行验证，也就是说将会认可来自可信IP地址的任何人。
从便利的角度看，信任的关系是非常有效的，但是从安全的角度来看，是不可取的。
如果攻击者获得了可信任网络里的任何一台的机器，他就能登录信任该IP的任何机器上。
下面是经常使用的一些r*命令：
rlogin：remote login，远程登录；
rsh：remote shell，远程shell；
rcp：remote copy, 远程拷贝。
这种方法一度被认为是IP欺骗最主要的方法。 但是，这种欺骗方法只能在Unix环境下使用，而且比较陈旧。

IP欺骗的高级应用——TCP会话劫持

会话劫持就是接管一个现存动态会话的过程，换句话说，攻击者通过会话劫持可以替代原来的合法用户，同时能够监视并掌握会话内容。此时，攻击者可以对受害者的回复进行记录，并在接下来的时间里对其进行响应，展开进一步的欺骗和攻击。
在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击，而是仅仅装作是合法用户。此时，被冒充的用户可能并不在线上，而且它在整个攻击中不扮演任何角色，因此攻击者不会对它发动进攻。但是在会话劫持中，为了接管整个会话过程，攻击者需要积极攻击使被冒充用户下线。

TCP会话劫持过程
1、发现攻击目标
对于寻找合适的目标有两个关键的问题。首先，通常攻击者希望这个目标是一个正常TCP会话连接（例如Telnet和FTP等）的服务器。其次，能否检测数据流也是一个比较重要的问题，因为在攻击的时候需要猜测序列号。对于交换网络环境，嗅探其他机器的数据流就相对来说有些困难，就必须使用ARP欺骗。
2、确认动态会话
与大多数攻击不同，会话劫持攻击适合在网络流通量达到高峰