1.欺骗攻击通常分类
- IP欺骗,会话劫持
- ARP欺骗
- DNS欺骗,域名欺骗
- Web欺骗
- 日志洪水
- 电子信件欺骗
- 源路由欺骗攻击
- 社交工程
2.IP欺骗
- 原理
— 使信任主机丧失工作能力
· 使主机处于半连接的状态
· 使主机处于挂起的状态
— 序列号取样和猜测 - 步骤
— 第一步: 选定目标主机
— 第二步: 发现信任模式及信任主机
— 第三步: 使被信任主机丧失工作能力
— 第四步: 采样目标主机发出的TCP 序列号, 猜测出序列号
— 第五步: 发送建立TCP连接的报文,建立连接
— 第六步: 发动攻击,在目标机放置后门程序 - 预防
— 使用加密方法
— 使用随机化的初始序列号
— 进行包过滤
— 抛弃基于IP地址的信任策略
— 操作系统协议栈实现改进
— 配置路由器和网关,使它们能够拒绝网络外部与本网内具有相同IP地址的连接请求 - 工具
— Mendax:非常容易使用的TCP 序列号预测及欺骗工具。
— IP Spoof:用于TCP及IP欺骗 。
— Hunt:一个网络嗅探器,同时提供很多欺骗功能。
— Dsniff:一个网络审计及攻击工具集。
— ISNPrint:一个用于查看目标主机当前连接的ISN 的工具,但是它并不提供ISN预测功能。可以在它的基础上添加适当的算法得到ISN的估计值。
3.Web欺骗
- 预防
— 对于流行的web站点上的链接,要首先搞清其具体指向,而后再进行链接。
— 认真的分辨上下文,不要对某些名字进行想当然地判断。
— 对电子邮件要认真的检查,搞清楚它给出的地址是不是指向一个健康web站点。
— 通过使用游览器中"viewsource ” 命令,用户能够阅读当前的HTML源文件,从中可以发现被改写的URL,觉察到攻击。
— 必要时限制访问用户IP或DNS 。
— 数据加密。
— 如果采用CGI程序,应放在独立于HTML 存放目录之外的CGI-BIN下。
— 在用C来编写CGI程序时尽量少用popen()、system()和所有涉bin/sh的shell 命令。
— 编译语言( CGI、PERL 等)比解释浯言( PHP、JSP 等)更安全。