5种常见的网络欺骗方式
网络欺骗攻击曝光
用户可以通过IE等浏览器访问各种各样的Web站点,一般的用户不会意识到有以下问题的存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的。例如,黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,这样黑客就可以实现欺骗的目的。
5种常见的网络欺骗方式
网络欺骗的主要方式有ARP欺骗、IP欺骗、域名欺骗、Web欺骗及电子邮件欺骗等,下面介绍这几种欺骗的攻击原理。
1.ARP欺骗
ARP(Address Resolution Protocol,地址解析协议)的作用是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信能够顺利进行。在局域网中,网络中实际传输的是“帧”,而帧里面是有目标主机的MAC地址的。所以一个主机和另一个主机要进行直接通信,必须通过地址解析协议获得目标主机的MAC地址。而地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP欺骗是黑客常用的攻击方式之一,分为对路由器ARP表的欺骗和对内网的网关欺骗两种方式。
1)对路由器ARP表的欺骗:其本质是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常计算机无法收到信息。
2)对内网的网关欺骗:其本质是伪造网关。它是通过建立假网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器途径上网。
一般来说,ARP欺骗攻击带来的后果非常严重。只需成功感染一台计算机,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
2.IP欺骗
IP欺骗的技术比较复杂,不是简单地照猫画虎就能掌握的,但作为常规攻击手段,有必要理解其原理,这样至少有利于提高自己的安全意识。
IP欺骗就是伪造他人的源IP地址,其实质就是让一台计算机来扮演另一台计算机,以达到欺骗的目的,它就是利用主机之间的信任关系来实现的。如果两台主机之间的信任关系是基于IP地址建立起来的,那么在冒充另一台计算机IP地址的前提下,就可以使用rlogin命令登录到该主机上,而不需任何口令验证,这就是IP欺骗的最根本的理论依据。
IP欺骗的实现过程如下:
1)选定目标计算机,且其信任模式已被发现,并找到一个被目标主机信任的主机。
2)一旦发现被信任的主机,为了实现伪装,则往往使其丧失工作能力。由于黑客将要代替真正的被信任主机,所以必须确保真正被信任的主机不能接收任何有效的网络数据,否则将会被揭穿。
3)使得被信任的主机丧失工作能力后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令来放置系统后门,以进行非授权操作。
这就是IP欺骗攻击的全过程。该过程看起来很完美、简单,但实际上还需要做很多工作。虽然可以通过编程的方法来改变发出的数据包的IP地址,但TCP协议可以对IP做进一步的封装,是不会让黑客轻易得逞的。
由于TCP是面向连接的协议,所以在双方正式传输数据之前,需要使用3次握手来建立一个稳定的连接。假设主机A和主机B进行通信,主机B先发送带有SYN标志的数据段通知主机A建立TCP连接,且将TCP报头中的SYN设为自己本次连接中的初始值(ISN)(TCP的可靠性是由数据包中的多位控制字来提供的,其中最重要的是数据序列SYN和数据确认标志ACK)。当主机A收到主机B的SYN包之后,会发送给主机B一个带有SYN+ACK标志的数据段,告诉自己的ISN,并确认主机A发送来的第一个数据段,将ACK设置成主机B的SYN+1。
当主机B确认收到主机A的SYN+ACK数据包后,将ACK设置成主机A的SYN+1。主机A收到主机B的ACK后,连接成功建立,双方可以正式传输数据了。假如黑客想冒充主机B对主机A进行攻击,就要先使用主机B的IP地址发送SYN标志给主机A,但当主机A收到后,并不会把SYN+ACK发送到黑客的主机上,而是发送到真正的主机B,这时IP欺骗就失败了,因为主机B根本没发送SYN请求。所以如果要冒充主机B,首先要让主机B失去工作能力。
此时最难的是对主机A进行攻击,必须知道主机A使用的ISN。TCP使用的ISN是一个32位的计数器,从0~4294967295。TCP为每一个连接选择一个初始序列号ISN,为了防止因为延迟、重传等扰乱3次握手,ISN不能随便选取,不同的系统有着不同的算法。
所以要对目标主机进行攻击,还必须知道目标主机使用的数据包序列号。黑客首先与被攻击主机的一个端口(如SMTP对应的端口)建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的ISN存储起来。黑客还需要猜测他的主机与被信任主机之间的RTT时间(往返时间),这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。每秒钟ISN增加128000,每次连接增加64000。
现在黑客就不难估计出ISN的大小了,它是128000乘以RTT的一半,如果此时目标主机刚刚建立过一个连接,再加上一个64000。在估计出ISN大小后,黑客立即就开始进行攻击。如果攻击者估计正确的话,目标主机将会接收该ACK。至此,将开始数据传输。一般地,攻击者将在系统中放置一个后门,以便侵入。
3.DNS欺骗
当一台主机发送一个请求要求解析某个域名时,先把解析请求发到自己的DNS(Domain Name Server,域名服务器)上。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。如果可以冒充域名服务器,再把查询的IP地址设为攻击者的IP地址,这样,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗。
实际上,就是把攻击者的计算机设成目标域名的代理服务器,这样,所有外界进入目标计算机的数据流都在黑客的监视之下了,黑客可以任意窃听甚至修改数据流里的数据,收集大量的信息。和IP欺骗相似,DNS欺骗在技术实现上仍然有一定的困难,为了克服这些困难,有必要了解DNS查询包的结构。
在DNS查询包中有个标识IP,它是一个很重要的域,其作用是鉴别每个DNS数据包的印记,从客户端设置,由服务器返回,使用户匹配请求与响应。如果某用户要打开百度主页(百度一下,你就知道),黑客要想通过假的域名服务器(如220.181.6.45)进行欺骗,就要在真正的域名服务器(220.181.6.18)返回响应前,先给出查询的用户的IP地址。
但在DNS查询包中还有一个重要的域就是标识ID,如果想要伪造的DNS信息包不被识破,就必须伪造出正确的ID。如果无法判别该标记,DNS欺骗将无法进行。只要在局域网上安装有嗅探器,通过嗅探器就可以知道用户的ID。
但要在Internet上实现欺骗,就只有发送大量的一定范围的DNS信息包来得到正确的ID。
4.电子邮件欺骗
电子邮件欺骗是指对电子邮件的信息头进行修改,以使该信息看起来好像来自其真实源地址之外的其他地址。这类欺骗只要用户提高警惕,一般危害性不是太大。攻击者使用电子邮件欺骗有3个目的:隐藏自己的身份;冒充别人的身份发送邮件;能被看作社会工程的一种表现形式。例如,如果攻击者想让用户发给他一份敏感文件,就可以伪装自己的邮件地址,使用户误以为这是其老板的要求,从而发给他这份文件。
执行电子邮件欺骗有如下几种基本方法,每一种有不同难度级别,执行不同层次的隐蔽。
1)相似的电子邮件地址。使用这种类型的攻击,攻击者找到一个公司管理人员的名字,并注册一个看上去类似高级管理人员名字的邮件地址,然后在电子邮件的别名字段填入管理者的名字。因为邮件地址似乎是正确的,所以收信人很可能会回复它,这样攻击者就会得到想要的信息。
2)远程联系,登录到端口25。邮件欺骗更复杂的一个方法是远程登录到邮件服务器的端口25(邮件服务器通过此端口在互联网上发送邮件),当攻击者想给用户发送信息时,他先写一个信息,再单击“发送”,接下来其邮件服务器与用户的邮件服务器联系,在端口25发送信息,转移信息。
5.Web欺骗
Web欺骗是一种电子信息欺骗,错误的Web看起来十分逼真,它拥有相同的网页和链接。然而,黑客控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就好像是一个过滤器。黑客可以监视目标计算机的网络信息、记录访问的网页和内容等。例如当用户填写完一个表单并发送后,这些数据将被传送到Web服务器,Web服务器将返回必要的信息,但不幸的是攻击者完全可以截获这些数据并加以使用。绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的账户和密码。
在得到必要的数据后,攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据来进行某些破坏活动。攻击者修改受攻击者的确认数据,如果在线订购某个产品时,黑客就可能修改产品编码、数量或要求等。黑客也能修改Web服务器所返回的数据信息,例如,插入易于误解或者攻击性的资料,破坏用户和在线公司的关系等。