第5章：欺骗攻击及防御技术要点课件.ppt

《第5章：欺骗攻击及防御技术要点课件.ppt》由会员分享，可在线阅读，更多相关《第5章：欺骗攻击及防御技术要点课件.ppt（150页珍藏版）》请在三一办公上搜索。

1、第5章 欺骗攻击及防御技术,张光华,信息科学与工程学院,5,2023/4/4,2,本章内容安排,5.1 概述 5.2 IP欺骗及防御技术5.3 ARP欺骗及防御技术 5.4 电子邮件欺骗及防御技术5.5 DNS欺骗及防御技术5.6 Web欺骗及防御技术5.7 小结,2023/4/4,3,5.1 概述,在Internet上计算机之间相互进行的交流建立在两个前提之下：认证（Authentication）信任（Trust）,2023/4/4,4,5.1 概述,认证:认证是网络上的计算机用于相互间进行识别的一种鉴别过程，经过认证的过程，获准相互交流的计算机之间就会建立起相互信任的关系。,2023/4/

2、4,5,5.1 概述,信任:信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。,2023/4/4,6,5.1 概述,欺骗实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻击。,2023/4/4,7,5.1 概述,目前比较流行的欺骗攻击主要有5种：IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权；ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人；电子邮件欺骗

3、：电子邮件发送方地址的欺骗；DNS欺骗：域名与IP地址转换过程中实现的欺骗；Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。,2023/4/4,8,5.2 IP欺骗及防御技术,5.2.1 基本的IP欺骗 5.2.2 IP欺骗的高级应用TCP会话劫持5.2.3 IP欺骗攻击的防御,2023/4/4,9,5.2.1 基本的IP欺骗,最基本的IP欺骗技术有三种：简单的IP地址变化源路由攻击利用Unix系统的信任关系这三种IP欺骗技术都是早期使用的，原理比较简单，因此效果也十分有限。,2023/4/4,10,简单的IP地址变化,攻击者将一台计算机的IP地址修改为其它主机的地址

4、，以伪装冒充其它机器。首先了解一个网络的具体配置及IP分布，然后改变自己的地址，以假冒身份发起与被攻击方的连接。这样做就可以使所有发送的数据包都带有假冒的源地址。,2023/4/4,11,简单的IP地址变化(2),攻击者使用假冒的IP地址向一台机器发送数据包，但没有收到任何返回的数据包，这被称之为盲目飞行攻击（flying blind attack），或者叫做单向攻击（one-way attack）。因为只能向受害者发送数据包，而不会收到任何应答包。,2023/4/4,12,简单的IP地址变化(3),利用这种方法进行欺骗攻击有一些限制，比如说无法建立完整的TCP连接；但是，对于UDP这种面向无

5、连接的传输协议就不会存在建立连接的问题，因此所有单独的UDP数据包都会被发送到受害者的系统中。,2023/4/4,13,源路由攻击,简单的IP地址变化很致命的缺陷是攻击者无法接收到返回的信息流。为了得到从目的主机返回源地址主机的数据流，有两个方法：一个方法是攻击者插入到正常情况下数据流经过的通路上；另一种方法就是保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。,2023/4/4,14,源路由机制(2),第一种方法其过程如图所示:但实际中实现起来非常困难，互联网采用的是动态路由，即数据包从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不

6、知道该如何去。,2023/4/4,15,源路由机制(3),第二种方法是使用源路由机制，保证数据包始终会经过一条经定的途径，而攻击者机器在该途径中。源路由机制包含在TCP/IP协议组中。它允许用户在IP数据包包头的源路由选项字段设定接收方返回的数据包要经过的路径。某些路由器对源路由包的反应是使用其指定的路由，并使用其反向路由来传送应答数据。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。,2023/4/4,16,源路由机制(4),它包括两种类型的源路由：宽松的源站选择（LSR）：发送端指明数据流必须经过的IP地址清单，但是也可以经过除这些地址以外的一些地址。严格的源

7、路由选择（SRS）：发送端指明IP数据包必须经过的确切地址。如果没有经过这一确切路径，数据包会被丢弃，并返回一个ICMP报文。,2023/4/4,17,源路由机制的应用,源站选路给攻击者带来了很大的便利。攻击者可以使用假冒地址A向受害者B发送数据包，并指定了宽松的源站选路或者严格路由选择(如果确定能经过所填入的每个路由的话)，并把自己的IP地址X填入地址清单中。当B在应答的时候，也应用同样的源路由，因此，数据包返回被假冒主机A的过程中必然会经过攻击者X。这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。,2023/4/4,18,利用信任关系,在 Unix世界中，不同主机的账户间可以建立一

8、种特殊的信任关系，以方便机器之间的访问。这常常用于对大量机器的系统管理。单位里经常指定一个管理员管理几十个区域或者甚至上百台机器。管理员一般都会使用信任关系和UNIX的r*命令从一个系统方便的切换到另一个系统。r*命令允许一个人登录远程机器而不必提供口令。这里的信任关系是基于IP地址进行认证的，而不是询问用户名和口令。也就是说将会认可来自可信IP地址的任何人。,2023/4/4,19,利用信任关系(2),从便利的角度看，信任的关系是非常有效的，但是从安全的角度来看，是不可取的。如果攻击者获得了可信任网络里的任何一台的机器，他就能登录信任该IP的任何机器上。下面是经常使用的一些r*命令：（1）r

9、login：remote login，远程登录；（2）rsh：remote shell，远程shell；（3）rcp：remote copy,远程拷贝。,2023/4/4,20,利用信任关系(3),例子：主机A、B上各有一个账户，在使用当中，在A上使用时需要输入A上的相应账户，在B上使用时必须输入在B上的账户，主机A和B把用户当作两个互不相关的用户。为了减少切换时的反复确认，可以在主机A和主机B中建立起两个账户的全双工信任关系。这可通过在A、B的登陆目录上各建立一个hosts文件达到。在主机A的登陆目录下建立一个.rhosts文件：echo“B usernameB”/.rhosts 这就建立起

10、了A对B的信任关系。从主机B中就可以直接使用任何r*命令直接登陆到主机A中，而不用向远程主机提供密码认证。B对A的信任关系与之类似。这些r*命令允许基于地址的认证方式，它们会根据服务请求者的IP地址决定同意还是拒绝访问。,2023/4/4,21,利用信任关系(4),这种方法一度被认为是IP欺骗最主要的方法。但是，这种欺骗方法只能在Unix环境下使用，而且也比较陈旧了。,2023/4/4,22,5.2.2 IP欺骗高级应用TCP会话劫持,基本原理相关基础TCP会话劫持过程 TCP会话劫持的危害 实现TCP会话劫持的两个小工具,2023/4/4,23,基本原理,会话劫持就是接管一个现存动态会话的过

11、程，换句话说，攻击者通过会话劫持可以替代原来的合法用户，同时能够监视并掌握会话内容。此时，攻击者可以对受害者的回复进行记录，并在接下来的时间里对其进行响应，展开进一步的欺骗和攻击。会话劫持结合了嗅探及欺骗技术。,2023/4/4,24,基本原理(2),在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击，而是仅仅装作是合法用户。此时，被冒充的用户可能并不在线上，而且它在整个攻击中不扮演任何角色，因此攻击者不会对它发动进攻。但是在会话劫持中，为了接管整个会话过程，攻击者需要积极攻击使被冒充用户下线。,2023/4/4,25,基本原理(3),一般的欺骗,会话劫持,202

12、3/4/4,26,相关基础,TCP三步握手连接建立 序列号机制,2023/4/4,27,TCP三步握手连接建立,2023/4/4,28,序列号机制,序列号是一个32位计数器，这就意味着可以有大于4亿种的可能性组合。简单地说，序列号用来说明接收方下一步将要接收的数据包的顺序。也就是说，序列号设置了数据包放入数据流的顺序，接收方就可以利用序列号告诉发送方哪些数据包已经收到，哪些数据包还未收到，于是发送方就能够依此重发丢失的数据包。,2023/4/4,29,序列号机制(2),例如，如果发送方发送了4个数据包，它们的序列号分别是1258、1256、1257和1255，接收方不但可以根据发送方发包的序列

13、号将数据包进行归序，同时接收方还可以用发送方的序列号确认接收的数据包。在这种情况下，接收方送回的确认信息是1259，这就等于是说，“下一个我期望从发送方收到的是序列号为1259的数据包”。,2023/4/4,30,序列号机制(3),实际上为了完成上述目的，这里存在：一个属于发送方的序列号和另一个是属于接收方的应答号。发送方发送数据包使用发送方的序列号，同时当接收方确认从发送方接收数据包时，它也用发送方的序列号来进行确认。在另一方面，接收方用属于自己的序列号送回数据。,2023/4/4,31,序列号机制(4),数据传输过程中序列号和应答号之间的关系：第二个数据包（BA）的SEQ=第一个数据包（A

14、 B）的ACK；第二个数据包（BA）的ACK=第一个数据包（A B）的SEQ+第一个数据包（A B）的传输数据长度。,2023/4/4,32,序列号机制(5),再进一步推广，对于整个序列号计数体制，我们可以得到下面这个结论：序列号是随着传输数据字节数递增的。如果传输数据字节数为10，序列号就增加10；若传输的数据为20字节，序列号就应该相应增加20。,2023/4/4,33,序列号机制(6),从上面的讲解中，我们可以清楚地认识到：序列号和应答号之间存在着明确的对应关系。因此序列号和应答号是完全有可能预测的，只需要获取最近的会话数据包，就可以猜测下一次通话中的SEQ和ACK。这一局面是TCP协议

15、固有缺陷造成的，由此带来的安全威胁也是无法回避的。,2023/4/4,34,TCP会话劫持过程,step1：发现攻击目标step2：确认动态会话step3：猜测序列号step4：使客户主机下线step5：接管会话,2023/4/4,35,step1：发现攻击目标,对于寻找合适的目标有两个关键的问题。首先，通常攻击者希望这个目标是一个准予TCP会话连接（例如Telnet和FTP等）的服务器。其次，能否检测数据流也是一个比较重要的问题，因为在攻击的时候需要猜测序列号。这就需要嗅探之前通信的数据包，对于交换网络环境，可能还需要使用ARP欺骗。,2023/4/4,36,step2：确认动态会话,攻击者

16、如何寻找动态会话？与大多数攻击不同，会话劫持攻击适合在网络流通量达到高峰时才会发生的。首先，他有很多供选择的会话；其次，网络流通量越大则被发现的可能就越小。如果只有一个用户进行连接并数次掉线，那么就很有可能引起那个用户的怀疑。但是，如果网络流通量很大并且有很多的用户进行连接，那么用户们很有可能忽略掉线后面隐藏的问题，也许只是认为这是由于网络流通过大而引起的。,2023/4/4,37,step3：猜测序列号,TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。序列号却是随着时间的变化而改变的。因此，攻击者必须成功猜测出序列号。通过嗅探或者ARP欺骗，先发现目标机正在使用的序列号，再

17、根据序列号机制，可以猜测出下一对SEQ/ACK序列号。同时，攻击者若以某种方法扰乱客户主机的SEQ/ACK，服务器将不再相信客户主机正确的数据包，从而可以伪装为客户主机，使用正确的SEQ/ACK序列号，现在攻击主机就可以与服务器进行连接，这样就抢劫一个会话连接。,2023/4/4,38,step4：使客户主机下线,当攻击者获得了序列号后，为了彻底接管这个会话，他就必须使客户主机下线。使客户主机下线最简单的方式就是对其进行拒绝服务攻击，从而使其不再继续响应。服务器会继续发送响应给客户主机，但是因为攻击者已经掌握了客户主机，所以该机器就不再继续响应。,2023/4/4,39,step5：接管会话,

18、既然攻击者已经获得了他所需要的一切信息，那么他就可以持续向服务器发送数据包并且接管整个会话了。在会话劫持攻击中，攻击者通常会发送数据包在受害服务器上建立一个账户，甚至留下某些后门。通过这种方式，攻击者就可以在任何时候轻松进入系统了。,2023/4/4,40,TCP会话劫持的危害,就其实现原理而言，任何使用Internet进行通信的主机都有可能受到这种攻击。会话劫持在理论上是非常复杂的，但是现在产生了简单适用的会话劫持攻击软件，技术门槛的降低导致了很多“少年攻击者”的诞生。,2023/4/4,41,TCP会话劫持的危害(2),会话劫持攻击的危害性很大是有原因的。一个最主要的原因就是它并不依赖于操

19、作系统。另一个原因就是它可以被用来进行积极的攻击，通过攻击行为可以获得进入系统的可能。,2023/4/4,42,实现TCP会话劫持的两个小工具,JuggernautJuggernaut是由Mike Schiffman开发的自由软件，这个软件是开创性的，是最先出现的会话攻击程序之一。它运行在Linux操作系统的终端机上，攻击者能够窥探网络中所有的会话，并且劫持其中任何一个，攻击者可以像真正用户那样向服务器提交命令。,2023/4/4,43,实现TCP会话劫持的两个小工具(2),Hunt由Pavel Krauz制作的Hunt，是一个集嗅探、截取和会话劫持功能于一身的强大工具。它可以在无论共享式网络

20、还是交换式网络中工作，不仅能够在混杂模式和ARP欺骗模式下进行嗅探，还具有中断和劫持动态会话的能力。,2023/4/4,44,5.2.3 IP欺骗攻击的防御,防范地址变化欺骗防范源路由欺骗防范信任关系欺骗 防范会话劫持攻击,2023/4/4,45,防范地址变化欺骗,有办法防止攻击者使用你的地址发送消息吗？可以说，你没有办法阻止有人向另一方发送消息时不用自己的而使用你的地址。但是，采取一些措施可以有效保护自己免受这种攻击的欺骗。,2023/4/4,46,防范地址变化欺骗(2),方法1：限制用户修改网络配置方法2：入口过滤方法3：出口过滤,2023/4/4,47,方法1：限制用户修改网络配置,为了

21、阻止攻击者使用一台机器发起欺骗攻击，首先需限制那些有权访问机器配置信息的人员。这么做就能防止员工执行欺骗。,2023/4/4,48,方法2：入口过滤,大多数路由器有内置的欺骗过滤器。过滤器的最基本形式是，不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。因此，如果一个来自外网的数据包，声称来源于本单位的网络内部，就可以非常肯定它是假冒的数据包，应该丢弃它。这种类型的过滤可以保护单位的网络不成为欺骗攻击的受害者。,2023/4/4,49,方法3：出口过滤,为了执行出口过滤，路由器必须检查数据包，确信源地址是来自本单位局域网的一个地址。如果不是那样，这个数据包应该被丢弃，因为这说明

22、有人正使用假冒地址向另一个网络发起攻击。离开本单位的任何合法数据包须有一个源地址，并且它的网络部分与本单位的内部网络相匹配。,2023/4/4,50,防范源路由欺骗,保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。事实上人们很少使用源路由做合法的事情。因为这个原因，所以阻塞这种类型的流量进入或者离开网络通常不会影响正常的业务。,2023/4/4,51,防范信任关系欺骗,保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖于信任关系。但是能通过做一些事情使暴露达到最小：限制拥有信任关系的人员。不允许通过外部网络使用信任

23、关系。,2023/4/4,52,防范会话劫持攻击,会话劫持攻击是非常危险的，因为攻击者能够直接接管合法用户的会话。在其他的攻击中可以处理那些危险并且将它消除。但是在会话劫持中，消除这个会话也就意味着禁止了一个合法的连接，从本质上来说这么做就背离了使用Internet进行连接的目的。,2023/4/4,53,防范会话劫持攻击(2),没有有效的办法可以从根本上防范会话劫持攻击，以下列举了一些方法可以尽量缩小会话攻击所带来危害：进行加密使用安全协议限制保护措施,2023/4/4,54,进行加密,如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须

24、进行加密。,2023/4/4,55,使用安全协议,无论何时当用户连入到一个远端的机器上，特别是当从事敏感工作或是管理员操作时，都应当使用安全协议。一般来说，有像SSH（Secure Shell）这样的协议或是安全的Telnet都可以使系统免受会话劫持攻击。此外，从客户端到服务器的VPN（Virtual Private Network）也是很好的选择。,2023/4/4,56,限制保护措施,允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。在理想情况下，应该阻止尽可能多的外部连接和连向防火墙的

25、连接。,2023/4/4,57,5.3 ARP欺骗攻击与防御技术,5.3.1 ARP背景知识介绍5.3.2 ARP欺骗攻击原理5.3.3 ARP欺骗攻击实例5.3.4 ARP欺骗攻击的检测与防御,5.3.1 ARP背景知识介绍,ARP基础知识ARP工作原理局域网内通信局域网间通信,2023/4/4,58,2023/4/4,59,ARP基础知识,ARP(Address Resolution Protocol)：地址解析协议，用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）RFC826。属于链路层的协议。在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据48位的以

26、太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。,2023/4/4,60,ARP基础知识,ARP协议有两种数据包ARP请求包：ARP工作时，送出一个含有目的IP地址的以太网广播数据包，这也就是ARP请求包。它表示：我想与目的IP通信，请告诉我此IP的MAC地址。ARP请求包格式如下：arp who-has 192.168.1.1 tell 192.168.1.2ARP应答包：当目标主机收到ARP请求包，发现请求解析的IP地址与本机IP地址相同，就会返回一个ARP应答包。它表示：我的主机就是此IP，我的MAC地址是某某某。ARP应

27、答包的格式如下：arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00,2023/4/4,61,ARP基础知识,ARP缓存表ARP缓存表用于存储其它主机或网关的IP地址与MAC地址的对应关系。每台主机、网关都有一个ARP缓存表。ARP缓存表里存储的每条记录实际上就是一个IP地址与MAC地址对，它可以是静态的，也可以是动态的。如果是静态的，那么该条记录不能被ARP应答包修改；如果是动态的，那么该条记录可以被ARP应答包修改。,ARP基础知识,在Windows下查看ARP缓存表的方法使用命令：arp-a,2023/4/4,62,ARP工作原理,局域网内通信局域网

28、间通信,2023/4/4,63,2023/4/4,64,局域网内通信,假设一个局域网内主机A、主机B和网关C，它们的IP地址、MAC地址如下。主机名 IP地址 MAC地址 主机A 192.168.1.2 02-02-02-02-02-02 主机B 192.168.1.3 03-03-03-03-03-03 网关C 192.168.1.1 01-01-01-01-01-01,2023/4/4,65,局域网内通信网络结构图,2023/4/4,66,局域网内通信通信过程,假如主机主机A(192.168.1.2)要与主机主机B(192.168.1.3)通讯，它首先会检查自己的ARP缓存中是否有192.

29、168.1.3这个地址对应的MAC地址。如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2。而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个arp包，告知192.168.1.3的MAC地址是03-03-03-03-03-03。这样主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的记录来通讯，直到通讯停止后两分钟，这个对应关系才会被从表中删除。

30、,2023/4/4,67,局域网间通信,假设两个局域网，其中一个局域网内有主机A、主机B和网关C，另一个局域网内有主机D和网关C。它们的IP地址、MAC地址如下。主机名 IP地址 MAC地址 主机A 192.168.1.2 02-02-02-02-02-02 主机B 192.168.1.3 03-03-03-03-03-03 网关C 192.168.1.1 01-01-01-01-01-01 主机D 10.1.1.2 04-04-04-04-04-04 网关E 10.1.1.1 05-05-05-05-05-05,局域网间通信网络结构图,2023/4/4,68,2023/4/4,69,局域网间

31、通信通信过程,假如主机A(192.168.1.2)需要和主机D(10.1.1.2)进行通讯，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发。这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通讯，然后再由网关C通过路由将数据包送到网关E。网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存（网关也有自己的ARP缓存），看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通讯。,5.3.

32、2 ARP欺骗攻击原理,ARP欺骗攻击原理ARP欺骗攻击的危害,2023/4/4,70,2023/4/4,71,ARP欺骗原理,ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的的攻击者使用。,2023/4/4,72,ARP欺骗原理(2),主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。ARP欺骗正是利用了这一点。,ARP欺骗原理原理图,20

33、23/4/4,73,2023/4/4,74,ARP欺骗原理欺骗过程,主机B(192.168.1.3)向网关C发送ARP应答包说：我是192.168.1.2，我的MAC地址是03-03-03-03-03-03，主机B同时向主机A发送ARP应答包说：我是192.168.1.1，我的MAC地址是03-03-03-03-03-03。这样，A发给C的数据就会被发送到B，同时获得C发给A的数据也会被发送到B。这样，B就成了A与C之间的“中间人”。,2023/4/4,75,ARP欺骗攻击的危害,ARP欺骗攻击在局域网内非常奏效，其危害有：致使同网段的其他用户无法正常上网（频繁断网或者网速慢）。使用ARP欺骗

34、可以嗅探到交换式局域网内所有数据包，从而得到敏感信息。ARP欺骗攻击可以对信息进行篡改，例如，可以在你访问的所有网页中加入广告。利用ARP欺骗攻击可以控制局域网内任何主机，起到“网管”的作用，例如，让某台主机不能上网。,2023/4/4,76,5.3.3 ARP欺骗攻击实例,使用工具：Arp cheat and sniffer V2.1国内开源软件，它是一款arp sniffer工具，可以通过arp欺骗嗅探目标主机TCP、UDP和ICMP协议数据包。攻击环境：在一个交换式局域网内受害者IP为210.77.21.53，MAC为00-0D-60-36-BD-05；网关IP为210.77.21.25

35、4，MAC为00-09-44-44-77-8A；攻击者IP为210.77.21.68，MAC为00-07-E9-7D-73-E5。攻击目的：攻击者想得知受害者经常登陆的FTP用户名和密码。,2023/4/4,77,ARP攻击实例-工具参数介绍,-si源ip-di目的ip*代表所有,多项用,号分割-sp源端口-dp目的端口*代表所有-w嗅探方式，1代表单向嗅探si-di，0代表双向嗅探sidi-p嗅探协议TCP,UDP,ICMP大写-m最大记录文件，以M为单位-o文件输出-hex十六进制输出到文件-unecho不回显-unfilter不过虑0字节数据包-low粗略嗅探，丢包率高，cpu利用率低

36、基本0-timeout嗅探超时,除非网络状况比较差否则请不要调高,默认为120秒,2023/4/4,78,ARP攻击实例-工具参数介绍（2）,-sniffsmtp嗅探smtp-sniffpop嗅探pop-sniffpost嗅探post-sniffftp嗅探ftp-snifftelnet嗅探telnet，以上5个嗅探不受参数si,sp,di,dp,w,p影响.-sniffpacket规则嗅探数据包,受参数si,sp,di,dp,w,p影响-sniffall开启所有嗅探-onlycheat只欺骗-cheatsniff欺骗并且嗅探-reset欺骗后恢复-g网关ip-c欺骗者ip mac-t受骗者ip

37、-time欺骗次数,2023/4/4,79,ARP攻击实例-工具参数介绍（3）,使用举例：arpsf-p TCP-dp 25,110-o f:1.txt-m 1 sniffpacket 说明：嗅探指定规则数据包并保存到文件arpsf-sniffall-cheatsniff-t 127.0.0.1-g 127.0.0.254说明：欺骗并且嗅探127.0.0.1与外界的通讯，输出到屏幕arpsf-onlycheat-t 127.0.0.1-c 127.0.0.2 002211445544-time 100 reset说明：对目标欺骗一百次，欺骗后恢复arpsf-cheatsniff-t 192.1

38、68.0.54-g 192.168.0.254-sniffpacket-p TCP-dp 80,25,23,110-o d:siff.txt-w 0-m 1说明：嗅探192.168.0.54与外网的tcp连接情况并指定目的端口是80，23，25，110，嗅探方式是双向嗅探，最大记录文件是1M，输出到d盘sniff.txt文件中。其中192.168.0.254是网关的地址。也可以改成同网段中其他的地址，那就是网内嗅探了。,2023/4/4,80,ARP攻击实例-攻击过程,在Windows XP下通过命令行启动软件，运行命令：arpsf-cheatsniff-t 210.77.21.53-g 21

39、0.77.21.254-sniffpacket-p TCP-dp 21-o c:siff.txt-w 0-m 1。含义是：嗅探210.77.21.53与其它主机的tcp连接情况并指定目的端口是21，嗅探方式是双向嗅探，最大记录文件是1M，结果输出到C盘sniff.txt。其中210.77.21.254是网关的地址。运行效果见下页图。,2023/4/4,81,输入命令,输出版本信息,选择获取网卡的方法,选择用于欺骗的网卡,2023/4/4,82,ARP攻击实例-攻击过程（2）,当Arp cheat sniff获取了目标机器、网关和本机的MAC之后，就开始欺骗目标机器和网关。见下页图。,2023/

40、4/4,83,欺骗主机210.77.21.53,欺骗网关210.77.21.254,2023/4/4,84,ARP攻击实例-攻击过程（3）,当受害者机器上的用户登陆了FTP之后，Arp cheat sniff就可以把用户的操作记录下来。下页是当软件运行了一段时间之后捕获到的有用信息，存储在C:sniff.txt中。,2023/4/4,85,-TCP 210.45.121.114 21-210.77.21.53 2256 49 Bytes 2007-5-5 17:56:24-220-Serv-U FTP Server v6.0 for WinSock ready.-TCP 210.45.121.

41、114 21-210.77.21.53 2256 79 Bytes 2007-5-5 17:56:24-220-欢迎使用lcgftpserver220-movie:movie220 上载用户名/密码upload:upload-TCP 210.77.21.53 2256-210.45.121.114 21 12 Bytes 2007-5-5 17:56:24-USER movie-TCP 210.45.121.114 21-210.77.21.53 2256 36 Bytes 2007-5-5 17:56:24-331 User name okay,need password.-TCP 210.

42、77.21.53 2256-210.45.121.114 21 12 Bytes 2007-5-5 17:56:24-PASS movie-TCP 210.45.121.114 21-210.77.21.53 2256 30 Bytes 2007-5-5 17:56:24-230 User logged in,proceed.-,服务器返回的版本信息,服务器返回的欢迎信息,用户输入的USER命令,服务器返回的确认,用户输入的PASS命令,服务器返回的登陆成功信息,2023/4/4,86,ARP攻击实例-攻击过程（4）,非常明显，我们能够得知，主机210.77.21.53上有用户登陆了ftp:/

43、210.45.121.114:21。用户名和密码都是movie。,5.3.4 ARP欺骗攻击的检测与防御,如何检测局域网中存在ARP欺骗攻击如何发现正在进行ARP攻击的主机ARP欺骗攻击的防范,2023/4/4,87,2023/4/4,88,如何检测局域网中存在ARP欺骗攻击,网络频繁掉线网速突然变慢使用ARP a命令发现网关的MAC地址与真实的网关MAC地址不相同使用sniffer软件发现局域网内存在大量的ARP reply包,2023/4/4,89,如何发现正在进行ARP攻击的主机,如果你知道正确的网关MAC地址，通过ARP a命令看到的列出的网关MAC与正确的MAC地址不同，那就是攻击主

44、机的MAC。使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARP reply包，包中指定的MAC就是攻击主机的MAC地址。使用ARP保护程序发现攻击主机的MAC：ftp:/166.111.8.243/tools/ArpFix.rar,2023/4/4,90,ARP欺骗攻击的防范,MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用ARP欺骗防护软件，如ARP防火墙。及时发现正在进

45、行ARP欺骗的主机并将其隔离。,2023/4/4,91,ARP欺骗攻击的防范,示例：在Windows下使用静态的ARP表假设我们事先已知网关192.168.1.254的MAC地址为：00-0f-7a-02-00-4b查看主机当前的ARP表，命令为arp a，可以查看到当前的ARP表中的记录，都是动态的把网关的arp记录设置成静态，命令为arp-s 192.168.1.254 00-0f-7a-02-00-4b再次用arp a命令查看ARP表，发现网关的ARP记录已经设置成静态，操作过程见下页,2023/4/4,92,ARP欺骗攻击的防范,示例：在Windows下使用静态的ARP表,2023/4

46、/4,93,ARP欺骗攻击的防范,示例：ARP防火墙(),2023/4/4,94,5.4 电子邮件欺骗及防御技术,5.4.1 电子邮件欺骗的原理5.4.2 电子邮件欺骗的防御,2023/4/4,95,5.4.1 电子邮件欺骗的原理,攻击者使用电子邮件欺骗有三个目的：第一，隐藏自己的身份。第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。第三，电子邮件欺骗能被看作是社会工程的一种表现形式。,5.4.1 电子邮件欺骗的原理,一个邮件系统的传输包含用户代理（User Agent）、传输代理（Transfer Agent）及投递代理（Delivery Agent）三大部分。用户代理是一个用户端发信

47、和收信的程序，负责将信件按照一定的标准包装，然后送到邮件服务器，将信件发出或由邮件服务器收回。传输代理则负责信件的交换和传输，将信件传送至适当的邮件服务器。再由投递代理将信件分发至最终用户的邮箱。在正常的情况下，邮件会尽量将发送者的名字和地址包括进邮件头信息中，但是，有时候，发送者希望将邮件发送出去而不希望收件者知道是谁发的，这种发送邮件的方法称为匿名邮件。实现匿名的一种最简单的方法，是简单地改变电子邮件软件里的发送者的名字，但通过邮件头的其它信息，仍能够跟踪发送者。另一种比较彻底的匿名方式是让其他人发送这个邮件，邮件中的发信地址就变成了转发者的地址了。现在因特网上有大量的匿名转发者（或称为匿

48、名服务器）。,2023/4/4,97,5.4.1 电子邮件欺骗的原理,执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽。它们分别是：利用相似的电子邮件地址 直接使用伪造的E-mail地址远程登录到SMTP端口发送邮件,2023/4/4,98,利用相似的电子邮件地址,这主要是利用人们的大意心理。攻击者找到一个受害者熟悉的名字。有了这个名字后，攻击者注册一个看上去像受害者熟悉的名字的邮件地址。这样收信人很可能会回复这个邮箱发来信，这样攻击者就有得到想要信息的可能性。,2023/4/4,99,直接使用伪造的Email地址,SMTP协议（即简单邮件传输协议）有着一个致命的缺陷：

49、它所遵循过于信任的原则，没有设计身份验证系统。SMTP建立在假定人们的身份和他们所声称一致的基础之上，没有对邮件发送者的身份进行验证。这使得人们可以随意构造发件人地址来发送邮件。下页我们通过修改邮件客户端软件的设置来示例这一点。,2023/4/4,100,直接使用伪造的Email地址,对于那些没有设置SMTP身份验证功能的邮件服务器，例如右图所示的Outlook邮件客户软件就不需要做相应的设置，当用户使用邮件客户软件发出电子邮件时，发送邮件服务器不会对发件人地址进行验证或者确认，因此攻击者能够随意指定他想使用的所有地址，而这些地址当然会作为邮件源出现在收件人的信中。,2023/4/4,101,

50、直接使用伪造的Email地址,此外，在右图所示的例子中，攻击者还能够指定他想要的任何邮件返回地址。因此当用户回信时，答复回到攻击者所掌握的邮箱testtest，而不是回到被盗用了地址的人那里。,2023/4/4,102,远程登录到SMTP端口,SMTP协议一般使用25号端口，邮件服务器通过它在互联网上发送邮件。执行电子邮件欺骗的一个比较复杂的方法是远程登录到邮件服务器的25号端口发送邮件。,2023/4/4,103,远程登录到25号端口(2),攻击者首先找到邮件服务器的IP地址，或者通过运行端口扫描程序来判断哪些机器是25号端口开放的邮件服务器。在攻击者有了一台25号端口开放的机器和一台正在运