網(wǎng)絡安全第3章網(wǎng)絡安全威脅第一頁，共66頁。3.1針對網(wǎng)絡層協(xié)議的欺騙IP欺騙ARP欺騙ICMP消息欺騙路由欺騙第二頁，共66頁。IP欺騙IP欺騙就是攻擊者假冒他人IP地址，發(fā)送數(shù)據(jù)包。因為IP協(xié)議不對數(shù)據(jù)包中的IP地址進行認證，因此任何人不經(jīng)授權就可偽造IP包的源地址。

3第三頁，共66頁。IP包一旦從網(wǎng)絡中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達目標端后，才被使用。這使得一個主機可以使用別的主機的IP地址發(fā)送IP包，只要它能把這類IP包放到網(wǎng)絡上就可以。因而，如果攻擊者把自己的主機偽裝成被目標主機信任的友好主機，即把發(fā)送的IP包中的源IP地址改成被信任的友好主機的IP地址，利用主機間的信任關系和這種信任關系的實際認證中存在的脆弱性（只通過IP確認），就可以對信任主機進行攻擊。4第四頁，共66頁。要實現(xiàn)IP欺騙有兩個難點。首先，因為遠程主機只向偽造的IP地址發(fā)送應答信號，攻擊者不可能收到遠程主機發(fā)出的信息，即用C主機假冒B主機IP，連接遠程主機A，A主機只向B主機發(fā)送應答信號，C主機無法收到。第二，要在攻擊者和被攻擊者之間建立連接，攻擊者需要使用正確的TCP序列號。

5第五頁，共66頁。攻擊者使用IP欺騙的目的有兩種：一種是只想隱藏自身的IP地址或偽造源IP和目的IP相同的不正常包而并不關心是否能收到目標主機的應答，例如IP包碎片、Land攻擊等；另一種是偽裝成被目標主機信任的友好主機得到非授權的服務，一般需要使用正確的TCP序列號。得到TCP序列號的方法在傳輸層安全分析中描述。

6第六頁，共66頁。缺乏認證機制是TCP/IP安全方面的最大缺陷。由于缺乏認證，主機不能保證數(shù)據(jù)包的真實來源，構成了IP欺騙的基礎。到目前還沒有理想的方法，可以徹底根除IP欺騙。但通過各種手段，可以盡量減少威脅。最理想的方法是：使用防火墻決定是否允許外部的IP數(shù)據(jù)包進入局域網(wǎng)，對來自外部的IP數(shù)據(jù)包進行檢驗。假如過濾器看到來自外部的數(shù)據(jù)包聲稱有內(nèi)部的地址，它一定是欺騙包，反之亦然。如果數(shù)據(jù)包的IP不是防火墻內(nèi)的任何子網(wǎng)，它就不能離開防火墻。在某種意義上，過濾器分割能將Internet分成小區(qū)域，除子網(wǎng)內(nèi)部外，子網(wǎng)之間不能欺騙。

7第七頁，共66頁。ARP欺騙ARP通信原理ARP數(shù)據(jù)包根據(jù)接收對象不同，可分為兩種：（1）廣播包。廣播包目的MAC地址為FF-FF-FF-FF-FF-FF，交換機設備接收到廣播包后，會把它轉發(fā)給局域網(wǎng)內(nèi)的所有主機。（2）非廣播包。非廣播包后只有指定的主機才能接收到。

ARP數(shù)據(jù)包根據(jù)功能不同，也可以分為兩種：（1）ARP請求包。ARP請求包的作用是用于獲取局域網(wǎng)內(nèi)某IP對應的MAC地址。（2）ARP回復包。ARP回復包的作用是告知別的主機，本機的IP地址和MAC是什么。第八頁，共66頁。當主機A需要與主機B進行通訊時，它會先查一下本機的ARP緩存中有沒有主機B的MAC地址。如果有就可以直接通訊。如果沒有，主機A就需要通過ARP協(xié)議來獲取主機B的MAC地址，主機A向局域網(wǎng)內(nèi)所有主機發(fā)送廣播-請求數(shù)據(jù)包。

當主機B接收到來自主機A的廣播-請求數(shù)據(jù)包后，它會先把主機A的IP地址和MAC地址對應關系保存/更新到本機的ARP緩存表中，然后它會給主機A發(fā)送一個“ARP非廣播-回復”數(shù)據(jù)包，其作用相當于告訴主機A其自身的物理地址。當主機A接收到主機B的回復后，它會把主機B的IP地址和MAC地址對應關系保存/更新到本機的ARP緩存表中，之后主機A和B就可以進行通訊了。第九頁，共66頁。ARP欺騙主機在兩種情況下會保存、更新本機的ARP緩存表，（1）接收到“ARP廣播-請求”包時。（2）接收到“ARP非廣播-回復”包時。

ARP協(xié)議是沒有身份驗證機制的，局域網(wǎng)內(nèi)任何主機都可以隨意偽造ARP數(shù)據(jù)包，ARP協(xié)議設計天生就存在嚴重缺陷。假設局域網(wǎng)內(nèi)有以下三臺主機（其中GW指網(wǎng)關），主機名、IP地址、MAC地址分別如下：

主機名

IP地址

MAC地址

GW

01-01-01-01-01-01

PC02

02-02-02-02-02-02

PC03

03-03-03-03-03-03第十頁，共66頁。

正常情況下，主機PC02與GW之間的數(shù)據(jù)流向，以及它們各自的ARP緩存表如下圖所示：

第十一頁，共66頁。當PC03出現(xiàn)惡意企圖時，它可能實施三種不同類型的ARP欺騙：

1

只欺騙受害主機。實施欺騙后效果如下：

第十二頁，共66頁。2

只欺騙路由器、網(wǎng)關。實施欺騙后效果如下：

第十三頁，共66頁。3

雙向欺騙，即前面兩種欺騙方法的組合使用。實施欺騙后的效果如下：

第十四頁，共66頁。要達到同時欺騙目標主機和網(wǎng)關的目的，攻擊者應打開兩個命令界面，執(zhí)行兩次ARP欺騙：一次誘使目標主機認為攻擊者的主機有網(wǎng)關的MAC地址，這可以利用IP地址欺騙技術，偽造網(wǎng)關的IP地址從攻擊者主機的一塊網(wǎng)卡上發(fā)送給目標主機ARP請求包，則錯誤的MAC地址和IP地址的映射將更新到目標主機；另一次使網(wǎng)關相信攻擊者的主機具有目標主機的MAC地址，方法和前面相似。

此時，目標主機和網(wǎng)關之間的所有數(shù)據(jù)通信都要由攻擊者的主機轉發(fā)，攻擊者也就能對數(shù)據(jù)做各種處理。15第十五頁，共66頁。對于ARP欺騙的防范：有一些工具可以很容易的檢測此類攻擊，例如ARPWatch，此類工具監(jiān)視局域網(wǎng)內(nèi)所有MAC地址和IP地址的映射對，一旦有改變將產(chǎn)生告警或日志。

16第十六頁，共66頁。ICMP攻擊TCP/IP體系的網(wǎng)絡層功能復雜，需要各種控制機制，如差錯控制、擁塞控制以及路徑控制等。IP協(xié)議本身沒有內(nèi)在的機制獲取差錯信息并進行相應的控制。ICMP協(xié)議為IP層的控制提供了信息報文，告訴源主機有關網(wǎng)絡擁塞、IP數(shù)據(jù)報由于主機不可達或TTL超時等原因不能傳輸?shù)炔铄e信息。主機對ICMP數(shù)據(jù)報不作認證，這使攻擊者可以偽造ICMP包使源主機產(chǎn)生錯誤的動作從而達到特定的攻擊效果。17第十七頁，共66頁。與ICMP有關的攻擊有：IP地址掃描、pingofdeath、pingflooding、smurf、ICMP重定向報文、ICMP主機不可達和TTL超時報文等。IP地址掃描：這種攻擊經(jīng)常出現(xiàn)在整個攻擊過程的開始階段，作為攻擊者收集信息的手段。利用ICMP的回應請求與應答報文，運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。18第十八頁，共66頁。Smurf：一個簡單的smurf攻擊是攻擊者偽造一個源地址為受害主機的地址、目標地址是反彈網(wǎng)絡的廣播地址的ICMP回應請求數(shù)據(jù)包，當反彈網(wǎng)絡的所有主機返回ICMP回應應答數(shù)據(jù)包的時候?qū)⒀蜎]受害主機。Smurf的原理和pingflooding類似，只不過利用了反彈網(wǎng)絡發(fā)送ICMP回應應答數(shù)據(jù)包來耗盡目標主機資源，若反彈網(wǎng)絡規(guī)模較大，此攻擊威力巨大。

19第十九頁，共66頁。ICMP重定向報文：網(wǎng)間網(wǎng)的路徑是由網(wǎng)關和主機上的尋徑表決定的，其中網(wǎng)關尋徑表起著主導作用，各主機尋徑表的信息都來自主機的初始網(wǎng)關。主機的初始網(wǎng)關一般人為配置。主機啟動時其尋徑表中的初始網(wǎng)關信息可以保證主機通過該網(wǎng)關將數(shù)據(jù)報發(fā)送出去，但經(jīng)過初始網(wǎng)關的路徑不一定是最優(yōu)的。初始網(wǎng)關一旦檢測到某數(shù)據(jù)報經(jīng)非最優(yōu)路徑傳輸，它一方面繼續(xù)將該數(shù)據(jù)報轉發(fā)出去，另一方面將向主機發(fā)送一個路徑重定向報文，告訴主機去往相應信宿的最優(yōu)路徑。這樣主機開機后經(jīng)不斷積累便能掌握越來越多的最優(yōu)路徑信息。20第二十頁，共66頁。ICMP重定向報文的優(yōu)點是保證主機擁有一個動態(tài)的既小且優(yōu)的尋徑表。然而，如前所述，TCP/IP體系不提供認證功能，攻擊者可以冒充初始網(wǎng)關向目標主機發(fā)送ICMP重定向報文，誘使目標主機更改尋徑表，其結果是到達某一IP子網(wǎng)的報文全部丟失或都經(jīng)過一個攻擊者能控制的網(wǎng)關。21第二十一頁，共66頁。ICMP主機不可達和TTL超時報文：此類報文一般由IP數(shù)據(jù)報傳輸路徑中的路由器發(fā)現(xiàn)錯誤時發(fā)送給源主機的，主機接收到此類報文后會重新建立TCP連接。攻擊者可以利用此類報文干擾正常的通信。

22第二十二頁，共66頁。ICMP攻擊（7）防范ICMP攻擊的策略：禁止不必要的ICMP,嚴格限制ICMP報文的作用范圍；禁止未經(jīng)請求就主動提供的ICMP回應應答數(shù)據(jù)包；嚴格限制ICMP重定向報文的應用范圍,它應與某個已存在的特定連接綁定使用，即如果主機目前沒有數(shù)據(jù)要發(fā)送到相應站點，就不按照收到的重定向報文改變自己的路由表；主機與其他路由器的全局路由表也不能以重定向報文為依據(jù)修改等。

23第二十三頁，共66頁。路由欺騙TCP/IP網(wǎng)絡中，IP包的傳輸路徑完全由路由表決定。若攻擊者通過各種手段可以改變路由表，使目標主機發(fā)送的IP包到達攻擊者能控制的主機或路由器，就可以完成偵聽、篡改等攻擊方式。下面介紹兩種路由欺騙技術。

24第二十四頁，共66頁。RIP路由欺騙：RIP協(xié)議，用于自治域內(nèi)傳播路由信息。路由器在收到RIP數(shù)據(jù)包時一般不作檢察，即不對RIP數(shù)據(jù)包發(fā)送者進行認證。攻擊者可以聲稱他所控制的路由器A可以最快地到達某一站點B，從而誘使發(fā)往B的數(shù)據(jù)包由A中轉。由于A受攻擊者控制，攻擊者可偵聽、篡改數(shù)據(jù)。

25第二十五頁，共66頁。對于RIP路由欺騙的防范：路由器在接受新路由前應先驗證其是否可達,這可以大大降低受此類攻擊的概率。但是RIP的有些實現(xiàn)并不進行驗證,使一些假路由信息也能夠廣泛流傳。由于路由信息在網(wǎng)上可見,隨著假路由信息在網(wǎng)上的傳播范圍擴大,它被發(fā)現(xiàn)的可能性也在增大。所以,對于系統(tǒng)管理員而言,經(jīng)常檢查日志文件會有助于發(fā)現(xiàn)此類問題。另一種方法則是對RIP包進行身份認證,杜絕假冒路由器。但由于目前缺乏比較廉價的公鑰簽名機制,這種方法在廣播型的協(xié)議中比較難實現(xiàn)。

26第二十六頁，共66頁。IP源路由欺騙：IP報文首部的可選項中有“源站選路”,可以指定到達目的站點的路由。正常情況下,目的主機如果有應答或其他信息返回源站,就可以直接將該路由反向運用作為應答的回復路徑。27第二十七頁，共66頁。路由欺騙（5）主機A(假設IP地址是1)是主機B的被信任主機，主機X想冒充主機A從主機B（假設IP為）獲得某些服務。

28攻擊實例如圖:

第二十八頁，共66頁。首先，攻擊者修改距離X最近的路由器G2，使得到達此路由器且包含目的地址的數(shù)據(jù)包以主機X所在的網(wǎng)絡為目的地；然后，攻擊者X利用IP欺騙（把數(shù)據(jù)包的源地址改為1）向主機B發(fā)送帶有源路由選項(指定最近的路由器G2)的數(shù)據(jù)包。當B回送數(shù)據(jù)包時，按收到數(shù)據(jù)包的源路由選項反轉使用源路由，就傳送到被更改過的路由器G2。由于G2路由表已被修改，收到B的數(shù)據(jù)包時，G2根據(jù)路由表把數(shù)據(jù)包發(fā)送到X所在網(wǎng)絡，X可在其局域網(wǎng)內(nèi)較方便的進行偵聽，收取此數(shù)據(jù)包。

29第二十九頁，共66頁。防范IP源路由欺騙的方法：配置好路由器，使它拋棄那些由外部網(wǎng)進來的卻聲稱是內(nèi)部主機的報文；關閉主機和路由器上的源路由功能。

30第三十頁，共66頁。3.2針對TCP的欺騙TCP初始序號預測TCP欺騙TCP會話劫持第三十一頁，共66頁。TCP初始序號預測（1）TCP協(xié)議采用確認重傳機制保證數(shù)據(jù)流的可靠性，確認是以TCP的序號字段為基礎的。TCP在使用三次握手機制建立連接時的初始序號有一定的隨機性，但是依據(jù)其實現(xiàn)機制不同，還是有一些方法可以對TCP初始序號進行預測。

32第三十二頁，共66頁。TCP初始序號預測（2）有3種常用的方法來產(chǎn)生初始序列號：（1）64K規(guī)則：這是一種最簡單的機制，目前仍在一些主機上使用。每秒用一常量（12800）增加初始序列號，如果有某一個連接啟動，則用另一個常量（64000）增加序列號計數(shù)器。（2）與時間相關的產(chǎn)生規(guī)則：這是一種很流行的簡單機制，允許序列號產(chǎn)生器產(chǎn)生與時間相關的值。這個產(chǎn)生器在計算機自舉時產(chǎn)生初始值，依照每臺計算機各自的時鐘增加。由于各計算機上的時鐘并不完全相等，增大了序列號的隨機性。

33第三十三頁，共66頁。TCP初始序號預測（3）（3）偽隨機數(shù)產(chǎn)生規(guī)則：較新的操作系統(tǒng)使用偽隨機數(shù)產(chǎn)生器產(chǎn)生初始序列號。隨機性滿足以下兩點：a均勻分布：數(shù)列中每個數(shù)出現(xiàn)的頻率應相等或近似相等。b獨立性：數(shù)列中任何一數(shù)不能由其他數(shù)推出。由算法產(chǎn)生，滿足隨機性的特征，稱為偽隨機數(shù)。第三十四頁，共66頁。TCP初始序號預測（4）對于第一、第二種方式產(chǎn)生的初始序號，攻擊者在一定程度上是可以預測的。首先，攻擊者發(fā)送一個SYN包，目標主機響應后攻擊者可以知道目標主機的TCP/IP協(xié)議棧當前使用的初始序列號。然后，攻擊者可以估計數(shù)據(jù)包的往返時間，根據(jù)相應的初始序號產(chǎn)生方法較精確的估算出初始序號的一個范圍。有了這個預測出的初始序號范圍，攻擊者可以對目標主機進行TCP欺騙的盲攻擊

35第三十五頁，共66頁。TCP初始序號預測（5）能夠預測TCP初始序號的原因是其產(chǎn)生與時間相關且變化頻率不夠快，從而導致隨機性不夠。預防此類攻擊，只需使用第三種初始序號產(chǎn)生方法，一般偽隨機數(shù)發(fā)生器產(chǎn)生的序號是無法預測的。

36第三十六頁，共66頁。TCP欺騙（1）有兩種方法實現(xiàn)TCP欺騙攻擊：非盲攻擊：攻擊者和被欺騙的目的主機在同一個網(wǎng)絡上，攻擊者可以簡單地使用協(xié)議分析器（嗅探器）捕獲TCP報文段，從而獲得需要的序列號。

37第三十七頁，共66頁。TCP欺騙（2）以下是其攻擊步驟：步驟一，攻擊者X要確定目標主機A的被信任主機B不在工作狀態(tài)，若其在工作狀態(tài)，也可使用SYNflooding等攻擊手段使其處于拒絕服務狀態(tài)。步驟二，攻擊者X偽造數(shù)據(jù)包：B->A:SYN(ISNC)，源IP地址使用B，初始序列號ISN為C，給目標主機發(fā)送TCP的SYN包請求建立連接。38第三十八頁，共66頁。TCP欺騙（3）步驟三，目標主機回應數(shù)據(jù)包：A->B:SYN(ISNS),ACK(ISNC+1)，初始序列號為S，確認序號為C。由于B處于拒絕服務狀態(tài)，不會發(fā)出響應包。攻擊者X使用嗅探器捕獲TCP報文段，得到初始序列號S。步驟四，攻擊者X偽造數(shù)據(jù)包：B->A:ACK(ISNS+1)，完成三次握手建立TCP連接。步驟五，攻擊者X一直使用B的IP地址與A進行通信。39第三十九頁，共66頁。TCP欺騙（4）40盲攻擊：由于攻擊者和被欺騙的目標主機不在同一個網(wǎng)絡上，攻擊者無法使用嗅探器捕獲TCP報文段。其攻擊步驟與非盲攻擊幾乎相同，只不過在步驟三無法使用嗅探器，可以使用TCP初始序列號預測技術得到初始序列號。在步驟五，攻擊者X可以發(fā)送第一個數(shù)據(jù)包，但收不到A的響應包，較難實現(xiàn)交互。第四十頁，共66頁。TCP欺騙（5）從攻擊者的角度來考慮，盲攻擊較為困難，因為目的主機的響應都被發(fā)送到不可達的被欺騙主機，攻擊者不能直接確定攻擊的成敗。然而，攻擊者可使用前述的路由欺騙技術把盲攻擊轉化為非盲攻擊。對TCP欺騙攻擊的防范策略：使用偽隨機數(shù)發(fā)生器產(chǎn)生TCP初始序號；路由器拒絕來自外網(wǎng)而源IP是內(nèi)網(wǎng)的數(shù)據(jù)包；TCP段加密。

41第四十一頁，共66頁。TCP會話劫持（1）

這種攻擊建立在IP欺騙和TCP序列號攻擊的基礎上，專門用來攻擊基于TCP的應用，例如Telnet、rlogin、FTP等。攻擊者只需要訪問在被欺騙主機和目的主機之間發(fā)送的數(shù)據(jù)報，因為這樣可獲得正確的序列號。一旦攻擊者獲得了這個序列號，他就可以發(fā)送TCP報文段并有效地接管連接。被劫持主機發(fā)送的數(shù)據(jù)報文卻由于序列號不正確而被忽略，并認為報文中途丟失并重新發(fā)送，如圖所示：42第四十二頁，共66頁。TCP會話劫持（2）43第四十三頁，共66頁。TCP會話劫持（3）上圖中A、B、C分別表示處于同一網(wǎng)絡上的被劫持主機、目標主機和攻擊主機；a表示三方握手開始；b表示三方握手結束；c表示認證和識別數(shù)據(jù)。攻擊者使用嗅探器捕獲IP數(shù)據(jù)包，從而確定TCP連接的狀態(tài)和序列號，等到識別和認證數(shù)據(jù)發(fā)送完畢，攻擊主機開始劫持會話。TCP劫持經(jīng)常用于接管Telnet會話，Telnet會話只在客戶和服務器之間簡單地傳送字節(jié)流，攻擊者可以把自己的命令插入到被欺騙的TCP報文段中。服務器將得到的這個命令串加以執(zhí)行，就像合法用戶發(fā)出的一樣。被劫持主機的Telnet進程將由于沒有接收到確認信息而被掛起，重新發(fā)送報文段。定時器超時之后，將開始重新建立新的連接。

44第四十四頁，共66頁。TCP會話劫持（4）對于攻擊者來說，TCP會話劫持相對于其它攻擊方法有許多優(yōu)點，例如相對于網(wǎng)絡嗅探器程序，特別是當合法用戶使用了高級的身份識別和認證技術之后，嗅探一次性口令或嗅探密碼認證機制發(fā)出的挑戰(zhàn)信息的響應是無意義的。然而由于這些認證技術都發(fā)生在連接剛開始建立的時候，一般會話建立和相互認證之后將不再提供其它的保護措施。因此，TCP會話劫持可以繞過一次性口令和強認機制劫持合法連接來獲得系統(tǒng)的入口。

45第四十五頁，共66頁。3.3針對應用層協(xié)議的欺騙電子郵件欺騙網(wǎng)絡釣魚第四十六頁，共66頁。電子郵件欺騙（1）郵件地址欺騙是黑客攻擊和垃圾郵件制造者常用的方法，對于垃圾郵件制造者，由于很多郵件服務器的過濾或防轉發(fā)機制采用的是針對郵件域名的識別，因此冒用郵件域名的方法常被采用。

關于黑客攻擊，攻擊者針對某用戶的電子郵件地址，取一個相似的電子郵件名。在郵箱配置中將“發(fā)件人姓名”配置成與該用戶一樣的發(fā)件人姓名，然后冒充該用戶發(fā)送電子郵件。當收件人收到郵件時，往往不會仔細檢查郵件地址和郵件信息頭，從發(fā)件人姓名、郵件內(nèi)容等上面又看不出異樣，誤以為真，攻擊者從而達到欺騙的目的，這種情況常見于使用免費電子郵箱的情況。通過注冊申請，攻擊者很容易得到相似的電子郵件地址。

第四十七頁，共66頁。電子郵件欺騙（2）另一個郵件地址欺騙的手法是冒充回復地址，人們通常以為電子郵件的回復地址就是其發(fā)件人地址，這是一種誤解。在各種電子郵件服務系統(tǒng)中，發(fā)件人地址和回復地址都可以不一樣，在配置賬戶屬性或撰寫郵件時，可以使用與發(fā)件人地址不同的回復地址。由于用戶在收到某個郵件時并回復時，并不會對回復地址仔細檢查，所以如果配合Smtp欺騙使用，發(fā)件人地址是要攻擊的用戶的電子郵件地址，回復地址則是攻擊者自己的電子郵件地址，那么這樣就會具有更大的欺騙性，誘騙他人將郵件發(fā)送到攻擊者的電子郵箱中。

鑒于郵件地址欺騙的易于實現(xiàn)和危險性，用戶必須隨時提高警惕，以免上當受騙。對于重要郵件的處理，應認真檢查郵件的發(fā)件人郵件地址、發(fā)件人IP地址、回復地址等郵件信息內(nèi)容是防范黑客的必要措施。第四十八頁，共66頁。電子郵件欺騙（3）第四十九頁，共66頁。網(wǎng)絡釣魚網(wǎng)絡釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼或信用卡詳細信息）的一種攻擊方式。最典型的網(wǎng)絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。第五十頁，共66頁?；赨RL欺騙的網(wǎng)絡釣魚第五十一頁，共66頁。發(fā)送電子郵件，以虛假信息引誘用戶中圈套第五十二頁，共66頁。建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶賬號、密碼實施盜竊利用虛假的電子商務進行詐騙第五十三頁，共66頁?；诰W(wǎng)絡通訊劫持的網(wǎng)絡釣魚利用DNS的修改，路由或網(wǎng)關的修改等手段，使用戶預期訪問的網(wǎng)頁變?yōu)獒烎~者定義的網(wǎng)頁。當前，通訊劫持主要通過DNS篡改實現(xiàn)。這種方式主要通過修改DNS的映射關系使得用戶即使在瀏覽地址欄里面輸入正確的地址，也不能幸免被釣魚的危險。第五十四頁，共66頁。如何防備不要在網(wǎng)上留下可以證明自己身份的任何資料，包括手機號碼、身份證號、銀行卡號碼等。

不要把自己的隱私資料通過網(wǎng)絡傳輸，包括銀行卡號碼、身份證號、電子商務網(wǎng)站賬戶等資料不要通過QQ、MSN、Email等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙。

不要相信網(wǎng)上流傳的消息，除非得到權威途徑的證明。如網(wǎng)絡論壇、新聞組、QQ等往往有人發(fā)布謠言，伺機竊取用戶的身份資料等。

第五十五頁，共66頁。如何防備不要在網(wǎng)站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項，不要僅僅通過網(wǎng)絡完成，有心計的騙子們可能通過這些途徑了解用戶的資料，伺機進行詐騙。

不要輕易相信通過電子郵件、網(wǎng)絡論壇等發(fā)布的中獎信息、促銷信息等，除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙。

第五十六頁，共66頁。3.4端口掃描端口是TCP/IP體系中運輸層的服務訪問點，傳輸層到某端口的數(shù)據(jù)都被相應綁定到該端口的進程所接收。保留端口是TCP/IP分配端口的一種方法，它們都對應了相應的應用程序和服務。攻擊者可以試圖和目標主機的一系列端口（一般是保留端口和常用端口）建立連接或請求通信，若目標主機有回應，則它打開了相應的應用程序或服務，攻擊者也就可以使用應用層的一些攻擊手段了。第五十七頁，共66頁。常用的端口掃描技術：（1）TCPconnect()掃描這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個感興趣的目標主機的端口進行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個端口是不能用的，即沒有提供服務。

58第五十八頁，共66頁。（2）TCPSYN掃描這種技術通常認為是“半開放”掃描，這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準備打開一個實際的連接并等待反應一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST返回，表示