第7章

網(wǎng)絡(luò)欺騙攻防72本章內(nèi)容安排IP欺騙攻防ARP欺騙攻防電子郵件欺騙DNS欺騙攻防Web欺騙37.1網(wǎng)絡(luò)欺騙概述在Internet上計(jì)算機(jī)之間相互進(jìn)行的交流建立在兩個(gè)前提之下：認(rèn)證（Authentication）認(rèn)證是網(wǎng)絡(luò)上的計(jì)算機(jī)用于相互間進(jìn)行識(shí)別的一種鑒別過程。信任（Trust）信任和認(rèn)證具有逆反關(guān)系：如果計(jì)算機(jī)之間存在高度的信任關(guān)系，則交流時(shí)就不會(huì)要求嚴(yán)格的認(rèn)證。反之，如果計(jì)算機(jī)之間沒有很好的信任關(guān)系，則會(huì)進(jìn)行嚴(yán)格的認(rèn)證。47.1網(wǎng)絡(luò)欺騙概述欺騙實(shí)質(zhì)上就是一種冒充身份通過認(rèn)證騙取信任的攻擊方式。常見的欺騙攻擊主要有5種：IP欺騙使用其他計(jì)算機(jī)的IP來騙取連接，獲得信息或者得到特權(quán)。ARP欺騙利用ARP協(xié)議的缺陷，把自己偽裝成“中間人”，獲得信息。電子郵件欺騙電子郵件發(fā)送方地址的欺騙。DNS欺騙域名與IP地址轉(zhuǎn)換過程中實(shí)現(xiàn)的欺騙。Web欺騙創(chuàng)造某個(gè)萬維網(wǎng)網(wǎng)站的復(fù)制影像，欺騙網(wǎng)站用戶目的的攻擊。57.2IP欺騙攻防IP欺騙定義攻擊者可以使用其他主機(jī)的IP地址，并假裝自己來自該主機(jī)，以獲得自己未授權(quán)訪問的信息。這種類型的攻擊稱為IP欺騙。IP欺騙為什么可以實(shí)現(xiàn)？IP協(xié)議是網(wǎng)絡(luò)層一個(gè)非面向連接的協(xié)議，IP數(shù)據(jù)包的主要內(nèi)容由源IP地址，目的IP地址和業(yè)務(wù)數(shù)據(jù)構(gòu)成。其主要任務(wù)就是根據(jù)每個(gè)數(shù)據(jù)報(bào)文的目的地址，通過路由完成報(bào)文從源地址到目的地址的傳送，在傳送過程中并不對(duì)源地址檢查。按照TCP協(xié)議的規(guī)定，兩臺(tái)計(jì)算機(jī)建立信任連接時(shí)主要依靠雙方的源IP地址進(jìn)行認(rèn)證。67.2IP欺騙攻防7.2.1基本的IP欺騙最基本的IP欺騙技術(shù)有三種：簡(jiǎn)單的IP地址變化源路由攻擊利用Unix系統(tǒng)中的信任關(guān)系這三種IP欺騙技術(shù)都是早期使用的，原理比較簡(jiǎn)單，因此效果也十分有限。7簡(jiǎn)單IP地址變化攻擊者將攻擊主機(jī)的IP地址改成其他主機(jī)的IP地址以冒充其他主機(jī)。攻擊者使用假冒的IP地址向一臺(tái)機(jī)器發(fā)送數(shù)據(jù)包，但沒有收到任何返回的數(shù)據(jù)包，這被稱之為盲目飛行攻擊（flyingblindattack），或者叫做單向攻擊（one-wayattack）。因?yàn)橹荒芟蚴芎φ甙l(fā)送數(shù)據(jù)包，而不會(huì)收到任何應(yīng)答包。被冒充地址0攻擊者0IP欺騙源地址：0目標(biāo)地址：受害者 返回到0的應(yīng)答利用這種方法進(jìn)行欺騙攻擊有一些限制，比如說沒法建立TCP連接；但是，對(duì)于UDP這種面向無連接的傳輸協(xié)議，不存在建立連接的問題，因此攻擊者發(fā)送的所有UDP數(shù)據(jù)包都會(huì)被發(fā)送到目標(biāo)機(jī)器。簡(jiǎn)單的IP地址變化欺騙中攻擊者無法接收到返回的信息流，因此常被用于分布式拒絕攻擊。8源路由攻擊簡(jiǎn)單IP地址變化沒法接收返回的信息流。為了得到從目的主機(jī)返回源地址主機(jī)的數(shù)據(jù)流，有兩個(gè)方法：一是攻擊者插入到正常情況下數(shù)據(jù)流經(jīng)過的通路上；問題：實(shí)現(xiàn)起來非常困難！互聯(lián)網(wǎng)采用的是動(dòng)態(tài)路由，即數(shù)據(jù)包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。因此，讓數(shù)據(jù)流持續(xù)通過攻擊者的機(jī)器并不容易。9源路由攻擊另一種方法就是保證數(shù)據(jù)包會(huì)經(jīng)過一條給定的路徑，而且為達(dá)到欺騙攻擊目的，保證它經(jīng)過攻擊者的機(jī)器。這就需要使用源路由機(jī)制，它被包含在TCP/IP協(xié)議組中。源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里。某些路由器對(duì)源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來傳送應(yīng)答數(shù)據(jù)。這就使一個(gè)入侵者可以假冒一個(gè)主機(jī)的名義通過一個(gè)特殊的路徑來獲得某些數(shù)據(jù)。10源路由攻擊源路由包括兩種類型：寬松的源路由選擇（LSR）發(fā)送端指明數(shù)據(jù)流必須經(jīng)過的IP地址清單，但是也可以經(jīng)過除這些地址以外的一些地址。嚴(yán)格的源路由選擇（SRS）發(fā)送端指明IP數(shù)據(jù)包必須經(jīng)過的確切地址。如果沒有經(jīng)過這一確切路徑，數(shù)據(jù)包會(huì)被丟棄，并返回一個(gè)ICMP報(bào)文。源路由機(jī)制給攻擊者帶來了很大的便利。攻擊者可以使用假冒地址A向受害者B發(fā)送數(shù)據(jù)包，并指定了寬松的源路由選路或者嚴(yán)格源路由選擇(如果確定能經(jīng)過所填入的每個(gè)路由的話)，并把自己的IP地址X填入地址清單中。當(dāng)B在應(yīng)答的時(shí)候，也應(yīng)用同樣的源路由，因此，數(shù)據(jù)包返回被假冒主機(jī)A的過程中必然會(huì)經(jīng)過攻擊者X。攻擊者不再是盲目飛行了，它能獲得完整的會(huì)話信息。11利用信任關(guān)系在Unix世界中，利用信任關(guān)系可以使機(jī)器之間的切換變得更加容易，特別是在進(jìn)行系統(tǒng)管理的時(shí)候。單位里經(jīng)常指定一個(gè)管理員管理幾十個(gè)區(qū)域或者甚至上百臺(tái)機(jī)器。管理員一般都會(huì)使用信任關(guān)系和UNIX的r*命令從一個(gè)系統(tǒng)方便的切換到另一個(gè)系統(tǒng)。r*命令允許一個(gè)人登錄遠(yuǎn)程機(jī)器而不必提供口令。取代詢問用戶名和口令，遠(yuǎn)程機(jī)器基本上使用IP地址來進(jìn)行驗(yàn)證，也就是說將會(huì)認(rèn)可來自可信IP地址的任何人。下面是經(jīng)常使用的一些r*命令：rlogin：remotelogin，遠(yuǎn)程登錄；rsh：remoteshell，遠(yuǎn)程shell；rcp：remotecopy，遠(yuǎn)程拷貝。12兩臺(tái)主機(jī)建立信任關(guān)系

1、在hosts文件中加入另一主機(jī)的IP地址和解析主機(jī)名，如下：#vi/etc/hosts

localhost0

testmem

---本機(jī)00backtest

---信任機(jī)

IP地址

主機(jī)名在信任機(jī)中同樣加入本主機(jī)的IP地址和解析主機(jī)名2、在$HOME/rhosts文件中加入兩臺(tái)主機(jī)的解析主機(jī)名和信任用戶，如下：#vi$HOME/rhostsbacktest

testuser

主機(jī)名

用戶名在信任機(jī)中同樣加入本主機(jī)的主機(jī)名及用戶名3、配置完這些就可以通過rsh、rlogin、rcp等命令操作了。13利用信任關(guān)系例子：主機(jī)A、B上各有一個(gè)賬戶，在使用當(dāng)中，在A上使用時(shí)需要輸入A上的相應(yīng)賬戶，在B上使用時(shí)必須輸入在B上的賬戶，主機(jī)A和B被當(dāng)作兩個(gè)互不相關(guān)的用戶。為了減少切換時(shí)的反復(fù)確認(rèn)，可以在主機(jī)A和主機(jī)B中建立起兩個(gè)賬戶的全雙工信任關(guān)系。這可通過在A、B的登陸目錄上各建立一個(gè)hosts文件達(dá)到。然后就可以使用任何r*命令而不用向遠(yuǎn)程主機(jī)提供密碼認(rèn)證。這些命令允許基于地址的認(rèn)證方式，它們會(huì)根據(jù)服務(wù)請(qǐng)求者的IP地址決定同意還是拒絕訪問。14利用信任關(guān)系從便利的角度看，信任的關(guān)系是非常有效的，但是從安全的角度來看，是不可取的。如果攻擊者獲得了可信任網(wǎng)絡(luò)里的任何一臺(tái)的機(jī)器，他就能登錄信任該IP的任何機(jī)器上。這種方法一度被認(rèn)為是IP欺騙最主要的方法。但是，這種欺騙方法只能在Unix環(huán)境下使用，而且現(xiàn)在人們很少使用Unix系統(tǒng)間的信任關(guān)系了。157.2.2TCP會(huì)話劫持基本原理簡(jiǎn)而言之，會(huì)話劫持就是接管一個(gè)現(xiàn)存動(dòng)態(tài)會(huì)話的過程。換句話說，攻擊者通過會(huì)話劫持可以替代原來的合法用戶，同時(shí)能夠監(jiān)視并掌握會(huì)話內(nèi)容。攻擊者可以對(duì)受害者的回復(fù)進(jìn)行記錄，并在接下來的時(shí)間里對(duì)其進(jìn)行響應(yīng)，展開進(jìn)一步的欺騙和攻擊。在一般的欺騙攻擊中攻擊者并不是積極主動(dòng)地使一個(gè)用戶下線來實(shí)現(xiàn)針對(duì)受害目標(biāo)的攻擊，而是僅僅裝作是合法用戶。此時(shí)，被冒充的用戶可能并不在線上，而且它在整個(gè)攻擊中不扮演任何角色，因此攻擊者不會(huì)對(duì)它發(fā)動(dòng)進(jìn)攻。但是在會(huì)話劫持中，為了接管整個(gè)會(huì)話過程，攻擊者需要積極攻擊使被冒充用戶下線。16基本原理一般IP欺騙會(huì)話劫持17TCP會(huì)話劫持類型會(huì)話劫持分為被動(dòng)型和主動(dòng)型。被動(dòng)型被動(dòng)型的劫持攻擊首先劫持會(huì)話，然后在后方觀察和記錄雙方所有發(fā)送和接收的信息。主動(dòng)型首先完成被動(dòng)型劫持攻擊作為起步，尋找動(dòng)態(tài)的會(huì)話，并接管它，從而攻入目標(biāo)主機(jī)。由于一般需要迫使會(huì)話中一方下線，會(huì)話劫持一般伴隨拒絕服務(wù)攻擊。其難度較被動(dòng)型大。18相關(guān)基礎(chǔ)--TCP三步握手建立連接19相關(guān)基礎(chǔ)--序列號(hào)機(jī)制序列號(hào)是一個(gè)32位計(jì)數(shù)器，有232種的可能性組合。簡(jiǎn)單地說，序列號(hào)用來通知接收方下一步將要接收的數(shù)據(jù)包的順序。也就是說，序列號(hào)設(shè)置了數(shù)據(jù)包放入數(shù)據(jù)流的順序，接收方就可以利用序列號(hào)告訴發(fā)送方哪些數(shù)據(jù)包已經(jīng)收到，哪些數(shù)據(jù)包還未收到，于是發(fā)送方就能夠依此重發(fā)丟失的數(shù)據(jù)包。例如，如果發(fā)送方發(fā)送了4個(gè)數(shù)據(jù)包，它們的序列號(hào)分別是1258、1256、1257和1255，接收方不但可以根據(jù)發(fā)送方發(fā)包的序列號(hào)將數(shù)據(jù)包進(jìn)行歸序，同時(shí)接收方還可以用發(fā)送方的序列號(hào)確認(rèn)接收的數(shù)據(jù)包。在這種情況下，接收方送回的確認(rèn)信息是1259，這就等于是說，“下一個(gè)我期望從發(fā)送方收到的是序列號(hào)為1259的數(shù)據(jù)包”。20相關(guān)基礎(chǔ)--序列號(hào)機(jī)制實(shí)際上為了完成上述目的，這里存在：一個(gè)屬于發(fā)送方的序列號(hào)和另一個(gè)是屬于接收方的應(yīng)答號(hào)。發(fā)送方發(fā)送數(shù)據(jù)包使用發(fā)送方的序列號(hào)，同時(shí)當(dāng)接收方確認(rèn)從發(fā)送方接收的數(shù)據(jù)包時(shí)，它也用發(fā)送方的序列號(hào)來進(jìn)行確認(rèn)。另一方面，接收方用屬于自己的序列號(hào)發(fā)送數(shù)據(jù)。數(shù)據(jù)傳輸過程中序列號(hào)和應(yīng)答號(hào)之間的關(guān)系：（B－>A）第二個(gè)數(shù)據(jù)包的SEQ=（A－>B）第一個(gè)數(shù)據(jù)包的ACK；（B－>A）第二個(gè)數(shù)據(jù)包的ACK=（A－>B）第一個(gè)數(shù)據(jù)包的SEQ+（A－>B）第一個(gè)數(shù)據(jù)包的傳輸數(shù)據(jù)長(zhǎng)度.21相關(guān)基礎(chǔ)--序列號(hào)機(jī)制再進(jìn)一步推廣，對(duì)于整個(gè)序列號(hào)計(jì)數(shù)體制，可以得到下面這個(gè)結(jié)論：序列號(hào)是隨著傳輸數(shù)據(jù)字節(jié)數(shù)遞增的。如果傳輸數(shù)據(jù)字節(jié)數(shù)為10，序列號(hào)就增加10；若傳輸?shù)臄?shù)據(jù)為20字節(jié)，序列號(hào)就應(yīng)該相應(yīng)增加20。從上面的講解中，我們可以清楚地認(rèn)識(shí)到：序列號(hào)和應(yīng)答號(hào)之間存在著明確的對(duì)應(yīng)關(guān)系。因此序列號(hào)和應(yīng)答號(hào)是完全有可能預(yù)測(cè)的，只需要獲取最近的會(huì)話數(shù)據(jù)包，就可以猜測(cè)下一次通話中的SEQ和ACK。22TCP會(huì)話劫持過程step1：找到一個(gè)活動(dòng)的會(huì)話step2：猜測(cè)序列號(hào)step3：使客戶主機(jī)下線step4：接管會(huì)話23step1：找到一個(gè)活動(dòng)的會(huì)話對(duì)于尋找合適的目標(biāo)有兩個(gè)關(guān)鍵的問題。首先，通常攻擊者希望這個(gè)目標(biāo)是一個(gè)允許TCP會(huì)話連接（例如Telnet和FTP等）的服務(wù)器。其次，能否檢測(cè)數(shù)據(jù)流也是一個(gè)比較重要的問題，因?yàn)樵诠舻臅r(shí)候需要猜測(cè)序列號(hào)。對(duì)于交換網(wǎng)絡(luò)環(huán)境，嗅探其他機(jī)器的數(shù)據(jù)流相對(duì)來說有些困難，需要使用ARP欺騙。此外，與大多數(shù)攻擊不同，會(huì)話劫持攻擊適合在網(wǎng)絡(luò)流通量達(dá)到高峰時(shí)發(fā)生。網(wǎng)絡(luò)流通量達(dá)到高峰時(shí)，攻擊者有很多供選擇的會(huì)話；其次，網(wǎng)絡(luò)流量越大被發(fā)現(xiàn)的可能就越小。24step2：猜測(cè)序列號(hào)TCP區(qū)分正確數(shù)據(jù)包和錯(cuò)誤數(shù)據(jù)包僅通過它們的SEQ/ACK序列號(hào)。序列號(hào)卻是隨著時(shí)間的變化而改變的。因此，攻擊者必須成功猜測(cè)出序列號(hào)。通過嗅探或者ARP欺騙，先發(fā)現(xiàn)目標(biāo)機(jī)正在使用的序列號(hào)，再根據(jù)序列號(hào)機(jī)制，可以猜測(cè)出下一對(duì)SEQ/ACK序列號(hào)。同時(shí)，攻擊者若以某種方法擾亂客戶主機(jī)的SEQ/ACK，服務(wù)器將不再相信客戶主機(jī)正確的數(shù)據(jù)包，從而可以偽裝為客戶主機(jī)，使用正確的SEQ/ACK序列號(hào)，這樣攻擊主機(jī)就可以與服務(wù)器進(jìn)行連接，從而就搶劫了一個(gè)會(huì)話連接。25step3：使客戶主機(jī)下線當(dāng)攻擊者獲得了序列號(hào)后，為了徹底接管這個(gè)會(huì)話，他就必須使客戶主機(jī)下線。使客戶主機(jī)下線最簡(jiǎn)單的方式就是對(duì)其進(jìn)行拒絕服務(wù)攻擊，從而使其不再繼續(xù)響應(yīng)。服務(wù)器會(huì)繼續(xù)發(fā)送響應(yīng)給客戶主機(jī)，但是因?yàn)楣粽咭呀?jīng)掌握了客戶主機(jī)，所以客戶主機(jī)就不再繼續(xù)響應(yīng)。26step4：接管會(huì)話既然攻擊者已經(jīng)獲得了他所需要的一切信息，那么他就可以持續(xù)向服務(wù)器發(fā)送數(shù)據(jù)包并且接管整個(gè)會(huì)話了。在會(huì)話劫持攻擊中，攻擊者通常會(huì)發(fā)送數(shù)據(jù)包在受害服務(wù)器上建立一個(gè)賬戶，甚至留下某些后門。通過這種方式，攻擊者就可以在任何時(shí)候輕松進(jìn)入系統(tǒng)了。27TCP會(huì)話劫持的危害就其實(shí)現(xiàn)原理而言，任何使用Internet進(jìn)行通信的主機(jī)都有可能受到這種攻擊。會(huì)話劫持在理論上是非常復(fù)雜的，但是現(xiàn)在產(chǎn)生了簡(jiǎn)單適用的會(huì)話劫持攻擊軟件，技術(shù)門檻的降低導(dǎo)致了很多“少年攻擊者”的誕生。會(huì)話劫持攻擊的危害性很大是有原因的。一個(gè)最主要的原因就是它并不依賴于操作系統(tǒng)。另一個(gè)原因就是它可以被用來進(jìn)行積極的攻擊，獲得進(jìn)入系統(tǒng)的可能；也可用作消極攻擊，以竊取敏感信息。28實(shí)現(xiàn)TCP會(huì)話劫持的兩個(gè)小工具JuggernautJuggernaut是由MikeSchiffman開發(fā)的自由軟件，這個(gè)軟件是開創(chuàng)性的，是最先出現(xiàn)的會(huì)話攻擊程序之一。它運(yùn)行在Linux操作系統(tǒng)的終端機(jī)上，攻擊者能夠窺探網(wǎng)絡(luò)中所有的會(huì)話，并且劫持其中任何一個(gè)，攻擊者可以像真正用戶那樣向服務(wù)器提交命令。Hunt由PavelKrauz制作的Hunt，是一個(gè)集嗅探、截取和會(huì)話劫持功能與一身的強(qiáng)大工具。它可以在無論共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)中工作，不僅能夠在混雜模式和ARP欺騙模式下進(jìn)行嗅探，還具有中斷和劫持動(dòng)態(tài)會(huì)話的能力。297.2.3IP欺騙攻擊的防范防范地址變化欺騙防范源路由欺騙防范信任關(guān)系欺騙防范會(huì)話劫持攻擊30防范地址變化欺騙有辦法防止攻擊者使用你的地址發(fā)送消息嗎？可以說，沒有辦法阻止有人使用虛假地址向另一方發(fā)送消息。但可采取一些措施有效保護(hù)自己免受這種攻擊：方法1：限制用戶修改網(wǎng)絡(luò)配置為了阻止攻擊者使用一臺(tái)機(jī)器發(fā)起欺騙攻擊，首先需限制有權(quán)訪問機(jī)器配置信息的人員，以防止員工執(zhí)行欺騙。方法2：入口過濾大多數(shù)路由器有內(nèi)置的欺騙過濾器。過濾器的最基本形式是，不允許任何從外面進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包使用單位的內(nèi)部網(wǎng)絡(luò)地址作為源地址。這種類型的過濾可以保護(hù)單位的網(wǎng)絡(luò)不成為欺騙攻擊的受害者。方法3：出口過濾路由器必須檢查數(shù)據(jù)包，確信源地址是來自本單位局域網(wǎng)的一個(gè)地址。如果不是這樣，該數(shù)據(jù)包應(yīng)該被丟棄，因?yàn)檫@說明有人正使用假冒地址向另一個(gè)網(wǎng)絡(luò)發(fā)起攻擊。用于防止有人使用內(nèi)網(wǎng)的計(jì)算機(jī)向其他站點(diǎn)發(fā)起攻擊。31防范源路由欺騙保護(hù)自己或者單位免受源路由欺騙攻擊的最好方法是設(shè)置路由器禁止使用源路由。事實(shí)上人們很少使用源路由做合法的事情。因?yàn)檫@個(gè)原因，所以阻塞這種類型的流量進(jìn)入或者離開網(wǎng)絡(luò)通常不會(huì)影響正常的業(yè)務(wù)。32防范信任關(guān)系欺騙保護(hù)自己免受信任關(guān)系欺騙攻擊最容易的方法就是不使用信任關(guān)系。但是這并不是最佳的解決方案，因?yàn)楸憷膽?yīng)用依賴于信任關(guān)系。但是能通過做一些事情使暴露達(dá)到最?。合拗茡碛行湃侮P(guān)系的人員。不允許通過外部網(wǎng)絡(luò)使用信任關(guān)系。33防范會(huì)話劫持攻擊沒有有效的辦法可以從根本上防范會(huì)話劫持攻擊，但可采用一些方法盡量減小會(huì)話攻擊所帶來危害：進(jìn)行加密任何用來傳輸敏感數(shù)據(jù)的關(guān)鍵連接都必須進(jìn)行加密。使用代理服務(wù)器隱藏IP通過代理服務(wù)器的“轉(zhuǎn)址服務(wù)”能夠?qū)鬏敵鋈サ臄?shù)據(jù)包進(jìn)行修改，從而使“數(shù)據(jù)包分析”方法失效。使用安全協(xié)議使用SSH（SecureShell）、HTTPS協(xié)議或VPN（VirtualPrivateNetwork）都是很好的選擇。限制保護(hù)措施允許從網(wǎng)絡(luò)上傳輸?shù)接脩魡挝粌?nèi)部網(wǎng)絡(luò)的信息越少，用戶將會(huì)越安全，這是個(gè)最小化會(huì)話劫持攻擊的方法。應(yīng)該阻止盡可能多的外部連接和連向防火墻的連接。347.3ARP欺騙攻防7.3.1ARP背景知識(shí)介紹ARP基礎(chǔ)知識(shí)ARP（AddressResolutionProtocol）地址解析協(xié)議，用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）[RFC826]，ARP協(xié)議是屬于鏈路層的協(xié)議。在以太網(wǎng)中，數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)局域網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址（硬件地址）來確定接口的，而不是根據(jù)32位的IP地址。系統(tǒng)內(nèi)核（如驅(qū)動(dòng)）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。35ARP協(xié)議數(shù)據(jù)包ARP協(xié)議有兩種數(shù)據(jù)包ARP請(qǐng)求包ARP工作時(shí)，送出一個(gè)含有目的IP地址的以太網(wǎng)廣播數(shù)據(jù)包。表示：我想與目的IP通信，請(qǐng)告訴我此IP的MAC地址。ARP請(qǐng)求包格式如下：

arpwho-hastellARP應(yīng)答包當(dāng)目標(biāo)主機(jī)收到ARP請(qǐng)求包，發(fā)現(xiàn)請(qǐng)求解析的IP地址與本機(jī)IP地址相同，就會(huì)返回一個(gè)ARP應(yīng)答包。它表示：我的主機(jī)就是此IP，我的MAC地址是某某某。ARP應(yīng)答包的格式如下：

arpreplyis-at00:00:0c:07:ac:0036ARP緩存表ARP緩存表用于存儲(chǔ)其它主機(jī)或網(wǎng)關(guān)的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。ARP緩存表里存儲(chǔ)的每條記錄實(shí)際上就是一個(gè)IP地址與MAC地址對(duì)，它可以是靜態(tài)的，也可以是動(dòng)態(tài)的。如果是靜態(tài)的，該條記錄不能被ARP應(yīng)答包修改；如果是動(dòng)態(tài)的，該條記錄可以被ARP應(yīng)答包修改。在Windows下查看ARP緩存表的方法使用命令：arp-a37ARP工作原理局域網(wǎng)內(nèi)通信局域網(wǎng)間通信38局域網(wǎng)內(nèi)通信假設(shè)一個(gè)局域網(wǎng)內(nèi)主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，它們的IP地址、MAC地址如下。假如主機(jī)A要與主機(jī)B通訊：首先A會(huì)檢查自己的ARP緩存中是否有這個(gè)地址對(duì)應(yīng)的MAC地址。如果沒有它就會(huì)向局域網(wǎng)的廣播地址發(fā)送ARP請(qǐng)求包，但是只有主機(jī)B才會(huì)響應(yīng)這個(gè)請(qǐng)求包，這樣主機(jī)A就得到了主機(jī)B的MAC地址，并且它會(huì)把這個(gè)對(duì)應(yīng)的關(guān)系存在自己的ARP緩存表中。39局域網(wǎng)間通信假設(shè)兩個(gè)局域網(wǎng)，其中一個(gè)局域網(wǎng)內(nèi)有主機(jī)A、主機(jī)B和網(wǎng)關(guān)C，另一個(gè)局域網(wǎng)內(nèi)有主機(jī)D和網(wǎng)關(guān)E。它們的IP地址、MAC地址如下。407.3.2ARP欺騙攻擊ARP欺騙攻擊原理ARP欺騙攻擊的危害41ARP欺騙攻擊原理ARP欺騙攻擊是利用ARP協(xié)議本身的缺陷進(jìn)行的一種非法攻擊，目的是為了在交換式網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。主機(jī)實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，它并不會(huì)去驗(yàn)證自己是否發(fā)送過這個(gè)ARP請(qǐng)求，而是直接用應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。

ARP攻擊的實(shí)現(xiàn)正是利用了這一點(diǎn)！為什么ARP欺騙可以實(shí)現(xiàn)？42ARP欺騙原理—原理圖03-03-03-03-03-03

ARP01-01-01-01-01-0102-02-02-02-02-02主機(jī)AMAC02-02-02-02-02-02這樣，A發(fā)給C的數(shù)據(jù)就會(huì)被發(fā)送到B，同時(shí)C發(fā)給A的數(shù)據(jù)也會(huì)被發(fā)送到B。這樣，B就成了A與C之間的“中間人”。主機(jī)BMAC03-03-03-03-03-03網(wǎng)關(guān)CMAC01-01-01-01-01-0103-03-03-03-03-03發(fā)送仿造ARP應(yīng)答包MAC地址是03-03-03-03-03-03

03-03-03-03-03-03發(fā)送仿造ARP應(yīng)答包MAC地址是03-03-03-03-03-03

03-03-03-03-03-0343ARP欺騙攻擊的危害ARP欺騙攻擊在局域網(wǎng)內(nèi)非常奏效，其危害有：致使同網(wǎng)段的其他用戶無法正常上網(wǎng)（頻繁斷網(wǎng)或者網(wǎng)速慢）。使用ARP欺騙可以嗅探到交換式局域網(wǎng)內(nèi)所有數(shù)據(jù)包，從而得到敏感信息。ARP欺騙攻擊可以對(duì)信息進(jìn)行篡改，例如，可以在你訪問的所有網(wǎng)頁(yè)中加入廣告。利用ARP欺騙攻擊可以控制局域網(wǎng)內(nèi)任何主機(jī)，起到“網(wǎng)管”的作用，例如，讓某臺(tái)主機(jī)不能上網(wǎng)。447.3.3ARP欺騙攻擊實(shí)例使用工具：ArpcheatandsnifferV2.1國(guó)內(nèi)開源軟件，它是一款arpsniffer工具，可以通過arp欺騙嗅探目標(biāo)主機(jī)的TCP、UDP和ICMP協(xié)議數(shù)據(jù)包。攻擊環(huán)境：在同一個(gè)交換式局域網(wǎng)內(nèi)受害者IP為3，MAC為00-0D-60-36-BD-05；網(wǎng)

關(guān)IP為54，

MAC為00-09-44-44-77-8A；攻擊者IP為8，MAC為00-07-E9-7D-73-E5。攻擊目的：攻擊者想得知受害者經(jīng)常登陸的FTP用戶名和密碼。45ARP攻擊實(shí)例--工具參數(shù)介紹-si

源ip-di

目的ip*代表所有,多項(xiàng)用“,”分割-sp

源端口-dp

目的端口*代表所有-w

嗅探方式，1代表單向嗅探[si->di]，0代表雙向嗅探

[si<->di]-p

嗅探協(xié)議[TCP,UDP,ICMP]大寫-m

最大記錄文件，以M為單位-o

文件輸出-hex

十六進(jìn)制輸出到文件-unecho

不回顯-unfilter

不過慮0字節(jié)數(shù)據(jù)包-low

粗略嗅探，丟包率高，cpu利用率低，基本0-timeout

嗅探超時(shí),除非網(wǎng)絡(luò)狀況比較差否則請(qǐng)不要調(diào)高,默認(rèn) 為120秒46ARP攻擊實(shí)例--工具參數(shù)介紹-sniffsmtp

嗅探smtp-sniffpop

嗅探pop-sniffpost

嗅探post-sniffftp

嗅探ftp-snifftelnet

嗅探telnet，以上5個(gè)嗅探不受參數(shù)si,sp,di,dp,w,p 影響. -sniffpacket

規(guī)則嗅探數(shù)據(jù)包,受參數(shù)si,sp,di,dp,w,p影響-sniffall

開啟所有嗅探-onlycheat

只欺騙-cheatsniff

欺騙并且嗅探-reset

欺騙后恢復(fù)-g[網(wǎng)關(guān)ip]-c[欺騙者ip][mac]-t[受騙者ip]-time[欺騙次數(shù)]47ARP攻擊實(shí)例--工具參數(shù)介紹使用舉例：arpsf-pTCP-dp25,110-of:\1.txt-m1-sniffpacket釋意：嗅探指定規(guī)則數(shù)據(jù)包并保存到文件arpsf-sniffall-cheatsniff-t-g54釋意:欺騙并且嗅探與外界的通訊，輸出到屏幕arpsf-onlycheat-t-c

002211445544-time100-reset釋意：對(duì)目標(biāo)欺騙一百次,欺騙后恢復(fù)arpsf-cheatsniff-t4-g54

-sniffpacket-pTCP-dp80,25,23,110-od:\siff.txt-w0-m1釋意：嗅探4與外網(wǎng)的tcp連接情況并指定目的端口是80,23,25,110,嗅探方式是雙向嗅探，最大記錄文件是1M，輸出到d盤sniff.txt文件中。其中54是網(wǎng)關(guān)的地址。也可改成同網(wǎng)段的其它地址，那就是網(wǎng)內(nèi)嗅探了。48ARP攻擊實(shí)例--攻擊過程（1）在WindowsXP下通過命令行啟動(dòng)軟件，運(yùn)行命令：arpsf-cheatsniff-t3-g54

-sniffpacket-pTCP-dp21-oc:\siff.txt-w0-m1含義是：嗅探3與其它主機(jī)的tcp連接情況并指定目的端口是21，嗅探方式是雙向嗅探，最大記錄文件是1M，結(jié)果輸出到C盤sniff.txt。其中54是網(wǎng)關(guān)的地址。49輸入命令輸出版本信息選擇獲取網(wǎng)卡的方法選擇用于欺騙的網(wǎng)卡50ARP攻擊實(shí)例--攻擊過程（2）當(dāng)Arpcheatsniff獲取了目標(biāo)機(jī)器、網(wǎng)關(guān)和本機(jī)的MAC之后，就開始欺騙目標(biāo)機(jī)器和網(wǎng)關(guān)。51ARP攻擊實(shí)例--攻擊過程（3）當(dāng)受害者機(jī)器上的用戶登陸了FTP之后，Arpcheatsniff就可以把用戶的操作記錄下來。當(dāng)軟件運(yùn)行了一段時(shí)間之后捕獲到的有用信息，存儲(chǔ)在C:\sniff.txt中。52非常明顯，我們能夠得知，主機(jī)3上有用戶登陸了ftp://14:21。用戶名和密碼都是movie。537.3.4ARP欺騙攻擊的檢測(cè)與防范如何檢測(cè)局域網(wǎng)中存在ARP欺騙攻擊？注意異?，F(xiàn)象：網(wǎng)絡(luò)頻繁掉線網(wǎng)速突然變慢使用ARP–a命令發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址與真實(shí)的網(wǎng)關(guān)MAC地址不相同虛假M(fèi)AC地址就是攻擊主機(jī)MAC地址。使用sniffer軟件發(fā)現(xiàn)局域網(wǎng)內(nèi)存在大量的ARPreply包包中指定MAC就是攻擊主機(jī)MAC地址。547.3.4ARP欺騙攻擊的檢測(cè)如何發(fā)現(xiàn)正在進(jìn)行ARP攻擊的主機(jī)？如果你知道正確的網(wǎng)關(guān)MAC地址，通過ARP–a命令看到的列出的網(wǎng)關(guān)MAC與正確的MAC地址不同，那就是攻擊主機(jī)的MAC。使用Sniffer軟件抓包發(fā)現(xiàn)大量的以網(wǎng)關(guān)IP地址發(fā)送的ARPreply包，包中指定的MAC就是攻擊主機(jī)的MAC地址。使用ARP保護(hù)程序如ArpFix，發(fā)現(xiàn)攻擊主機(jī)的MAC。557.3.4ARP欺騙攻擊的防范將IP地址和MAC地址綁定，使用靜態(tài)ARP緩存使網(wǎng)絡(luò)中每一臺(tái)計(jì)算機(jī)的IP地址與硬件地址一一對(duì)應(yīng)，用手工方法更新緩存中的記錄，使ARP欺騙無法進(jìn)行路由器的綁定在路由器上綁定主機(jī)的IP地址和MAC地址，啟用路由器自帶的防ARP攻擊功能，適用于網(wǎng)絡(luò)結(jié)構(gòu)及成員變化不大的情況。劃分VLAN通過VLAN技術(shù)可以在局域網(wǎng)中建立多個(gè)子網(wǎng)，這樣就限制了攻擊者的攻擊范圍。使用三層以上的交換機(jī)第三層的交換機(jī)技術(shù)采用的是IP路由交換協(xié)議，因此ARP攻擊在這種環(huán)境上不起作用。定期殺毒和使用ARP防火墻使用DHCPSnooping功能56ARP欺騙攻擊的防范-示例在Windows下使用靜態(tài)的ARP表假設(shè)已知網(wǎng)關(guān)54的MAC地址為：00-0f-7a-02-00-4b查看主機(jī)當(dāng)前的ARP表，命令為arp–a，可以查看到當(dāng)前的ARP表中的記錄，都是動(dòng)態(tài)的。把網(wǎng)關(guān)的arp記錄設(shè)置成靜態(tài)，命令為arp–s5400-0f-7a-02-00-4b；再次用arp–a命令查看ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的ARP記錄已經(jīng)設(shè)置成靜態(tài)，如圖：577.4電子郵件欺騙攻防你是否受過電子郵件的欺騙，收到下面郵件你如何處理？看似合理，卻與sina無關(guān)恐嚇性標(biāo)題混淆判斷的圖標(biāo)和簽名語(yǔ)法錯(cuò)誤，語(yǔ)序倒裝欺詐鏈接某些騙子冒充公司的同事或領(lǐng)導(dǎo)，向您索要公司通訊錄，或冒充網(wǎng)易或支付寶等官方名義實(shí)施欺詐，如果收到類似郵件，仔細(xì)檢查發(fā)件人是否是陌生人或來歷不明的郵件地址。如果是的話很可能是詐騙郵件。留意核實(shí)實(shí)情，多加確認(rèn)，請(qǐng)勿輕信。7.4電子郵件欺騙攻防597.4.1電子郵件欺騙原理攻擊者使用電子郵件欺騙有三個(gè)目的：隱藏自己的身份。攻擊者想冒充別人發(fā)送惡意E-mail。電子郵件欺騙能被看作是社會(huì)工程的一種表現(xiàn)形式。執(zhí)行電子郵件欺騙有三種基本方法，每一種有不同難度級(jí)別，執(zhí)行不同層次的隱蔽。它們分別是：利用相似的電子郵件地址攻擊者注冊(cè)一個(gè)看上去像受害者熟悉的名字的郵件地址。這樣收信人很可能會(huì)回復(fù)這個(gè)郵箱發(fā)來信，這樣攻擊者就有得到想要信息的可能性。修改郵件客戶軟件設(shè)置遠(yuǎn)程登錄到25號(hào)端口60修改郵件客戶軟件設(shè)置SMTP協(xié)議（即簡(jiǎn)單郵件傳輸協(xié)議）有著一個(gè)致命的缺陷：它所遵循的過于信任的原則。當(dāng)互聯(lián)網(wǎng)尚處于專為技術(shù)人員提供服務(wù)的發(fā)展階段時(shí)，SMTP建立在假定人們的身份和他們所聲稱一致基礎(chǔ)上。對(duì)于那些沒有設(shè)置SMTP身份驗(yàn)證功能的郵件服務(wù)器，例如右圖所示的Outlook郵件客戶軟件就不需要做相應(yīng)的設(shè)置，當(dāng)用戶使用郵件客戶軟件發(fā)出電子郵件時(shí)，發(fā)送郵件服務(wù)器不會(huì)對(duì)發(fā)件人地址進(jìn)行驗(yàn)證或者確認(rèn)，因此攻擊者能夠隨意指定他想使用的所有地址，而這些地址當(dāng)然會(huì)作為郵件源出現(xiàn)在收件人的信中。61修改郵件客戶軟件設(shè)置此外，在右圖所示的例子中，攻擊者還能夠指定他想要的任何郵件返回地址。因此當(dāng)用戶回信時(shí)，答復(fù)回到攻擊者所掌握的郵箱test@test，而不是回到被盜用了地址的人那里。62遠(yuǎn)程登錄到25號(hào)端口執(zhí)行電子郵件欺騙的一個(gè)比較復(fù)雜的方法是遠(yuǎn)程登錄到郵件服務(wù)器的25號(hào)端口。SMTP協(xié)議一般使用25號(hào)端口，郵件服務(wù)器通過它在互聯(lián)網(wǎng)上發(fā)送郵件。攻擊者首先找到郵件服務(wù)器的IP地址，或者通過運(yùn)行端口掃描程序來判斷哪些機(jī)器是25號(hào)端口開放的郵件服務(wù)器。然后輸入下面的命令：telnetIP地址25在連接上以后，再輸入下面的內(nèi)容：

HELO MAILFROM:欺騙偽裝的mail地址

RCPTTO:收件的受害者mail地址

DATA

郵件的內(nèi)容63遠(yuǎn)程登錄到25號(hào)端口-示例實(shí)驗(yàn)環(huán)境局域網(wǎng)mail服務(wù)器為50Mail服務(wù)器不需要身份驗(yàn)證內(nèi)有兩個(gè)用戶分別為：

liuy@lan.nipc chensl@lan.nipc實(shí)驗(yàn)方式偽裝成liuy@lan.nipc給chensl@lan.nipc發(fā)郵件64Email欺騙過程—telnet到服務(wù)器通過telnet，連接到郵件服務(wù)器的25端口。 在cmd.exe下使用的命令：

telnet5025結(jié)果如圖所示，說明已經(jīng)連接到了25端口65Email欺騙過程—發(fā)送郵件內(nèi)容自己需要輸入的內(nèi)容66Email欺騙過程—結(jié)果用戶chensl@lan.nipc將收到來自liuy@lan.nipc的郵件，如圖所示。但是liuy@lan.nipc并不知道自己發(fā)送了郵件。

試想，如果郵件的內(nèi)容里有病毒或者其它惡意代碼，且chensl@lan.nipc信任liuy@lan.nipc，那么將會(huì)是一件多么危險(xiǎn)的事情??！677.4.2電子郵件欺騙的防范樹立風(fēng)險(xiǎn)意識(shí)，不要隨意打開一個(gè)不可信任的郵件。此外，防范方法可從這幾個(gè)方面入手：對(duì)郵件接收者合理配置郵件客戶端，使每次總能顯示出完整的電子郵件地址，而不是僅僅顯示別名注意檢驗(yàn)發(fā)件人字段，不要被相似的發(fā)信地址所蒙蔽。對(duì)郵件發(fā)送者如果使用foxmail或者outlook之類的郵件客戶端，必須保護(hù)好這些郵件客戶端，防止他人對(duì)客戶端的設(shè)置進(jìn)行修改。對(duì)郵件服務(wù)器采用SMTP身份驗(yàn)證機(jī)制，發(fā)送郵件也需要驗(yàn)證。并使用與接收郵件相同的用戶名和密碼來發(fā)送郵件。郵件加密最廣泛的就是PGP郵件加密。687.5DNS欺騙攻防DNS工作原理DNS欺騙的原理及實(shí)現(xiàn)步驟DNS欺騙的局限性及防范697.5.1DNS工作原理DNS（DomainNameServer），即域名服務(wù)器當(dāng)一臺(tái)主機(jī)發(fā)送一個(gè)請(qǐng)求要求解析某個(gè)域名時(shí)，它會(huì)首先把解析請(qǐng)求發(fā)到自己的DNS服務(wù)器上。DNS的功能就是把域名轉(zhuǎn)換成IP地址。DNS服務(wù)器里有一個(gè)“DNS緩存表”，里面存儲(chǔ)了此DNS服務(wù)器所管轄域內(nèi)主機(jī)的域名和IP地址的對(duì)應(yīng)關(guān)系。例如，客戶主機(jī)需要訪問時(shí)，首先要知道的IP地址?？蛻糁鳈C(jī)獲得IP地址的唯一方法是向所在網(wǎng)絡(luò)的DNS服務(wù)器進(jìn)行查詢。查詢過程分四步進(jìn)行，見下頁(yè)圖。70DNS工作原理圖中有三臺(tái)主機(jī)：客戶主機(jī)、域DNS服務(wù)器和域DNS服務(wù)器。其中域DNS服務(wù)器直接為客戶主機(jī)提供DNS服務(wù)。1）客戶主機(jī)軟件(例如Web瀏覽器)需要對(duì)進(jìn)行解析，它向本地DNS服務(wù)器(域)發(fā)送域名解析請(qǐng)求，要求回復(fù)的IP地址；2)由于本地DNS服務(wù)器的數(shù)據(jù)庫(kù)中沒有的記錄，同時(shí)緩存中也沒有記錄。它會(huì)向網(wǎng)絡(luò)中的其它DNS服務(wù)器提交請(qǐng)求。這個(gè)查詢請(qǐng)求逐級(jí)遞交，直到域的DNS服務(wù)器收到請(qǐng)求；3)域DNS服務(wù)器將向域DNS服務(wù)器返回IP查詢結(jié)果(假定為)；4)域的本地DNS服務(wù)器最終將查詢結(jié)果返回給客戶主機(jī)瀏覽器，并將這一結(jié)果存儲(chǔ)到其DNS緩存當(dāng)中，以便以后使用。717.5.2DNS欺騙的原理當(dāng)客戶主機(jī)向本地DNS服務(wù)器查詢域名的時(shí)候，如果服務(wù)器的緩存中已經(jīng)有相應(yīng)記錄，DNS服務(wù)器就不會(huì)再向其他服務(wù)器進(jìn)行查詢，而是直接將這條記錄返回給用戶。入侵者欲實(shí)現(xiàn)DNS欺騙，關(guān)鍵就是在DNS服務(wù)器的本地Cache中緩存一條偽造的解析記錄。解析應(yīng)答IP為已被黑客篡改解析應(yīng)答并在本地緩存725.5.2DNS欺騙的原理有了對(duì)DNS服務(wù)器進(jìn)行欺騙的可能，攻擊者怎樣偽造DNS應(yīng)答信息就成了問題的焦點(diǎn)。有兩種可能情況下的實(shí)現(xiàn)辦法:攻擊者可以控制本地的域名服務(wù)器攻擊者無法控制任何DNS服務(wù)器73攻擊者可以控制本地的域名服務(wù)器攻擊者可以控制本地的域名服務(wù)器(假定是域)，在其數(shù)據(jù)庫(kù)中增加一個(gè)附加記錄，將攻擊目標(biāo)的域名(例如)指向攻擊者的欺騙IP。用戶向域DNS服務(wù)器發(fā)送對(duì)的域名解析請(qǐng)求時(shí)，將得到攻擊者的欺騙IP，同時(shí)域名服務(wù)器之間的通信將使這一虛假的映射記錄傳播到其他域名服務(wù)器上，從而造成更多的用戶被欺騙。74攻擊者無法控制任何DNS服務(wù)器更現(xiàn)實(shí)的情況，就是攻擊者無法控制任何DNS服務(wù)器，但可以控制該服務(wù)器所在網(wǎng)絡(luò)的某臺(tái)主機(jī)，并可以監(jiān)聽該網(wǎng)絡(luò)中的通信情況。這時(shí)候，攻擊者要對(duì)遠(yuǎn)程的某個(gè)DNS服務(wù)器進(jìn)行欺騙攻擊，所用的手段很像IP欺騙攻擊：首先，攻擊者要冒充某個(gè)域名服務(wù)器的IP地址；其次，攻擊者要能預(yù)測(cè)目標(biāo)域名服務(wù)器所發(fā)送的DNS數(shù)據(jù)包的ID號(hào)。75攻擊者無法控制任何DNS服務(wù)器攻擊者如果可以在某個(gè)DNS服務(wù)器的網(wǎng)絡(luò)中進(jìn)行嗅探，他只要向遠(yuǎn)程的DNS服務(wù)器發(fā)送一個(gè)對(duì)本地某域名的解析請(qǐng)求，通過嗅探得到的來自目標(biāo)DNS服務(wù)器的請(qǐng)求數(shù)據(jù)包（因?yàn)檫h(yuǎn)程DNS服務(wù)器肯定會(huì)轉(zhuǎn)而請(qǐng)求本地的DNS服務(wù)器），攻擊者就可以得到想要的ID號(hào)了。例如：域的DNS服務(wù)器向域的DNS服務(wù)器請(qǐng)求解析，如果攻擊者所偽造的DNS應(yīng)答包中含有正確的ID號(hào)，并且搶在域的DNS服務(wù)器之前向域的DNS服務(wù)器返回偽造信息，欺騙攻擊就將獲得成功的。76攻擊者無法控制任何DNS服務(wù)器確定目標(biāo)DNS服務(wù)器的ID號(hào)即為DNS欺騙的關(guān)鍵所在。DNS數(shù)據(jù)是通過UDP協(xié)議傳遞的，在DNS服務(wù)器之間進(jìn)行域名解析通信時(shí)，請(qǐng)求方和應(yīng)答方都使用UDP53端口，而這樣的通信過程往往是并行的，也就是說，DNS域名服務(wù)器同時(shí)可能會(huì)進(jìn)行多個(gè)解析過程，既然不同的過程使用相同的端口號(hào)，那靠什么來彼此區(qū)別呢?答案就在DNS報(bào)文里面。DNS報(bào)文格式最開始是所謂標(biāo)識(shí)（即ID），這個(gè)ID就是用于區(qū)別不同會(huì)話過程的。不同的解析會(huì)話，采用不同的ID號(hào)。77攻擊者無法控制任何DNS服務(wù)器即使攻擊者無法監(jiān)聽某個(gè)擁有DNS服務(wù)器的網(wǎng)絡(luò)，也有辦法得到目標(biāo)DNS服務(wù)器的ID號(hào)。首先，攻擊者向目標(biāo)DNS服務(wù)器請(qǐng)求對(duì)某個(gè)不存在域名地址（但該域是存在的）進(jìn)行解析。然后，攻擊者冒充所請(qǐng)求域的DNS服務(wù)器，向目標(biāo)DNS服務(wù)器連續(xù)發(fā)送應(yīng)答包，這些包中的ID號(hào)依次遞增。過一段時(shí)間，攻擊者再次向目標(biāo)DNS服務(wù)器發(fā)送針對(duì)該域名的解析請(qǐng)求：如果得到返回結(jié)果，就說明目標(biāo)DNS服務(wù)器接受了剛才的偽造應(yīng)答，繼而說明猜測(cè)的ID號(hào)在正確的區(qū)段上；否則，攻擊者可以再次嘗試。知道了ID號(hào)，并且知道了ID號(hào)的增長(zhǎng)規(guī)律，以下的過程類似于IP欺騙攻擊。78一次DNS欺騙攻擊的完整過程797.5.4DNS欺騙的檢測(cè)DNS欺騙由于以下兩條而在實(shí)際操作中受到限制：攻擊者不能替換緩存中已經(jīng)存在的記錄DNS服務(wù)器存在緩存（Cache）刷新時(shí)間問題DNS欺騙的檢測(cè)有以下幾種方法：被動(dòng)監(jiān)聽檢測(cè)法即監(jiān)聽、檢測(cè)所有DNS的請(qǐng)求和應(yīng)答報(bào)文。在限定的時(shí)間段內(nèi)一個(gè)請(qǐng)求如果會(huì)收到兩個(gè)或以上的響應(yīng)數(shù)據(jù)報(bào)文，則懷疑遭受了DNS欺騙攻擊。該檢測(cè)法不會(huì)添加額外的網(wǎng)絡(luò)流量負(fù)擔(dān)，但因其消極性無法檢測(cè)出網(wǎng)絡(luò)潛在攻擊威脅。主動(dòng)試探檢測(cè)法由DNS系統(tǒng)主動(dòng)發(fā)送檢測(cè)數(shù)據(jù)包檢測(cè)是否存在DNS欺騙攻擊。通常主動(dòng)發(fā)送的檢測(cè)數(shù)據(jù)包不可能接收到回復(fù)，如果收到回復(fù)說明系統(tǒng)受到DNS欺騙攻擊。主動(dòng)試探檢測(cè)法需要DNS系統(tǒng)主動(dòng)發(fā)送大量探測(cè)包，容易增加網(wǎng)絡(luò)流量負(fù)擔(dān)、導(dǎo)致網(wǎng)絡(luò)擁塞。807.5.4DNS欺騙的檢測(cè)DNS欺騙的檢測(cè)有以下幾種方法：交叉檢查查詢法客戶端接收DNS應(yīng)答包后反向?qū)NS服務(wù)器查詢應(yīng)答包中返回的IP對(duì)應(yīng)的DNS，如兩者完全一致則說明DNS系統(tǒng)未受到欺騙攻擊。該查詢方法介于前2種檢測(cè)方法之間，即對(duì)收到的數(shù)據(jù)包在被動(dòng)檢測(cè)基礎(chǔ)上再主動(dòng)驗(yàn)證，依賴于DNS反向查詢功能，但這需要DNS服務(wù)器支持此功能。使用TTL（生存時(shí)間）檢測(cè)DNS攻擊使用TTL的DNS攻擊檢測(cè)方法可對(duì)來自相同源IP地址的DNS請(qǐng)求數(shù)據(jù)包TTL值做實(shí)時(shí)對(duì)比，如相同源IP地址的TTL值變化頻繁則可對(duì)DNS請(qǐng)求分組做無遞歸的本地解析或丟棄。使用此方法可發(fā)現(xiàn)假IP地址并有效遏制域名反射放大攻擊。817.5.4DNS欺騙的防范DNS欺騙的防范可以從以下幾方面進(jìn)行：進(jìn)行IP地址和MAC地址的綁定，預(yù)防ARP欺騙攻擊使用DigitalPassword進(jìn)行辨別在不同子網(wǎng)的文件數(shù)據(jù)傳輸中，為預(yù)防竊取或篡改信息事件的發(fā)生，可以使用任務(wù)數(shù)字簽名技術(shù)即在主從域名服務(wù)器中使用相同的Password和數(shù)學(xué)模型算法，在數(shù)據(jù)通信過程中進(jìn)行辨別和確認(rèn)。優(yōu)化DNS服務(wù)器的相關(guān)項(xiàng)目設(shè)置對(duì)不同的子網(wǎng)使用物理上分開的域名服務(wù)器、限制DNS動(dòng)態(tài)更