黑客欺騙攻擊防范

許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地， 而且應(yīng)答包也可以回到源地， 那么源IP地址一定是有效的， 而這正是使源IP地址欺騙攻擊成為可能的前提。

　　CIO頻道每周熱"點(diǎn)"文章

　　CIO如何化解IT團(tuán)隊(duì)人際沖突？抱守與放棄：CIO該如何抉擇

　　如何重塑政府CIO職能？2009年CIO面臨的挑戰(zhàn)以及應(yīng)對策略

　　三個教訓(xùn) 我親歷的戰(zhàn)略轉(zhuǎn)型故事遠(yuǎn)離CEO“直覺決策” CIO如何把握時(shí)機(jī)？

　　IP欺騙攻擊

　　IP欺騙技術(shù)就是通過偽造某臺主機(jī)的IP地址騙取特權(quán)從而進(jìn)行攻擊的技術(shù)。 許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地， 而且應(yīng)答包也可以回到源地， 那么源IP地址一定是有效的， 而這正是使源IP地址欺騙攻擊成為可能的前提。

　　假設(shè)同一網(wǎng)段內(nèi)有兩臺主機(jī)A、B， 另一網(wǎng)段內(nèi)有主機(jī)X。 B授予A某些特權(quán)。 X為獲得與A相同的特權(quán)， 所做欺騙攻擊如下：首先， X冒充A， 向主機(jī)B發(fā)送一個帶有隨機(jī)序列號的SYN包。 主機(jī)B響應(yīng)， 回送一個應(yīng)答包給A， 該應(yīng)答號等于原序列號加1。 然而， 此時(shí)主機(jī)A已被主機(jī)X利用拒絕服務(wù)攻擊“淹沒”了， 導(dǎo)致主機(jī)A服務(wù)失效。 結(jié)果， 主機(jī)A將B發(fā)來的包丟棄。 為了完成三次握手， X還需要向B回送一個應(yīng)答包， 其應(yīng)答號等于B向A發(fā)送數(shù)據(jù)包的序列號加1。 此時(shí)主機(jī)X并不能檢測到主機(jī)B的數(shù)據(jù)包(因?yàn)椴辉谕�一網(wǎng)段)， 只有利用TCP順序號估算法來預(yù)測應(yīng)答包的順序號并將其發(fā)送給目標(biāo)機(jī)B。 如果猜測正確， B則認(rèn)為收到的ACK是來自內(nèi)部主機(jī)A。 此時(shí)， X即獲得了主機(jī)A在主機(jī)B上所享有的特權(quán)， 并開始對這些服務(wù)實(shí)施攻擊。

　　要防止源IP地址欺騙行為， 可以采取以下措施來盡可能地保護(hù)系統(tǒng)免受這類攻擊：

　　·拋棄基于地址的信任策略：阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎(chǔ)的驗(yàn)證。 不允許r類遠(yuǎn)程調(diào)用命令的使用；刪除.rhosts文件；工具下載：www.arpun.com 清空/etc/hosts.equiv文件。 這將迫使所有用戶使用其它遠(yuǎn)程通信手段， 如telnet、ssh、skey等等。

　　·使用加密方法：在包發(fā)送到網(wǎng)絡(luò)上之前， 我們可以對它進(jìn)行加密。 雖然加密過程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境， 但它將保證數(shù)據(jù)的完整性和真實(shí)性。

　　·進(jìn)行包過濾：可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同IP地址的連接請求。 而且， 當(dāng)包的IP地址不在本網(wǎng)內(nèi)時(shí)， 路由器不應(yīng)該把本網(wǎng)主機(jī)的包發(fā)送出去。

　　有一點(diǎn)要注意， 路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型的包。 但它們也是通過分析測試源地址來實(shí)現(xiàn)操作的。 因此， 它們僅能對聲稱是來自于內(nèi)部網(wǎng)絡(luò)的外來包進(jìn)行過濾， 若你的網(wǎng)絡(luò)存在外部可信任主機(jī)， 那么路由器將無法防止別人冒充這些主機(jī)進(jìn)行IP欺騙。

　　ARP欺騙攻擊

　　在局域網(wǎng)中， 通信前必須通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)。 ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義， 但是當(dāng)初ARP方式的設(shè)計(jì)沒有考慮到過多的安全問題， 給ARP留下很多的隱患， ARP欺騙就是其中一個例子。 而ARP欺騙攻擊就是利用該協(xié)議漏洞， 通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù)。

　　我們假設(shè)有三臺主機(jī)A,B,C位于同一個交換式局域網(wǎng)中， 監(jiān)聽者處于主機(jī)A， 而主機(jī)B,C正在通信。 現(xiàn)在A希望能嗅探到B->C的數(shù)據(jù)， 于是A就可以偽裝成C對B做ARP欺騙——向B發(fā)送偽造的ARP應(yīng)答包， 應(yīng)答包中IP地址為C的IP地址而MAC地址為A的MAC地址。 這個應(yīng)答包會刷新B的ARP緩存， 讓B認(rèn)為A就是C， 說詳細(xì)點(diǎn)， 就是讓B認(rèn)為C的IP地址映射到的MAC地址為主機(jī)A的MAC地址。 這樣， B想要發(fā)送給C的數(shù)據(jù)實(shí)際上卻發(fā)送給了A， 就達(dá)到了嗅探的目的。 我們在嗅探到數(shù)據(jù)后， 還必須將此數(shù)據(jù)轉(zhuǎn)發(fā)給C， 這樣就可以保證B,C的通信不被中斷。

　　以上就是基于ARP欺騙的嗅探基本原理， 在這種嗅探方法中， 嗅探者A實(shí)際上是插入到了B->C中， B的數(shù)據(jù)先發(fā)送給了A， 然后再由A轉(zhuǎn)發(fā)給C， 其數(shù)據(jù)傳輸關(guān)系如下所示：

　　B->A->C

　　B<A<--C

　　于是A就成功于截獲到了它B發(fā)給C的數(shù)據(jù)。 上面這就是一個簡單的ARP欺騙的例子。

　　ARP欺騙攻擊

　　有兩種可能， 一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)電腦ARP表的欺騙， 當(dāng)然也可能兩種攻擊同時(shí)進(jìn)行。 但不管怎么樣， 欺騙發(fā)送后， 電腦和路由器之間發(fā)送的數(shù)據(jù)可能就被送到錯誤的MAC地址上。

　　防范ARP欺騙攻擊可以采取如下措施：

　　·在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令

　　·在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。

　　·在路由器上做IP地址與MAC地址的靜態(tài)綁定

　　·使用“ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表。

　　DNS欺騙攻擊

　　DNS欺騙即域名信息欺騙是最常見的DNS安全問題。 當(dāng)一個DNS服務(wù)器掉入陷阱， 使用了來自一個惡意DNS服務(wù)器的錯誤信息， 那么該DNS服務(wù)器就被欺騙了。 DNS欺騙會使那些易受攻擊的DNS服務(wù)器產(chǎn)生許多安全問題， 例如：將用戶引導(dǎo)到錯誤的互聯(lián)網(wǎng)站點(diǎn)， 或者發(fā)送一個電子郵件到一個未經(jīng)授權(quán)的郵件服務(wù)器。 網(wǎng)絡(luò)攻擊者通常通過以下幾種方法進(jìn)行DNS欺騙。

　　(1)緩存感染

　　黑客會熟練的使用DNS請求， 將數(shù)據(jù)放入一個沒有設(shè)防的DNS服務(wù)器的緩存當(dāng)中。 這些緩存信息會在客戶進(jìn)行DNS訪問時(shí)返回給客戶， 從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的Web服務(wù)器或郵件服務(wù)器上， 然后黑客從這些服務(wù)器上獲取用戶信息。

　　(2)DNS信息劫持

　　入侵者通過監(jiān)聽客戶端和DNS服務(wù)器的對話， 通過猜測服務(wù)器響應(yīng)給客戶端的DNS查詢ID。 每個DNS報(bào)文包括一個相關(guān)聯(lián)的16位ID號， DNS服務(wù)器根據(jù)這個ID號獲取請求源位置。 黑客在DNS服務(wù)器之前將虛假的響應(yīng)交給用戶， 從而欺騙客戶端去訪問惡意的網(wǎng)站。

　　(3)DNS重定向

　　攻擊者能夠?qū)�DNS名稱查詢重定向到惡意DNS服務(wù)器。 這樣攻擊者可以獲得DNS服務(wù)器的寫權(quán)限。

　　防范DNS欺騙攻擊可采取如下措施：

　　·直接用IP訪問重要的服務(wù)， 這樣至少可以避開DNS欺騙攻擊。 但這需要你記住要訪問的IP地址。

　　·加密所有對外的數(shù)據(jù)流， 對服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議， 對一般用戶應(yīng)該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 這也并不是怎么容易的事情。

　　源路由欺騙攻擊

　　通過指定路由， 以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文， 使受攻擊主機(jī)出現(xiàn)錯誤動作， 這就是源路由攻擊。 在通常情況下， 信息包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的， 數(shù)據(jù)包本身只知道去往何處， 但不知道該如何去。 源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里， 使數(shù)據(jù)包循著一個對方不可預(yù)料的路徑到達(dá)目的主機(jī)。 下面仍以上述源IP欺騙中的例子給出這種攻擊的形式：

　　主機(jī)A享有主機(jī)B的某些特權(quán)， 主機(jī)X想冒充主機(jī)A從主機(jī)B(假設(shè)IP為aaa.bbb.ccc.ddd)獲得某些服務(wù)。 首先， 攻擊者修改距離X最近的路由器， 使得到達(dá)此路由器且包含目的地址aaa.bbb.ccc.ddd的數(shù)據(jù)包以主機(jī)X所在的網(wǎng)絡(luò)為目的地；然后， 攻擊者X利用IP欺騙向主機(jī)B發(fā)送源路由(指定最近的路由器)數(shù)據(jù)包。 當(dāng)B回送數(shù)據(jù)包時(shí)， 就傳送到被更改過的路由器。 這就使一個入侵者可以假冒一個主機(jī)的名義通過一個特殊的路徑來獲得某些被保護(hù)數(shù)據(jù)。

　　為了防范源路由欺騙攻擊， 一般采用下面兩種措施：

　　·對付這種攻擊最好的辦法是配置好路由器， 使它拋棄那些由外部網(wǎng)進(jìn)來的卻聲稱是內(nèi)部主機(jī)的報(bào)文。

　　·在路由器上關(guān)閉源路由。 用命令no ip source-route。