lecture06-网络攻击的分析(欺骗)

网络攻击的分析—欺骗

（附加）王丽苹华东师范大学软件学院Monday,February6,20231OutlineInternet的安全缺陷（附加）TCP/IPoverview监听欺骗拒绝服务其它的一些攻击2欺骗技术IP欺骗假冒他人的IP地址发送信息邮件欺骗假冒他人的email地址发送信息Web欺骗你能相信你所看到的信息吗？DNS欺骗假冒合法的DNS服务器向请求方返回一个被篡改的域名到IP地址的应答其他欺骗术非技术性欺骗3IP欺骗：IPSpoofing(1of2)1985年RobertT.Morris在文章中首次提到了IP欺骗的概念含义：攻击者伪造数据包的源地址的攻击。IP欺骗先决条件IP数据包路由原则：根据目标地址进行路由IP欺骗的动机隐藏自己的IP地址，防止被跟踪以IP地址作为授权依据穿越防火墙4IP欺骗：IPSpoofing(2of2)IP欺骗模型的组成：攻击目标被攻击目标信任的一台“合法”主机攻击者IP欺骗的形式单向IP欺骗：不考虑回传的数据包双向IP欺骗：要求看到回传的数据包更高级的欺骗：TCP会话劫持5IP欺骗：实例攻击者和受信任主机位于同一个网段：如图：B信任A并允许它访问B的Rlogin服务，C想借助AB的信任关系访问B上的服务，具体步骤如下：C向A实施攻击使它不能正常工作。C更改自己的IP地址为A的IP地址C可以成功的向B请求服务，并使用其中的功能ABCA,B之间有信任关系攻击更改IP获取B的服务6电子邮件欺骗电子邮件欺骗的动机隐藏发信人的身份，匿名信挑拨离间，唯恐世界不乱骗取敏感信息……欺骗的形式使用类似的电子邮件地址修改邮件客户软件的账号配置直接连到smtp服务器上发信电子邮件欺骗成功的要诀与邮局的运作模式比较基本的电子邮件协议不包括签名机制发信可以要求认证7电子邮件欺骗--类似的电子邮件地址发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信例如:Tom为John的上司，Peter假冒Tom的名字在某邮件系统上以Tom的名义注册一个邮箱。然后冒充Tom向其下属John发送邮件，试图获得敏感信息

HelloJohn我是你的上司Tom，请把XXX发送给我我在外面度假，请送到我的个人信箱？她能相信吗？8电子邮件欺骗---修改邮件客户软件的帐户配置邮件帐户配置姓名(Name)属性：会出现在接收方“From”和“Reply-To”字段中，然后显示在“发件人”信息中电子邮件地址：会出现在接收方“From”字段中回复地址：会出现在“Reply-To”字段中，可以不填，默认与电子邮件地址相同以上信息可以在客户端按照自己的信息配制，帐号真实的地址为lipingwang@9电子邮件欺骗---修改邮件客户软件的帐户配置例如：利用上述更改后的信息给w.lp@163.com发送邮件，接收方收到什么信息呢？10电子邮件欺骗---修改邮件客户软件的帐户配置接收方的邮件详细信息，需要从邮件头中发现破绽。通过邮件客户端假冒的邮件地址。11电子邮件欺骗---修改邮件客户软件的帐户配置接收方回复的邮件将会到什么地址？冒充者最终不能收到返回的信息，但是可能会通过其他的方法窃听返回的邮件内容。12电子邮件欺骗---直接连到smtp服务器上发信telnet到邮件服务器的端口25，然后通过调用smtp的命令发送邮件。常见的smtp命令：helo

建立一次新的邮件连接mailfrom：指明发件人的地址rcptto：指明接收邮件人的地址data:邮件的内容（输入.号表示结束）quit:结束邮件交换13电子邮件欺骗---直接连到smtp服务器上发信例如：登陆某邮件服务器，发送邮件可以包含如下步骤：

（1）telnetwebmail.**.**.**25服务方反馈220ESMTP（2）客户端输入helo服务方反馈250HELO:（3）客户方输入mailfrom:“friend”hacker@

服务方反馈250OK(eyou

mta)（4）客户方输入rcptto:"wlp"<lipingwang@>服务方反馈250OK(eyou

mta)(_104857600)（5）客户方输入data服务方反馈354goahead(eyou

mta)（6）客户方输入邮件信息和结束标记”.”服务方反馈：250OK:hasqueued(eyou

mta)窗口中显示的仅仅是服务方向客户方的反馈信息，从客户端输入的字符将不会在窗口中显示14电子邮件欺骗---直接连到smtp服务器上发信在此例中客户端的输入信息和服务方的反馈信息可以对照如下helomailfrom:"friend"<hacker@>rcptto:"wlp"<lipingwang@>dataReply-To:"friend"<hacker@>From:"friend"<friend@>Subject:testDearfriend:pleasegiveyourmessage!.接收方会收到什么样的信息呢？15电子邮件欺骗---直接连到smtp服务器上发信接收方的信息：Data命令成功后输入的内容16防止邮件欺骗的措施服务器防欺骗措施邮件服务器的验证Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域验证发送者的域名是否有效，通过反向DNS解析审核制度，所有的邮件都有记录。（可能与隐私的保护有所冲突）用户防欺骗措施：不能防止一个用户通过类似的邮件地址冒充另一个用户发送邮件.用户需要有安全意识，发送邮件前查看邮件头核实对方身份后再回复。17Web欺骗Web是应用层上提供的服务，直接面向Internet用户，欺骗的根源在于由于Internet的开放性，任何人都可以建立自己的Web站点Web站点名字(DNS域名)可以自由注册，按先后顺序每一个使用web的用户对其运行的原理并不是很清楚Web欺骗的动机商业利益，商业竞争政治目的经济利益Web欺骗的形式：使用相似的域名、改写URL等18Web欺骗—使用类似的域名注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司的用户的信任，以便得到这些用户的信息例如，曾在网络中存在的假工行网站就用WWW.1CBC.COM来混淆WWW.ICBC.COM，骗取用户的帐户和密码信息

对于借助互联网从事商业活动或者电子货币服务的用户，应对这种欺骗提高警惕19Web欺骗--改写URL一个HTTP页面从Web服务器到浏览器的传输过程中，如果其中的内容被修改了的话，则欺骗就会发生，其中最重要的是URL改写URL改写可以把用户带到不该去的地方，例如：

<ahref=www.hackersite>WelcomtoICBC.</a>有一些更为隐蔽的做法直接指向一些恶意的代码把url定向放到script代码中，难以发现改写页面的做法入侵Web服务器，修改页面设置中间http代理在传输路径上截获页面并改写在客户端装载后门程序……20防止Web欺骗使用类似的域名注意观察URL地址栏的变化不要信任不可靠的URL信息改写URL查看页面的源文本可以发现禁止浏览器中的JavaScript功能，那么各类改写信息将无法完成。（但可能影响正常的浏览）使用ssl（SecurityScoketLayer）防止信息被改写

Web的安全问题很多，我们需要更多的手段来保证Web安全21关于欺骗技术的小结从这些欺骗技术，我们