黑客方式1、网络钓鱼攻击1.1、5种常见网络钓鱼方式1.2、网络钓鱼攻击概念1.3、网络钓鱼攻击常用手段1.4、网络钓鱼攻击防范
1、网络诈骗攻击
网络安全是21世纪各国面临的重大课题之一。 面对这一挑战,我国进行了产品解密、认证和访问控制、入侵检测与响应、安全分析与仿真、容灾等相应的研究与开发。 近年来,在与实际入侵者的交易中,网络诈骗作为一种有效的信息安全技术出现
1.1、五种常见的网络诈骗方式网络诈骗是通过诈骗让入侵者相信信息系统有价值、有漏洞,并且有攻击性可以窃取的资源,从而引导入侵者进入这些错误的资源。 提高入侵者的工作量、复杂性和不确定性,使入侵者不知道自己是有效还是成功。 另外,防护者可以跟踪入侵者的行动,在入侵者之前修复系统的安全漏洞。
1、ARP诈骗
地址解析协议(ARP )是一种在仅知道主机的IP地址时确定其物理地址的协议。 因为IPv4和以太网被广泛使用。 主要将IP地址翻译为以太网的MAC地址。 但是,它也可以用于异步传输(ATM )和FDDI (光纤分布式数据接口) IP网络。 的网络分发基于MAC地址而不是IP地址,计算机基于MAC地址识别机器。
区域a要向主机b发送消息,请查看本地ARP缓存表,找到对应于b的ip地址的MAC地址,然后转发数据。 如果找不到与b的ip对应的MAC地址,则a广播ARP请求消息(携带主机b的ip地址),并且互联网上的所有主机都将接收ARP请求,但只有主机b知道自己的ip地址,然后a 其中包含b的MAC地址,a接受来自b的响应,更新自己的ARP缓存。 然后用这个MAC地址发送数据。 ARP诈骗主要分为单向诈骗和双向诈骗。 a的地址为IP :192.168.1.1 MAC : aa-aa-aa-aa-aa-aa-aa-aa-aa-aa
b的地址为IP :192.168.1.2 MAC : bb- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- b
c的地址为IP :192.168.1.3 MAC : cc-cc-cc-cc-cc-cc-cc-cc
单向冒充a和c之间进行通信,此时b向a发送伪造的ARP响应。 该响应数据为源,IP地址为192.168.1.3(c的IP地址),MAC地址为b B- b B- b B- b B- b B- b B- b B- b B- b B- b B- b B- b B- B- b B- b B- b B- b b b B- b b b b B- b b b b b b B- b b b b B- b b b b b B- b b b B- B- b b b b B- b b b b B- b b b b b b b b MAC地址为b B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- a-B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- B- a-a-a-a-a-a-a-a-B- B- B- b (c被骗了。 )在这里,b假扮成了a。 到目前为止,主机a和c都被主机b欺骗了。 a和c之间的通信数据都经由b。 主机b完全可以知道他们之间说了什么。 这个典型的ARP诈骗过程。
阻断a和c通信的原理是b向a发送ARP数据包,内容为c的四肢为0033600033600033600033600336000336000033600003 (错误的地址),自此,a发送给c的数据包不再重复因为地址错误,所以通信被切断。 需要注意的是A-c中断,而C-a没有中断,因此称为单向诈骗。
切断c和a的通信,与实现原理相同。 如果同时切断,a和c的通信将完全切断。 即,ax-- c。
双向欺骗a需要和c正常通信。 实现的原理是,b对a说我是c,然后对c说我才是a,这样就可以修改a和c的所有ARP缓存表。 通信中,a将数据发送给b,b将数据重新发送给c。 反之亦然。
攻击机向被攻击机和网关发送ARP应答分组,他们各自将ARP缓存表修改为攻击机的MAC,以允许攻击机拦截他们之间的数据。
使用Sniffer杀手扫描整个LANIP段,以查找属于混乱模式的计算机。 使用tracert命令,在其中一台受影响的主机上打开DOS命令框,然后键入tracert 61.135.179.148。 在跟踪外网地址时,此ip病毒源头,除非第一个条目是缺省网关。 请检查默认网关的输入ipconfig。 2、IP地址伪装IP地址伪装时是指,通过再行动产生的IP分组是伪造的源IP地址,伪装其他系统和源的身份。 这是入侵的攻击形式。 入侵者使用一台计算机连接到互联网,借用另一台计算机的IP地址,冒充另一台计算机与服务器进行交互。 IP欺骗的本质是IP的伪造,它使一台计算机充当另一台计算机,利用主机之间的信任关系实现欺骗的目的。 如果两台计算机之间的信任关系是基于IP地址建立的,则可以使用rlogin命令登录到主机。 不需要密码认证。 这是IP欺骗的根本理论依据。
IP欺骗的过程包括:
首先选择目标主机,检测到其信任模式,并在目标主机上找到受信任的主机。 一旦找到受信任的主机,为了实现伪装,就会失去工作能力。 因为攻击者要取代受信任的主机,必须阻止真正受信任的主机接收有效的网络数据
,否则就会被拆穿。在被信任主机丧失工作能力以后伪装成为被信任主机,同时建立起与目标主机基于地址验证的应用连接。如果成功可以用一些简单的命令来方式后门,从而进行非授权的操作 以上就是IP地址欺骗的全过程。在这个过程看似简单,但实际上是需要做很多的工作。虽然可以通过编程的方式改变发出数据包的IP地址,但是TCP协议将对IP地址进一步的封装,不会使其轻易的得手。
由于TCP是面向连接的协议,所以在双方正式的传输数据之前,需要使用3次握手来建立一个稳定的连接。假设主机A和主机B来进行通信,主机B先发送带有SYN(同步序列标号)标志的数据段通知主机A建立TCP连接,TCP的可靠性就是有数据包中的多为控制字来提供的,其中最重要的数据序列SYN和数据确认标志ACK,且将TCP报头中的SYN设为自己本次连接中的初始值(ISN)。当主机A收到主机B的SYN包以后,会发送给主机B一个带有SYN+ACK标志的数据段,告知自己的ISN并确认主机A发送的第一个数据段,将ACK设置成主机B的SYN+1.当主机B确认主机A收到的SYN+ACK数据包,将ACK设置成主机A的SYN+1。主机A收到主机B的ACK后,连接成功建立。双方就可以正式的传输数据了。
假设黑客冒充主机B对主机A进行攻击,就要先使用主机B的IP地址发送SYN发送标志给A,但当主机A收到后并不会把SYN+ACK发送到黑客的主机上,而是发送到真正的主机B上,这时IP欺骗就会识破,因为B根本就没有发送SYN,所以要想冒充B,就一定不能使真正的主机B工作。
冒充域名服务器,把要查询的IP地址设置成为攻击者的IP地址,用户上网就是能看见攻击者的主页,而不是想要查看的网站主页了,这就是DNS欺骗的基本原理,DNS欺骗并不是真正的"黑掉"了对方的网站,只是冒名顶替、招摇撞骗罢了。
实际上,就是把攻击者自己的电脑设成目标域名的代理服务器。这样外界的进入目标计算机的数据流都在攻击者的监控之下,并且任意窃听和修改数据流的数据,从而收集大量的数据。和IP欺骗相似,DNS欺骗的技术在实现的时候会有一定的难度,为了克服这个难度,有必要了解DNS查询包的结构。
在DNS查询包中有一个标识IP,他是一个很重要的域,他的作用是鉴别每一个DNS数据包的印记,在客户端设置,由服务器返回,使用户匹配请求和响应。
如果某用户打开百度主页(www.baidu.com),黑客想通过假的域名服务器(220.181.6.8)进行欺骗,就要在真正的域名服务器(220.181.6.45)返回响应前先给出查询的用户的IP地址。但在DNS查询包中有一个重要的域就是标识ID,要使发送伪造的DNS信息包不被识破的话,就必须伪造出正确的ID。如果无法判断出该标记,DNS欺骗就无法进行。只要在局域网中安装了嗅探器,就可以知道用户的ID。要在internet上实现欺骗,只有发送大量的一定范围的DNS信息包来得到正确的ID。
电子邮件欺骗(email spoofing)就是伪造电子邮件头,导致信息看起来是源于某个人或某个地址,而实际上不是真正的源地址。垃圾邮件的发布者通常使用欺骗和恳求的方式尝试让收件人打开邮件,并尽最大可能让回复。
5、Web欺骗 web欺骗是一种电子信息欺骗,攻击者在其中创造了整个web世界的一个令人信服但是完全错误的拷贝。错误的web看起来是十分逼真,拥有相同的网页和链接。然而,攻击者控制者错误的web站点,这样受攻击者浏览器和和web之间的所有网络信息就完全被攻击者截获,其工作原理就是一个过滤器。
由于攻击者可以观察或者修改任何从受攻击者到web服务器的信息,同样控制着从web服务器的返回信息,这样攻击者就有许多发起攻击的可能性,包括监听和破获。现在绝大部分的公司都是采用的表单来完成业务,这就意味者攻击者可以获得用得账号和密码。即使受攻击者拥有一个“安全”连接(通常是通过Secure Sockets Layer来实现的,用户的浏览器会显示一把锁或者钥匙来表示处于安全连接),也无法逃脱被监视的命运。
在得到必要的数据后,攻击者可以通过修改受攻击者和web服务器商人和一个方向的数据进行破坏活动。可以修改受攻击者的确认数据,例如: 在购买东西时候的收货地址,数量,产品代码等。也可以修改web服务器的返回收据。例如:插入易于误解或者攻击性的资料,破坏在线公司和用户的关系等。
网络欺骗是黑客经常使用的一种攻击方式,也是一中隐蔽性较高的网络攻击方式。这里以网络钓鱼为例,来介绍攻击过程和防御措施。
网络钓鱼(Phishing,与钓鱼的英语fishing的发音相近,又名钓鱼法或钓鱼式攻击)是通过大量的发送声称来自银行或者其他的知名机构的欺骗性的垃圾邮件,意图引诱收件人给出敏感信息(如用户名、口令、账号ID、ATM PIN码等)的一种攻击方式。
由于网络钓鱼是一个非自我复制的恶意代码,所以需要向其他人发送复制文件,网络钓鱼可以作为电子邮件附件传播,或可能隐藏在用户进行交流的文档和其他文件中,还可以被其他恶意代码(如蠕虫)所携带。网络钓鱼有时也会隐藏在从互联网上下载的免费软件中。当用户安装这个软件时,木马就被在后台自动安装。
钓鱼攻击采用多种技术,使一封电子邮件信息或网页的显示同其运行表现出欺骗性差异。以下为一些常见的攻击技术。
1、复制图片和网页设计、相似的域名用户鉴别网站的一种方法是检查地址栏中显示URL。为了达到欺骗的目的,攻击者会注册一个域名,使看起来同要假冒的网站域名相似,有时还会改变大小写或使用特殊字符。由于大多数的浏览器的是以无衬线字体显示URL恶的,因此“paypal.com”可以冒充“paypaI.com”。更常见的是假域名只简单的将真与域名的一部分插入其中。而大多数的用户缺少判断一个假域名的工具和知识。
2、URL隐藏假冒URL的另一个方法的利用URL语法中较少用到的特性,用户名和密码可包含在域名前,语法为:http://username:passward@domain/。攻击者将看起来合理的一个域名放在用户名的位置,将真实的域名隐藏起来或者放在地址栏的最后。网页浏览器最近更新已经关闭了这个漏洞,其方法是在地址栏显示前将URL中的用户名和密码去掉,或者就是禁止用户名/密码这个URL语法,Internet Explorer就是用户了最后一种方法。
3、IP地址隐藏一台服务器身份最简单的方式就是以IP地址的方式显示,如:http://210.93.131.255,这种技术的有效性令人难以置信,由于许多合法的URL也包含一些不透明且不易来理解的数字,因此只有懂得解析URL且足够警觉的用户才有可能产生怀疑。
4、欺骗性的超链接一个超链接的标题完全独立于他指向的URL。攻击者会利用这种显示与运行的内在差异,在链接标题中显示一个URL,在背后使用一个完全不一样的URL,即使是一个有着丰富经验的用户,在看到显而易见的URL后也不会去检察其真正的URL。检查超链接目的地址的标准方式使把鼠标放在超链接上,让其显示真正的链接地址,但是、这种方式也有可能会被攻击者利用JavaScript或URL隐藏技术更改。
5、隐藏提示这是一种更加复杂的攻击,即不是在URL上做文章,而是完全替换地址栏或者状态栏到使其提供欺骗性提示信息的目的。在最近就发生过这样的攻击,攻击者使用了以JavaScript在Internet Explorer地址栏上创建了一个小窗口,它显示的是一个完全无关的URL。
6、弹出窗口弹出窗口攻击,有一次在对Citibank客户的一次攻击使网页技术前进了一步。他在浏览器中显示的是真实的Citibank网页,但在网页上弹出了一个简单的小窗口,要求输入个人信息。
7、社会工程钓鱼攻击还使用非技术手段使用户落入陷阱,其中一个策略就是急迫性,从而使用户急于采取行动,而花较少的时间去核实消息的真实性。另一个策略就是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或者关闭账号。少数攻击者还会许诺将获得巨额得回报(比如“你中了一个大奖”),一般威胁攻击会会比较常见,一般用户会为不劳而获会产生怀疑,但也不乏期盼天上掉馅饼得用户。
1.4、网络钓鱼攻击的预防网络钓鱼攻击从防范角度来说可以分为两个方面,一方面使对钓鱼攻击利用得资源进行限制,一般钓鱼攻击所利用得资源是有限的,比如WEB漏洞是web服务提供商可以直接修补的、邮件服务商可以通过域名反向解析邮件发送服务器来提醒用户是否接收匿名邮件、利用IM软件传播钓鱼URL链接是IM服务提供商是可以直接封杀的。另一方面是不可控的行为,比如浏览器漏洞,大家就必须打上补丁防御攻击者直接使用客户端的软件漏洞来发起钓鱼攻击,各个安全软件厂商也是会提供软件客户端的漏洞补丁。同时各大网站有义务保护好所有用户的隐私,有义务提醒所有用户防止钓鱼,以提醒用户的安全意识。在日常生活中,为了防止钓鱼应该做到以下几点:
不要轻易在网站上留下自己省份的任何资料,包括手机号、身份证号、银行卡号等。不要轻易在网上传输自己的隐私资料。不要轻易相信网上的消息,除非得到权威机构的证明。不要轻易在网站注册时透露自己的真是资料。如果涉及金钱交易、商业合同、工作安排等重大事项,不要仅仅只通过网络完成,有心的骗子会利用进行欺诈。不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。其他网络安全防范措施。一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是禁止浏览器运行JavaScript和ActiveX代码;四是不浏览未知网站或安装未知软件;五是提高自我保护意识,尽量避免在网吧等公共网站上浏览涉及隐私的网站或者服务。