网关欺骗 网络欺骗攻击浅析

16004488

近年来，在对付入侵者的过程中，另一种有效的网络安全技术也逐渐进入人们的视野，那就是网络欺骗。网络欺骗是为了让入侵者相信信息系统中存在有价值的、可利用的安全弱点，存在一些可以被攻击和窃取的资源，并把入侵者引向这些错误的资源。

一种或五种常见的网络欺骗方式

用户可以通过浏览器访问各种Web站点，普通用户并没有意识到以下问题:正在访问的网页被黑客篡改，网页上的信息是虚假的。比如黑客把用户想浏览的网页的URL重写为指向黑客自己的服务器。用户在浏览目标网页时，其实是向黑客的服务器发出请求，让黑客达到欺骗的目的。网络欺骗的主要方式有ARP欺骗、IP欺骗、域名欺骗、Web欺骗和电子邮件欺骗。下面描述这类欺骗的攻击原理。

1.ARP欺骗

ARP的作用是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的畅通。在局域网中，网络中实际传输的是带有目标主机MAC地址的帧。因此，为了在一台主机和另一台主机之间直接通信，必须通过地址解析协议获得目标主机的MAC地址。地址解析是主机在发送帧之前将目标IP地址转换为目标MAC地址的过程。ARP欺骗是黑客常见的攻击方式之一。ARP欺骗可以分为两种方式:欺骗路由器ARP表和欺骗内网网关。

(1)欺骗路由器ARP表:其本质是拦截网关数据。它将内网中一系列错误的MAC地址通知路由器，并按照一定的频率持续做，使得真实的地址信息无法通过更新保存在路由器中。结果，路由器的所有数据只能发送到错误的MAC地址，导致正常的计算机无法接收到信息。

(2)欺骗内网网关:其本质是伪造网关。它建立一个假网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器上网。

一般来说，ARP欺骗攻击的后果是非常严重的。只有一台电脑可以成功感染，这可能导致整个局域网无法接入互联网，甚至导致整个网络严重瘫痪。

2.IP欺骗

IP欺骗的技术比较复杂，不是简单的从猫画虎就能掌握的。但作为常规攻击手段，要了解其原理，至少有利于提高自己的安全意识。

IP欺骗是伪造他人的源IP地址，其本质是让一台计算机扮演另一台计算机的角色，以达到欺骗的目的。IP欺骗是利用主机之间的信任关系实现的。如果两台主机之间的信任关系是基于ip地址建立的，那么在冒用另一台计算机的IP地址的前提下，可以使用rlogin命令登录主机，而无需任何密码验证，这是IP欺骗最根本的理论基础。

IP欺骗的实现过程如下:

(1)选择目标计算机。并且已经发现了它的信任模式，找到了目标主机信任的主机。

(2)一旦发现可信主机，往往为了达到伪装而失去工作能力。由于黑客会取代真正可信的主机，所以需要确保真正可信的主机不能接收到任何有效的网络数据，否则黑客就会被暴露。

(3)可信主机失去工作能力后，黑客伪装成可信主机，基于地址认证与目标主机建立应用连接。如果成功，黑客可以用一个简单的命令，把系统的后门给未经授权的操作。

这就是IP欺骗攻击的全过程。这个过程看起来完美而简单，但实际上，还有很多工作要做。虽然发送的数据包的IP地址可以通过编程改变，但TCP协议对IP的进一步封装不会让黑客轻易得逞。

因为TCP是面向连接的协议，所以在双方正式传输数据之前，需要使用3次握手来建立稳定的连接。假设主机A与主机B通信，主机B首先发送一个带有SYN标志的数据段，通知主机A建立TCP连接。TCP的可靠性是由数据包中的多位控制字提供的，其中最重要的是数据序列SYN和数据确认标志ACK，在这个连接中，TCP报头中的SYN被设置为其初始值(ISN)。主机A收到主机B发送的SYN包后，会向主机B发送一个带有SYN+ACK标志的数据段，通知其ISN并确认主机A发送的第一个数据段，并将ACK设置为主机B的SYN+1..

主机b确认收到主机a的SYN+ACK数据包后，将主机a的确认设置为SYN+1..主机A收到主机B的ACK后，连接成功建立，双方可以正式传输数据。黑客要想冒充主机B攻击主机A，必须先用主机B的IP地址给A发送SYN标志，但A收到后，不会给黑客的主机发送SYN+ACK，而是会发给真正的B，此时IP欺骗失败，因为B从来不发送SYN请求。所以，要想冒充b，首先要让b失去工作能力。

这时候最难的就是攻击a了，你一定知道a用的是什么is，TCP用的is是一个32位的计数器，范围从0到4294967295。TCP为每个连接选择一个初始序列号。为了防止三次握手受到延迟和重传的干扰，不能随机选择ISN，不同的系统有不同的算法。

因此，为了攻击目标主机，需要知道目标主机使用的数据包序列号。黑客首先与被攻击主机的一个端口建立正常连接(如与SMTP对应的端口)。通常这个过程会重复几次，存储目标主机最后发送的ISN。黑客还需要猜测他的主机和可信主机之间的RTT时间(往返时间)，这是通过多个统计平均值计算出来的。RTT对于评估下一个信息社会网络非常重要。Is每秒增加128，000，每次连接增加64，000。

现在估计ISN的规模已经不难了，12.8万倍于RTT的一半。如果目标主机此时刚刚建立连接，请添加64000。在估计了ISN的规模后，攻击立即开始。如果攻击者估计正确，目标主机将收到确认。此时，数据传输将开始。一般来说，攻击者会在系统中设置后门进行入侵。

3.域名系统欺骗

当主机发送解析域名的请求时，它首先将解析请求发送到自己的DNS(域名服务器)服务器。DNS欺骗是攻击者冒充域名服务器的欺骗行为。如果可以冒充域名服务器，然后将查询到的IP地址设置为攻击者的IP地址，用户只能在互联网上看到攻击者的主页，而不能看到用户想要获取的网站的主页。这是DNS欺骗的基本原理。其实DNS恶搞并不是真正的“黑”对方网站，而是冒名顶替和诈骗。

事实上，攻击者的计算机被设置为目标域名的代理服务器，使得所有从外界进入目标计算机的数据流都处于黑客的监视之下，黑客可以随意窃听甚至修改数据流中的数据，收集大量信息。类似于IP欺骗，DNS欺骗技术的实现还是比较困难的。为了克服这些困难，需要了解DNS查询包的结构。

DNS查询包中有一个标识IP，是一个非常重要的域。它的功能是识别每个DNS包的时间戳，从客户端设置，服务器返回，让用户的匹配请求对应。如果用户想打开百度主页(www.baidu.com)，黑客想通过假域名服务器(如220.181.6.45)进行欺骗，必须在真域名服务器(220.181.6.18)回复之前给出被查询用户的IP地址。

但是，DNS查询包中有一个重要的域，就是标识ID。如果你想防止伪造的DNS数据包被检测到，你必须伪造正确的ID。如果无法识别标签，则无法执行DNS欺骗。只要局域网上安装了嗅探器，就可以通过嗅探器知道用户的ID。但是为了在网上作弊，我们必须在一定范围内发送大量的DNS数据包才能得到正确的ID。

4.电子邮件欺骗

电子邮件欺骗是指修改电子邮件的邮件头，使信息看起来像来自真实的源地址以外的地址。这种欺骗一般只要用户警惕就不会太有害。攻击者使用电子邮件欺骗有三个目的:隐藏自己的身份；以他人身份发送邮件；电子邮件欺骗可以看作是社会工程的一种表现。例如，如果攻击者想让一个用户给他发送一个敏感文件，而攻击者伪装自己的电子邮件地址，让用户认为这是老板的请求，那么用户可能会给他发送这个文件。

执行电子邮件欺骗有几种基本方法，每种方法都有不同的难度级别，并且执行不同级别的隐藏。

(1)类似的电子邮件地址。通过这种类型的攻击，攻击者可以找到公司经理的名字。攻击者用这个名字注册一个看起来像高级经理名字的电子邮件地址，然后用经理的名字填写电子邮件的别名字段。因为电子邮件地址看起来是正确的，所以收件人很可能会回复它，这样攻击者就会得到他想要的信息。

(2)远程联系并登录端口25。一种更复杂的邮件欺骗方法是远程登录邮件服务器的端口25(邮件服务器通过该端口在互联网上发送邮件)。当攻击者想要向用户发送消息时，他先写一条消息，然后单击发送。接下来，它的邮件服务器联系用户的邮件服务器，在端口25发送信息，并传输信息。

5.网络欺骗

网络欺骗是一种电子信息欺骗。错误的Web看起来很现实，而且有相同的页面和链接。但是黑客控制了错误的网站，使得攻击者的浏览器和Web之间的所有网络信息都被攻击者完全截获，其工作原理就像一个过滤器。黑客可以监控目标计算机的网络信息，记录访问的网页和内容等。当用户填写表单并发送时，数据将被发送到Web服务器，Web服务器将返回必要的信息，但不幸的是，攻击者可以完全拦截并使用它。大多数在线公司使用表单来完成他们的业务，这意味着攻击者可以获得用户的帐户和密码。

在获得必要的数据后，攻击者可以在受害者和Web服务器之间的任何方向修改数据，以进行一些破坏性活动。攻击者修改受害者的确认数据。如果在线订购产品，黑客可能会修改产品代码、数量或要求。黑客还可以修改Web服务器返回的数据信息，比如插入误导性或攻击性的材料，破坏用户与在线公司的关系。

第二，网络钓鱼攻击

网络欺骗攻击是黑客的常见攻击，也是一种高度隐蔽的网络攻击。以网络钓鱼为例，介绍其攻击过程和防御措施。

网络钓鱼(类似钓鱼的英文钓鱼发音，也称为钓鱼或钓鱼攻击)是一种试图通过发送大量声称来自银行或其他知名机构的欺诈性垃圾邮件来引诱收件人回复敏感信息(如用户名、密码、帐户标识、ATM个人识别码或信用卡详细信息)的攻击方法。最典型的网络钓鱼攻击是通过精心设计将收件人引诱到与目标组织的网站非常相似的网络钓鱼网站，并获取收件人在该网站上输入的个人信息。通常，用户不会注意到这个攻击过程。

这种个人信息对黑客很有吸引力，因为它使黑客能够冒充受害者进行一系列非法活动，从而获得经济利益。受害者往往遭受重大经济损失，甚至所有个人信息都被窃取并用于犯罪目的。虽然钓鱼网站生存时间很短，只有几天甚至更短，但一些接触欺诈信息的用户仍然会对这些骗局做出反应。

因为网络钓鱼是一种非自我复制的恶意代码，所以有必要向他人发送一个副本文件。网络钓鱼可以作为电子邮件附件传播，也可以隐藏在用户与其他用户通信的文档和其他文件中，还可以由其他恶意代码(如蠕虫)携带。网络钓鱼有时隐藏在从互联网下载的免费软件中。当用户安装该软件时，木马会自动安装在后台。

三、网络钓鱼攻击的常见手段

从最初的欺诈性电子邮件信息到后来的虚假网上银行和网上证券，网络钓鱼攻击近年来变得越来越激烈。

1.发送电子邮件，用虚假信息引诱用户进入陷阱

黑客以垃圾邮件的形式发送大量欺诈邮件。这些电子邮件经常通过赢得奖品、检查账户等来引诱用户填写他们的金融账户和密码。，或者出于各种原因要求收件人登录网页，提交用户名、密码、身份证号、信用卡号等信息。，从而窃取用户资金。

有一种欺骗用户帐户和密码的“网络钓鱼”电子邮件。该邮件利用IE图片映射地址的欺骗漏洞，精心设计脚本程序，通过弹出窗口屏蔽IE浏览器地址栏，让用户看不到网站的真实地址。当用户使用未修补的Outlook打开此邮件时，状态栏中显示的链接为假。当用户点击链接时，其实是连接到了一个钓鱼网站，一旦用户输入账号和密码，个人信息很有可能被黑客窃取。

2.建立假冒的网上银行和网上证券网站，骗取用户账号和密码进行盗窃

黑客创建域名和网页内容与真实网银系统和网上证券交易平台非常相似的网站，以诱使用户输入账号、密码等信息，然后通过真实网银和网上证券系统或者通过伪造银行储蓄卡、证券交易卡窃取资金。此外，还可以使用跨站点脚本，即利用合法网站服务器程序的漏洞，在部分网页中插入恶意HTML代码，屏蔽一些可以用来鉴别网站真实性的重要信息，使用cookies窃取用户信息。

如果你想要一个假的银行网站，网站是http://www.1cbc.com.cn，真正的银行网站是http://www.icbc.com.cn，犯罪分子试图利用数字1和字母I非常相似的特点来欺骗粗心的用户。

3.利用虚假电子商务进行欺诈

就这样，黑客在收到受害者的购物汇款后，通过建立电子商务网站或在知名大型电子商务网站上发布虚假销售信息而消失。

除了少数人自己创建电商网站，大部分人都使用一些电商网站，比如“JD。COM、“淘宝”、“天猫”，以“超低价格”、“免税”、“走私货”、“义卖”等名义发布虚假信息，销售各种产品。许多人被低价的诱惑所欺骗。同时，由于网上交易多为异地交易，通常需要汇款。不法分子一般要求消费者先支付部分款项，然后以各种理由诱骗消费者支付各种名目的余额或其他款项。当他们拿到钱或被抓时，他们立即切断与消费者的所有联系。

4.使用木马和黑客技术窃取用户信息，然后实施盗窃活动

特洛伊木马一般通过发送电子邮件或在网站中隐藏特洛伊木马来广泛传播。感染木马的用户在进行网上交易时，木马可以通过键盘记录获取用户账号和密码，并发送到指定邮箱，严重威胁用户资金。

比如Troj_HidWebmon这种窃取个人网上银行账户和密码的木马及其变种，甚至可以窃取用户的数字证书。再比如“证券窃贼”木马，可以通过截图将用户的web登录界面保存为图片，发送到指定邮箱。黑客通过对比图片中鼠标的点击位置破译用户账号和密码，从而突破软键盘密码保护技术，严重影响投资者网上证券交易的安全性。

5.使用用户弱密码和其他漏洞来破解和猜测用户帐户和密码

黑客利用部分用户觊觎的漏洞，方便设置弱密码，破解银行卡等密码。比如有的黑客从网上搜索某银行的储蓄卡号码，然后登录该银行的网银网站，试图破解弱密码，屡试不爽。事实上，黑客在网络诈骗犯罪活动中往往会结合几种方法，通过手机短信、QQ、微信等通信工具进行各种“钓鱼”非法活动。

第四，防范网络钓鱼攻击

鉴于网络诈骗通常为犯罪分子所采用，广大用户应防范网络钓鱼，并应做到以下几点:

(1)不要在网上留下任何证明自己身份的信息，包括手机号、身份证号、银行卡号等。

(2)不要通过网络传输你的私人信息，包括银行卡号、身份证号、电商网站账号等信息，不要通过QQ、微信、Email等软件传播，否则可能被黑客用于诈骗。

(3)不要相信网上的消息，除非有权威来源证明。比如经常在网上论坛、新闻组、QQ、微信等发布谣言。，等待窃取用户身份信息的机会。

(4)在网站注册时不要透露自己的真实信息，如地址、家庭电话、手机号码、使用的银行账户等。骗子可能会利用这些信息欺骗朋友。

(5)如果涉及到货币交易、商业合同、工作安排等重大问题，就不应该只通过互联网来完成。诡计多端的骗子可能通过这些渠道知道用户的信息，等待作弊的机会。

(6)不要相信中奖信息、推广信息等。通过电子邮件、在线论坛等发布。，除非用其他方法证明。因为正规公司一般不会通过电子邮件向用户发送获奖信息和推广信息。

(7)其他网络安全防范措施。第一，安装防火墙和杀毒软件，经常升级；二是经常给系统打补丁，堵塞软件漏洞；三是禁止浏览器运行Java和ActiveX代码；第四，不要浏览不熟悉的网站，不要执行从网上下载后没有消毒的软件；第五，提高自我保护意识，尽量避免在网吧等公共场所使用网上电商服务。