网络钓鱼

网络钓鱼的原理及防范

网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。

获取敏感数据

*用户名

*口令

*账号ID

防范方法

*申请并安装数字证书（数字证书可验证双方身份的真实性）

*规范使用操作：

◆做到“三及时一避免”；不在不安全的地点进行在线交易；

◆不盲目接受英文邮件；认真查对短信的来源；

◆对要求重新输入账号信息要进行电话验证；

◆访问网站一定使用浏览器直接访问。

练习：

以下方法不能防范网络钓鱼的是（）。

A． 申请并安装数字证书

B． 及时安装操作系统补丁

C． 及时安装并升级杀毒软件

D． 尽量避免使用浏览器直接访问网站

答案：D。 数字证书保证身份真实性，安装补丁修复漏洞，安装杀毒软件查杀都是可以防范网络钓鱼的。

ARP欺骗

ARP欺骗（ARP spoofing），又称ARP毒化（ARP poisoning，网络上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连线。

1、攻击者C聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。

2、主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。

攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。

3、主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。

4、当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。

5、当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。

6、攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。

ARP欺骗的防范措施

防范方法

*在winxp下输入命令：arp-s gate-way-ip gate-way-mac

这命令进行ARP表固化，阻止ARP欺骗。

*使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

*采用双向绑定的方法解决并且防止ARP欺骗。（MAC地址和IP地址双向绑定）

*使用ARP防护软件---ARPGuard。通过系统底层核心驱动，无需安装其他任何第三方软件，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源，无需对计算机进行IP地址及MAC地址绑定，从而避免大量且无效的工作量。

练习：

以下关开ARP欺骗说法错误的是（）。

A． 实施ARP欺骗时首先应使要伪装的主机瘫痪，然后冒充该主机发送伪造的ARP应答

B． 当被攻击的主机接收到伪造的ARP应答后，就会更新本地的ARP缓存，从而IP地址不变，MAC地址换成攻击者的了。

C． 使用双向绑定的方法不能解决并防止ARP欺骗

D． 使用ARPGuard可以防范ARP欺骗

答案：C.。

DNS欺骗

DNS欺骗的原理

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了

DNS欺骗的检测

检测方法

被动监听检测：通过旁路监听的方式，捕获所有DNS请求和应答数据包，并为其建立一个请求应答映射表，如在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则判断定受到了DNS欺骗攻击。

虚假报文探测：采用主动发送探测包的手段来检测网络内是否存在DNS欺骗攻击者。

交叉检查查询：在客户端收到DNS应答包之后，向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字，如二者一致说明没有受到攻击，否则说明被欺骗。

练习：

以下关于DNS欺骗说法错误的是（）。

A． DNS欺骗首先是要冒充域名服务器

B． DNS欺骗其实质就是“黑掉”对方的网站

C． 通过旁路监听的方式捕获所有DNS请求和应答数据包，并建立请求应答映射表，可以检测出DNS欺骗

D． 使用交叉检查查询可以检测DNS欺骗

答案：B。 不是黑掉，而是伪装冒充的方式。

IP欺骗

IP欺骗的过程及防范

IP欺骗的过程

①首先使被冒充主机的网络暂时瘫痪；

②然后连接到攻击的主机的某个端口来猜测ISN基值和增加规律；

③接下来把源地址伪装成被冒充主机的地址，发送带有SYN标准的数据段请求连接；

④然后等待被攻击的主机发送SYN+ACK包给已经瘫痪的主机；

⑤最后再次伪深圳市成被冒充主机向被攻击主机发送ACK，此时发送的数据段带有预测的目标的ISN+1；

⑥连接建立，发送命令请求。

防范方法

*删除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC机制无法应用。

*通过设置防火墙过滤来自外部，而信源地址却是内部IP的报文。

练习：

以下关于IP欺骗说法错误的是（）。

A． IP欺骗首先要使被冒充主机的网络瘫痪

B． 在UNIX中预防IP欺骗可以通过删除和修改相关文件来实现

C． 可以通过设置防火墙来防范IP欺骗

D． IP欺骗一般不会对目标系统造成损坏

答案：D。 IP欺骗的目的1是发送大量的数据包使目标主机无法正常工作，2是伪装成为目标主机，要伪装就得先使目标主机瘫痪。

SQL注入攻击

SQL注入攻击过程

①发现SQL注入位置；

②判断后台数据库类型；

③确定XP_CMDSHELL可执行情况；

④发现WEB虚拟目录；

⑤上传ASP木马；

⑥得到管理员权限。

注入形式

执行注入： and user>0 从运行的错误信息中可获知用户名

执行注入： and (select password from login where user_name ‘admin’)>0从运行的错误信息中可获知密码

练习：

注入语句： and user>0，不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到（）。

A． 当前连接数据库的用户数量

B． 当前连接数据库的用户名

C． 当前连接数据库的用户口令

D． 当前连接的数据库名

答案：B。

以下网络攻击中，（）属于被动攻击。

A． 拒绝服务攻击

B． 重放

C． 假冒

D． 流量分析

答案：D。

在以下网络威胁中（）不属于信息泄漏。

A． 数据窃听

B． 流量分析

C． 偷窃用户帐号

D． 暴力破解

答案：D。