网络安全第七讲

第七章欺骗攻击7.1E-mail欺骗攻击7.2Web欺骗攻击7.3DNS欺骗攻击77.4IP欺骗攻击112百度域名劫持事件7.1112百度域名劫持事件7.1出处：安天实验室谷歌域名解析错误7.1电信114劫持DNS7.1中华人民共和国信产部举报互联网不良信息举报中心欺骗攻击•什么是DNS？•DNS的工作原理•DNS欺骗的原理•DNS欺骗的过程7.1什么是DNS？•DNS是域名系统(DomainNameSystem)的缩写，对于以TCP/IP为基础协议的Internet来说，必须找到访问对象的IP地址，才能进行访问。•由于IP地址难于记忆，也不够灵活，Internet规则的制定者发明了一套域名体系与其对应，这时用户无需记忆大量的IP地址数字而能通过域名访问丰富多彩的互联网内容，这给用户带来了极大的方便；而对于资源的提供者，更容易把自己的品牌和服务内容反映在域名中，从而起到很好的宣传作用。7.1什么是DNS？•域名系统是层次性的，一个完整的域名格式应该是“”最后的那个“.”就叫根域，也叫点域，通常在域名中都是省略的。•比如其中顶级域是com,二级域是sohu.com,服务器。•其他顶级域名还有以地域区分的cn(中国）、jp(日本）、uk（英国）、hk（香港）等，以行业分的com(商业公司）、edu(教育机构）、mil(军事机构）、org(非赢利性组织）等。7.1DNS的工作原理•DNS可以采用递归查询和迭代查询两种工作方式。•递归查询是最常见的查询方式，域名服务器将代替提出请求的客户机进行域名查询，若域名服务器不能直接回答，则域名服务器会在域树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。7.1DNS的工作原理•DNS原理12.172.194.174202.103.0.117202.103.24.68207.245.113.7递归解析地址是多少？target.com域的域名服务器com域的域名服务器（根域服务器）•迭代查询又称重指引，当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器（向上），查询到根域名服务器后，则会再次根据提示向下查找。DNS的工作原理7.1DNS的工作原理•DNS原理12.172.194.174202.103.0.117202.103.24.68207.245.113.7迭代解析地址是多少？target.com域的域名服务器com域的域名服务器（根域服务器）地址是多少？问202.103.24.68地址是多少？7.1DNS欺骗的原理•DNS协议具有以下特点：•（1）DNS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配,这就引入了序列号攻击的危险;7.1DNS欺骗的原理•(2)在DNS应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击者就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名及IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而对网络的完整性构成威胁;7.1DNS欺骗的原理•(3)DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。7.1DNS的报文格式标识标志问题数资源记录数授权资源记录数额外资源记录数0151631查询问题回答额外信息授权一次查询的编号QRAATCRDRAopcode保留(全0)rcode14111134QR(Query/Response)：0表示查询报文，1表示响应报文Opcode(OperationCode)：0表示标准查询，1表示反向查询，2表示服务器状态查询AA(AuthoritativeAnswer)：1表示授权回答TC(Truncated)：1表示可截断的RD(RecursionDesired)：1表示递归查询，0表示迭代查询（查询和响应中设置）RA(RecursionAvailable)：1表示递归可用（响应中设置）rcode(差错状态)：0表示没有差错，3表示名字差错（响应中设置）长度可变标志的格式响应报文中设置采用资源记录格式查询报文中设置响应报文中不变7.1DNS欺骗的原理•针对DNS协议存在的安全缺陷，可采用的DNS欺骗技术有：•（1）内应攻击。攻击者在非法或合法地控制一台DNS服务器后，可以直接操作域名数据库，修改指定域名所对应的IP为自己所控制的主机IP。7.1DNS欺骗的原理•（2）序列号攻击。•DNS协议格式中定义了序列号ID是用来匹配请求数据包和响应数据报，客户端首先以特定的ID向DNS服务器发送域名查询数据包，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时客户端会将收到的DNS响应数据包的ID和自己发送的查询数据包ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。7.1DNS欺骗的原理•利用序列号进行DNS欺骗的关键是伪装DNS服务器向客户端发送DNS响应数据包，并在DNS服务器发送的真实DNS响应数据报之前到达客户端，从而使客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP，因此将客户端带到攻击者所希望的网站。•其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。7.1DNS欺骗的原理•在实际欺骗攻击中，利用序列号进行DNS欺骗可分两种情况：•第一，当攻击者至少与DNS服务器或客户端主机中的某一个处在同一个局域网内时，对于共享式以太网攻击者可以通过嗅探得到DNS查询报文的序列号。•思考：那么对于交换式以太网攻击者该如何获得DNS查询报文的序列号呢？7.1•第二，当攻击者与DNS服务器、本地主机与客户端主机均不在同一个局域网内时。•可以采用的方法有：–1）随机地测试所有ID的可能存在的值。–2）DNS服务器进行泛洪攻击。–3）利用BIND漏洞。DNS欺骗的原理•DNSID欺骗12.172.194.174202.103.0.117207.245.113.7202.103.24.68的地址多少？7.1E-mail欺骗攻击•电子邮件通常称为E-mail，是计算机网络上最早也是最重要的应用之一，世界各地的人们通过电子邮件互相传递信息，进行网上交流。•电子邮件已经成为现在人们互相往来的一种常用方式。电子邮件是一种将电话通信的快速与邮政通信的直观易懂想结合的通信手段，与电话通信以及邮政通信相比，电子邮件有它得天独厚的优点。但是，在电子邮件飞速发展的同时，电子邮件的安全问题也随之浮出水面。7.2E-mail欺骗攻击•电子邮件欺骗的动机–隐藏发信人的身份，匿名信–挑拨离间，唯恐世界不乱–骗取敏感信息–……•欺骗的形式–使用类似的电子邮件地址7.2•攻击者找到一个公司的老板或者高级管理人员的名字。•有了这个名字后，攻击者注册一个看上去像高级管理人员名字的邮件地址。他只需简单的进入hotmail等网站或者提供免费邮件的公司，签署这样一个账号。•然后在电子邮件的别名字段填入管理者的名字。我们知道，别名字段是显示在用户的邮件客户的发件人字段中。因为邮件地址似乎是正确的，所以邮件接收人很可能会回复它，这样攻击者就会得到想要的信息。7.2电子邮件欺骗：使用类似的地址•发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信他(她)能识别吗？7.2–攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。7.2Email欺骗攻击•Email欺骗的防护–查看邮件原文，检查真正的发件服务器地址–通过邮件链接网页的时候，注意真正的网站地址–在不同的应用中，尽可能使用不相同的、无关的密码。7.2Web欺骗攻击（WebSpoofing）•Web欺骗攻击原理–攻击者通过伪造某个站点的镜像拷贝，使该Web的入口进入到攻击者的Web镜像服务器，并经过攻击者机器的过滤作用，从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的，或者直接从镜像服务器的输入记录中获取有用信息。–一般结合“社会工程学”以及Email的方法，诱惑使用者访问构造好的网站。–又被称为“钓鱼攻击”（PhishingAttack），参考“KnowyourEnemy:Phishing”（）7.3Web欺骗攻击•Web欺骗方法–改写URL–Web中的脚本7.3Web欺骗攻击•改写URL①emailwithhtmllinksseemslikeMicrosoft①②②://③③④④htmlpagewithlinkslike:⑤⑤htmlpagewithlinkslike:://g.microsoft.com7.3发件人:QQ工作組;发送时间:2010年3月6日(星期六)凌晨1:10收件人:xxxxxxxxxxxxxxx@qq.com;主题:温馨提醒:您的号码正处于风险阶段（请勿直接回复）尊敬的用户：您好！QQ安全运营团队:感谢您使用腾讯服务，有任何问题您都可以随时联系客服！很抱歉您的帐号近期被他人恶意申诉！立即到这里解除限制，以便我们核实（本链接仅一周内有效）。如果上面的链接无法点击，您也可以复制以下链接，粘贴到您浏览器的地址栏内，然后按“回车”键打开相关页面进行操作：://is.gd/9KiK0欺骗攻击•利用Web脚本进行欺骗（网页木马，Trojans）–原理•攻击者设计一个网页，并诱使受害者浏览该网页•该网页中包含有一个图片和一个脚本•当浏览时，该图片被下载到受害者计算机的临时目录中，而脚本被运行•脚本的功能是将图片中隐藏的木马提取出来，并设置为自动执行7.3Web欺骗攻击•Web欺骗的防护–很隐蔽，不容易被发现–预防手段•禁止浏览器中的JavaScript功能•确保浏览器的连接状态是可见的•时刻注意所点击的URL链接会在位置状态行中得到正确的显示7.3IP欺骗攻击（SessionHijacking）•IP欺骗的基础–通过伪造IP地址能够获得更高的收益或者权限–伪造的IP地址可以被接受而不被发现•应用对象–Unix下基于远