ARP欺骗&IP欺骗&TCP劫持攻击&DNS攻击&邮件攻击|网络攻防课堂笔记

ARP欺骗&IP欺骗&TCP劫持攻击&DNS攻击&邮件攻击|网络攻防课堂笔记

在《网络攻击与防御》这门课第第五章欺骗攻击与防御还是很值得去好好听一下的, 在这章里面主要讲了下面五个欺骗:

1. ARP欺骗
2. IP欺骗
3. DNS欺骗
4. 电子邮件欺骗
5. Web欺骗(都是一些web服务身份的伪造,所以这里就不放上来了)

这五个欺骗的ARP欺骗和IP欺骗上课的时候并没有好好的记笔记所以很多东西都没有能记下来, ARP攻击的咋前几天学内网横向的时候才使用ettercap操作了一遍(其实ettercap体验不是那么的好)另外再发了一篇文章使用ettercap进行arp攻击|内网嗅探(图太多太占空间了), 至于IP欺骗的话主要就是ip动态分配的过程, 在内网中将受攻击的目标ip挤下线,然后我们将自己的ip申请更改为手攻击机器的ip从而实现ip伪造, IP欺骗这部分就不再另外找资料了(终究是错过了┭┮﹏┭┮)

TCP劫持攻击

呃呃呃这部分的笔记其实已经忘了是上课的时候讲到哪里的笔记的了, 看到上课棘截图中的TCP劫持攻击就把这个当小标题应该是没问题的哈哈

会话劫持关键: TCP序列号猜测

步骤：

客户端与服务器进行TCP的三次握手会话
Kali抓取服务器对客户端的回应的TCP包
Kali伪造下一个客户端发给服务器的数据包

那么选择TCP层的协议telnet是因为

ssh与telnet的相同点：
    两种协议都可以远程登录另一台主机
    两种协议都属于基于TCP/IP的协议
ssh与telnet的不同点：
    telnet是明文传送；ssh是加密传送，并且支持压缩。
    telnet的默认端口号为23；ssh的默认端口号为22.
    ssh使用公钥对访问的服务器的用户验证身份，进一步提高的安全性；telnet没有使用公钥。

DNS欺骗

DNS欺骗的工作原理 DNS欺骗的关键是在DNS服务器的本地Cache中缓存一条伪造的解析记录 如何才能在本地域名服务器中注入伪造的域名解析记录? 如果攻击者通过其他攻击方法已经获得了DNS服务器的控制权，则增加一条伪造记录就易如反掌。 Remark:这种理想状态并不多见

确定目标DNS服务器的ID号为DNS欺骗攻击的关键 DNS数据通过UDP (53端口)协议传递，通信过程往往是并行的，即域名服务器之间同时可能会进行多个解析过程 Q: 靠什么来彼此区别呢?

A: DNS报文的ID域

• 请求方和应答方使用相同的ID号证明是同一个会话
• 在一段时期内，DNS服务器一般都采用一种有章可循的ID生成机制，如对每次发送的域名解析请求ID依次加1

DNS欺骗的局限性 攻击者不能替换缓存中已经存在的记录DNS服务器存在缓存刷新时间问题配置DNS

服务器的时候要注意

1. 使用最新版本DNS服务器软件并及时安装补丁
2. 关闭DNS服务器的递归功能 利用缓存中的记录信息或通过查询其它服务器获得信息并发送给客户机，称为递归查询——容易导致DNS欺骗
3. 限制区域传输范围:限制域名服务器做出响应的地址
4. 限制动态更新
5. 采用分层的DNS体系结构

邮件攻击

邮件炸弹

向用户发送数以千计的邮件让用户的邮箱爆炸（空间占满）从而接受不到新的有效邮件

邮件欺骗

1. 电子邮件欺骗 攻击者假称自己是管理员(邮件地址和系统管理员完全相同)，给用户发送邮件要求用户修改口令（口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序，从而对目标实施攻击。
2. 冒充回复地址 在各种电子邮件服务系统中，发件人地址和回复地址都可以不一样，在配置账户属性或撰写邮件时，可以使用与发件人地址不同的回复地址。由于用户在收到某个邮件时并回复时，并不会对回复地址仔细检查。鉴于邮件地址欺骗的易于实现和危险性，用户必须随时提高警惕，认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息内容是防范黑客的必要措施。
3. 利用附件欺骗 我们知道不能轻易打开电子邮件里的可执行文件类的附件，但我们可能会以为那些文本文件或是图像文件的附件是没有危险的。由于目前大多数人使用的是windows系列操作系统， windows的默认设置是隐藏已知文件扩展名的，当去点击那个看上去很友善的文件时，很可能包含蠕虫、木马病毒。 例如，收到的邮件附件中有一个看起来是这样的文件:QQ宠物放送.txt，然而它实际的文件名却可以是QQ宠物放送.txt.{3050F4D8-98B5-11CF-BB82- OOAAOOBDCEOB} 3050F4D8-98B5-11CF-BB82-O0AAOOBDCEOB在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，看到的就是个.txt文件，该文件实际上等同于“QQ靓号放送.txt.html”。当双击这个伪装起来的.txt时候，就会以html文件的形式运行。
4. 远程登录到SMTP端口发送邮件 攻击者连接到一台25端口开放的正在运行的邮件服务器后，输入下面的命令: telnet IP地址25 在连接上以后，再输入下面的内容: HELO MAIL FROM: 欺骗伪装的mail地址RCPT TO:收件的受害者mail地址DATA 邮件的内容
5. 钓鱼邮件与鱼叉式钓鱼攻击 钓鱼(Phishing)邮件:(广撒网) 利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页，如银行的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取 鱼叉式网络钓鱼(Spear Phishing) : (精准打击) 一种只针对特定目标进行攻击的网络钓鱼攻击

2022_10_月初的某天