系统架构设计师:信息安全技术基础知识--欺骗攻击与防御

1.ARP欺骗

1）ARP欺骗原理

ARP原理：某机器A要向主机C发送报文，会查询本地的ARP缓存表，找到C的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播一个ARP请求报文（携带主机A的IP地址Ia--物理地址AA:AA:AA:AA），请求IP地址为Ic的主机C回答物理地址Rc.

网上所有主机包括C都收到ARP请求，但只有主机C识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC，A接收到C的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。

因此，局域网中的机器B首先攻击C，使C瘫痪，然后向A发送一个自己伪造的ARP应答，而如果这个应答是 B冒充 C 伪造来的，即IP地址为C的IP，而MAC地址是B的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经变成B 的了。由于局域网的网络流通不是根据 IP地址进行，而是按照MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B.这就是一个简单的ARP欺骗，如图4-9所示。

2）ARP欺骗的防范措施

（1）在Win XP下输入命令：arp-sgate-way-ip gate-way-mac固化ARP表，阻止ARP欺骗。

（2）使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

（3）采用双向绑定的方法解决并且防止ARP欺骗。

（4）ARP防护软件--ARP Guard。通过系统底层核心驱动，无须安装其他任何第三方软件（如WinPcap），以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无须对计算机进行IP地址及MAC地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表，因为此软件是以服务与进程相结合的形式存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

2.DNS 欺骗

DNS 欺骗是一种比较常见的攻击手段。一个著名的利用 DNS欺骗进行攻击的案例是，全球著名网络安全销售商RSASecurity的网站所遭到的攻击。其实RSA Security网站的主机并没有被入侵，而是RSA的域名被黑客劫持，当用户连上RSA Security时，发现主页被改成了其他的内容。

1）DNS欺骗的原理

DNS 欺骗首先是冒充域名服务器，然后把查询的 IP 地址设为攻击者的 IP 地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS 欺骗的基本原理。DNS 欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

2）DNS 欺骗的现实过程

3）DNS欺骗的检测

根据检测手段的不同，将其分为被动监听检测、虚假报文探测和交叉检查查询3种。

（1）被动监听检测。该检测手段是通过旁路监听的方式，捕获所有D N S 请求和应答数据包，并为其建立一个请求应答映射表。如果在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则怀疑受到了 DNS 欺骗攻击，因为DN S 服务器不会给出多个结果不同的应答包，即使目标域名对应多个IP地址，DNS 服务器也会在一个DNS应答包中返回，只是有多个应答域（Answer Section）而已。

（2）虚假报文探测。该检测手段采用主动发送探测包的手段来检测网络内是否存在D NS 欺骗攻击者。这种探测手段基于一个简单的假设：攻击者为了尽快地发出欺骗包，不会对域名服务器IP的有效性进行验证。这样如果向一个非DN S服务器发送请求包，正常来说不会收到任何应答，但是由于攻击者不会验证目标IP是否是合法DNS 服务器，他会继续实施欺骗攻击，因此如果收到了应答包，则说明受到了攻击。

（3）交叉检查查询。所谓交叉检查即在客户端收到DNS应答包之后，向DNS 服务器反向查询应答包中返回的IP地址所对应的DNS名字，如果二者一致说明没有受到攻击，否则说明被欺骗。

3.IP欺骗

1）IP欺骗的原理

通过编程的方法可以随意改变发出的包的IP地址，但工作在传输层的TCP 协议是一种相对可靠的协议，不会让黑客轻易得逞。由于TCP是面向连接的协议，所以在双方正式传输数据之前，需要用“三次握手”来建立一个值得信赖的连接。假设是 hosta和 hostb两台主机进行通信，hostb首先发送带有SYN标志的数据段通知hosta建立TCP连接，TCP的可靠性就是由数据包中的多位控制字来提供的，其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接中的初始值（ISN）。

假如想冒充 hostb 对 hosta进行攻击，就要先使 hostb 失去工作能力。也就是所谓的拒绝服务攻击，让hostb 瘫痪。

2）IP欺骗的防范

虽然 IP 欺骗攻击有着相当难度，但这种攻击非常广泛，入侵往往由这里开始。预防这种攻击可以删除UNIX中所有的/etc/hosts.equiv、YHOME/.rhosts文件，修改/etc/inetdconf文件，使得RPC机制无法应用。另外，还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。