【正文】 息，將會在瀏覽器中報(bào)告 HTTP錯誤。 5. DNS欺騙 根據(jù)這個(gè) DNS的工作原理，攻擊者就可以通過攔截并修改數(shù)據(jù)包來實(shí)行 DNS欺騙。當(dāng)客戶端向DNS服務(wù)器查詢某個(gè)域名時(shí)，正常情況下， DNS服務(wù)器經(jīng)查詢后，會返回相應(yīng)結(jié)果到客戶端。但是，如果攻擊者此時(shí)冒充此 DNS服務(wù)器，攻擊者的機(jī)器就會代替真正的 DNS服務(wù)器回應(yīng)客戶端，并且數(shù)據(jù)包中的地址會指向一個(gè)錯誤偽造的地址，這樣，當(dāng)用戶訪問查詢到的地址時(shí)，就會轉(zhuǎn)向攻擊者提供的地址，這樣就實(shí)現(xiàn)了 DNS欺騙。 5. DNS欺騙 如果發(fā)送大量的 DNS應(yīng)答包來猜測攻擊目標(biāo)的DNS請求包的 ID號，如果所發(fā)送的偽造應(yīng)答包中存在和請求包的 ID一致的情況，也就是產(chǎn)生了所謂的“碰撞”，則欺騙成功。 16位的 ID號取值范圍為0~65 535，共有 65 536種可能性，想要使其攻擊的成功率可以達(dá)到 50%，至少需要發(fā)送 32 768個(gè)完全不同 ID號的應(yīng)答包。 在短時(shí)間內(nèi)發(fā)送 32 768個(gè)包，還要趕在真正的應(yīng)答包到來之前發(fā)生“碰撞”，其操作難度較大。如果很好地利用“生日攻擊”就可以只發(fā)送較少的數(shù)據(jù)包，同樣能達(dá)到欺騙的效果。 5. DNS欺騙 “生日攻擊”的涉及到一個(gè)叫作“生日悖論”的數(shù)學(xué)模型?！吧浙Ｕ摗笔侵?23個(gè)人中有人生日是同一天的可能性大于 50%。通過概率論的知識，可知 2個(gè)人的生日是同一天的可能性是： P(2)=11 (364/ 365)； 3個(gè)人中有生日相同的概率是：P(3)=11 (364/365) (363/365)；以此類推，P(4)=11 (364/365) (363/365) (362/ 365)； … ；P(n)=11 (364/365) …(365 (n1))/365, (n=1,2,…, 365)；可得出 P(23)50%，即 23人中有可能其中有人的生日是相同的。從中可以看出，一個(gè)有 365個(gè)元素的空間，只需 23個(gè)元素其間產(chǎn)生“碰撞”的概率就高于 50%。 5. DNS欺騙 ④在路由器設(shè)置 IP地址與 MAC地址的靜態(tài)綁定。 ⑤管理員定期用響應(yīng)的 IP包中獲得一個(gè)RARP請求，然后檢查 ARP響應(yīng)的真實(shí)情況，發(fā)現(xiàn)異常立即處理。同時(shí)，管理員要定期輪詢，經(jīng)常檢查主機(jī)上的 ARP緩存。 ⑥使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意在使用SNMP的情況下， ARP的欺騙可能導(dǎo)致陷阱包丟失。 5. DNS欺騙 ④在路由器設(shè)置 IP地址與 MAC地址的靜態(tài)綁定。 ⑤管理員定期用響應(yīng)的 IP包中獲得一個(gè)RARP請求，然后檢查 ARP響應(yīng)的真實(shí)情況，發(fā)現(xiàn)異常立即處理。同時(shí)，管理員要定期輪詢，經(jīng)常檢查主機(jī)上的 ARP緩存。 ⑥使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意在使用SNMP的情況下， ARP的欺騙可能導(dǎo)致陷阱包丟失。 欺騙攻擊 ? 4. 源路由欺騙攻擊 ? 通過指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯誤動作，這就是源路由攻擊。在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對方不可預(yù)料的路徑到達(dá)目的主機(jī)。下面仍以上述源 IP欺騙的例子給出這種攻擊的形式。 欺騙攻擊 ? 5. URL欺騙攻擊 ? 下面來看 URL欺騙的慣用招式。 ? (1) URL結(jié)構(gòu) ? 來仔細(xì)看看 URL和與其有關(guān)的安全含義。一種 “ 有趣 ” 的URL利用方式已被垃圾廣告投遞者發(fā)現(xiàn)很長時(shí)間了，不過現(xiàn)在 “ KB”(Knowledge Base)欺騙已經(jīng)使得 URL可以做更多的事。 ? 雖然大部分因特網(wǎng)用戶把 WWW地址或 FTP同 URL聯(lián)系起來，但 Uniform Resource Locators(URL，統(tǒng)一資源定位器 )使用的更普遍一些。 URL的標(biāo)準(zhǔn)在 RFC1738中規(guī)定，其中最普通的形式定義為： 欺騙攻擊 ? scheme:schemespecificpart ? scheme部分是網(wǎng)絡(luò)協(xié)議名稱， schemespecificpart部分被定義為： ? //user:password@host:port/urlpath ? 其中只有 host部分是必須的。 “ @”字符具有特殊的含義，瀏覽器一般把該字符前的部分解釋為用戶名：密碼。黑客可以利用它進(jìn)行 URL欺騙。 欺騙攻擊 ? (2) ＠標(biāo)志過濾用戶名的解析 ? 本來＠標(biāo)志是 E－ mail地址的用戶名與主機(jī)的分隔符，但在 URL中同樣適用，而且功能如出一轍。 ? HTTP（超文本傳輸協(xié)議）規(guī)定了 URL的完整格式是“ Password＠ IP地址或主機(jī)名”，其中的“ IP地址或主機(jī)名”是必填項(xiàng)。＠標(biāo)志與其前面的“ Name：Password” ，意為“用戶名：密碼”，屬于可選項(xiàng)。 ? 在 URL中真正起解析作用的網(wǎng)址是從＠標(biāo)志后面開始的，這就是欺騙原理。 欺騙攻擊 A. 舉例：某 好友發(fā)給一個(gè)說是有最新大片免費(fèi)下載的地址 “ ”，敢上去就點(diǎn)嗎？的確，一眼看上去是 接，而實(shí)際上這兒的 “ ”只是個(gè)寫成網(wǎng)易網(wǎng)址形式的用戶名（此處的密碼為空），因?yàn)楹竺嬗校罉?biāo)志。而真正鏈接的網(wǎng)址卻是“ ”（這兒為了好理解，杜撰了一個(gè)木馬網(wǎng)站，其下有 “ 灰鴿子 ” 服務(wù)端），只要大家點(diǎn)擊就會被種下木馬。這個(gè)發(fā)來的 URL地址其實(shí)完全等同于 “ ”，而與前面的用戶名毫無關(guān)系，只是迷惑性可就大大提高了。即使沒有這個(gè)用戶名，也完全不影響瀏覽器對 URL的解析。 欺騙攻擊 A. 大家要是不信，就在地址欄中隨便寫上個(gè)像是 “ ”之類的地址再回車試試，還是照樣兒進(jìn)入搜狐網(wǎng)站。 欺騙攻擊 ? (3) 十進(jìn)制的 IP地址 ? 常見的 IP地址包括四個(gè)字節(jié)，一般表示形式為“ ” （ x表示一個(gè)十進(jìn)制數(shù)碼），例如“ ” 。 ? 因?yàn)榧兇獾臄?shù)字 IP地址過于抽象、難以記憶，所以采用域名服務(wù) DNS來與之對應(yīng)。 ? 大家在瀏覽器地址欄中輸入“ 與“ 的結(jié)果完全一樣，都是訪問搜狐網(wǎng)站，因?yàn)? IP地址。 欺騙攻擊 ? 不過，如果再試試“ 的話，結(jié)果一定會讓許多人吃驚，因?yàn)槿匀淮蜷_了搜狐網(wǎng)站！ A. 為什么一個(gè)十進(jìn)制數(shù) “ 1032291340”等同于一個(gè) IP地址 “ ”呢 ？ 其實(shí)我剛才已經(jīng)暗示過大家了 ，四位點(diǎn)分十進(jìn)制形式的 IP地址 “ ”代表一組32位二進(jìn)制數(shù)碼 ， 如果合在一起再轉(zhuǎn)換成一個(gè)十進(jìn)制數(shù)的話 ，答案就是 1032291340。 轉(zhuǎn)換方法很簡單 ， 就是數(shù)制的按權(quán)展開： 12 2560＋ 132 2561＋ 135 2562＋ 61 2563＝ 12 ＋ 33792 ＋ 8847360 ＋ 1023410176 ＝1032291340（ 基數(shù)為 256， 即 28） 。 欺騙攻擊 A. 明白了這個(gè)道理 ， 再 回 頭 看 看 剛 才 例 子 中 的“ ” 。 如果說這種字母域名還會露出一截狐貍尾巴的話 ， 那么當(dāng)把它對應(yīng)的 IP地址 （ 假設(shè)為 “ ” ） 換算成一個(gè)十進(jìn)制數(shù) ， 結(jié)果是 1032291341， 再結(jié)合＠標(biāo)志過濾用戶的解析 ， 欺騙性就又上了一個(gè)臺階 —— 此時(shí) ， 還會有多少人會懷疑這個(gè) URL不是搜狐呢 ？ 欺騙攻擊 ? (4) 防范：查源代碼法防范 URL欺騙 ? 但是還是可以防范的。其實(shí)，對付這些利用 URL去欺騙引誘人上當(dāng)?shù)膼阂饩W(wǎng)頁，只須一個(gè)最簡單的招數(shù)即可奏效，那就是查看網(wǎng)頁的源代碼。當(dāng)然，這需要有一點(diǎn)兒網(wǎng)頁代碼閱讀的能力。 欺騙攻擊 A. 假設(shè)有人發(fā)給一個(gè)的 URL地址 .而事先又不知道它是 否 為 URL 欺 騙 的 話 ， 只 須 在 瀏 覽 器 地 址 欄 中 輸 入 “ ViewSource: .”并回車 ， 系統(tǒng)就會調(diào)用記事本來打開這個(gè)網(wǎng)頁的源代碼 。 接下來就是在其中搜索一下 （ 可使用 “ 編輯 → 查找 ”菜單 ） 有 沒 有 像 是 Format 或 者 有 iframe src=ww.…… .htm name=…… width=0 height=0 frameborder=0之類的危險(xiǎn)編碼 。 如果有的話當(dāng)然要拒絕訪問了 。 這里注意了 ， 不是所有的操作系統(tǒng)和瀏覽器都支持 “ ViewSource: .”這種方式來查看網(wǎng)頁的源代碼的 (比如在 Windows XP SP2的瀏覽器當(dāng)中就看不了)。 對 于這一 點(diǎn) ， 建議大 家使 用 Firefox 瀏覽 器 ， 再使用 “ ViewSource: .”， 就可以了 。 如圖 ， 為采用Firefox瀏覽器和 “ ViewSource”所看到的新浪網(wǎng)網(wǎng)頁的內(nèi)容 。 欺騙攻擊 A. 圖 “ViewSource”所看到的新浪網(wǎng)網(wǎng)頁的內(nèi)容