【正文】 送偽裝的 ARP Reply告訴 B，計算機 A的 MAC地址是Hacker計算機的 MAC地址。 ?這樣 A與 B之間的通訊都將先經(jīng)過 Hacker，然后由 Hacker進行轉(zhuǎn)發(fā)。于是 Hacker可以捕獲到所有 A與 B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 ?這是一種典型的 中間人攻擊 方法。 六、 欺騙攻擊 Hi,我就是 A啊 Hi,我就是 B啊 A B Hacker 六、 欺騙攻擊 ?針對 ARP欺騙攻擊的預(yù)防措施 ?安裝入侵檢測系統(tǒng)，檢測 ARP欺騙 攻擊 ?MAC地址與 IP地址綁定 arp –s IP MAC ?下載并安裝 Anti ARP Sniffer 等專殺工具 ?在主機上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫 ?及時給系統(tǒng)、ＩＥ、交換設(shè)備打補丁 ?內(nèi)網(wǎng)用戶設(shè)置強健的密碼，不要隨便共享文件，即使要共享文件也要設(shè)置好權(quán)限和密碼，不要隨便的點擊ＱＱ、ＭＳＮ中發(fā)來鏈接，不要使用游戲的外掛程序，不要隨便點擊、下載郵件的附件 ?安裝使用網(wǎng)絡(luò)防火墻 ?關(guān)閉不必要的服務(wù)和共享 六、 欺騙攻擊 . IP欺騙技術(shù)就是偽造某臺主機的 IP地址的技術(shù)。通過 IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機，而這臺主機往往具有某種特權(quán)或者被另外的主機所信任。 ?IP欺騙原理： 理論依據(jù) (TCP/IP建立連接之前的三次握手 ) ?第一步： BSYN1?A ?第二步： B?SYN2+ACK1A ?第三步： BACK2?A SYN （數(shù)據(jù)序列） ACK（確認標(biāo)識） ISN（連接初始值） ACK1=SYN1+1 SYN2=ISN2 ACK2=SYN2+1 六、 欺騙攻擊 ?IP欺騙過程 A B Z 互相信任 DoS攻擊 探測 ISN規(guī)律 SYN (我是 B，可以連接嗎？ ) SYN|ACK ACK (我是 B，確認連接 ) 六、 欺騙攻擊 ?攻擊描述： ?屏蔽主機 B。方法： Dos攻擊，如 Land攻擊、 SYN洪水攻擊 ?序列號采樣和猜測。猜測 ISN的基值和增加規(guī)律 ?將源地址偽裝成被信任主機，發(fā)送 SYN數(shù)據(jù)請求建立連接 ?等待目標(biāo)主機發(fā)送 SYN+ACK，黑客看不到該數(shù)據(jù)包 ?再次偽裝成被信任主機發(fā)送 ACK，并帶有預(yù)測的目標(biāo)機的ISN+1 ?建立連接，通過其它已知漏洞獲得 Root權(quán)限，安裝后門并清除 Log 六、 欺騙攻擊 ?針對 IP欺騙攻擊的預(yù)防措施 ?安裝 VPN網(wǎng)關(guān)，實現(xiàn)加密和身份認證； ?實施 PKI CA,實現(xiàn)身份認證； ?通信加密：是在通信時要求加密傳輸和通信和驗證； ?拋棄基于地址的信任策略：是放棄以地址為基礎(chǔ)的驗證。不允許 R*類遠程調(diào)用命令的使用；刪除 rhosts文件；清空 /etc/hosts equiv文件。 六、 欺騙攻擊 ?何謂 Web欺騙？ ?創(chuàng)造一個 Web站點的映像，使得用戶的連接被接入到Hacker的服務(wù)器，達到欺騙網(wǎng)絡(luò)用戶的目的。 ?為什么會受到 Web欺騙？ ?監(jiān)控網(wǎng)絡(luò)用戶； ?竊取帳戶信息； ?損壞網(wǎng)站形象； ?失效 SSL連接。 六、 欺騙攻擊 ?Web欺騙的預(yù)防： ?瀏覽器狀態(tài)顯示連接為 ?鼠標(biāo)連接目標(biāo)提示； ?攻擊者可以憑借 Java Script或 VB Script修改以上信息；但可以通過禁止執(zhí)行 Script功能來揭露其面目； ?Source code可以完全泄漏攻擊者的信息 六、 欺騙攻擊 當(dāng)一個 DNS服務(wù)器掉入陷阱，使用了來自一個惡意 DNS服務(wù)器的錯誤信息，那么該 DNS服務(wù)器就被欺騙了。 ?DNS攻擊途徑： ?緩存感染： ?將數(shù)據(jù)放入一個沒有設(shè)防的 DNS服務(wù)器的緩存當(dāng)中。 ?這些緩存信息會在客戶進行 DNS訪問時返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運行木馬的 Web服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。 六、 欺騙攻擊 ?DNS信息劫持 ?入侵者通過監(jiān)聽客戶端和 DNS服務(wù)器的對話，通過猜測服務(wù)器響應(yīng)給客戶端的 DNS查詢 ID。 ?每個 DNS報文包括一個相關(guān)聯(lián)的 16位 ID號， DNS服務(wù)器根據(jù)這個 ID號獲取請求源位置。 ?黑客在 DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站 ?DNS重定向 ?攻擊者能夠?qū)?DNS名稱查詢重定向到惡意 DNS服務(wù)器。這樣攻擊者可以獲得 DNS服務(wù)器的寫權(quán)限 六、 欺騙攻擊 ?防范 DNS欺騙攻擊的措施 ?直接用 IP訪問重要的服務(wù)，這樣至少可以避開 DNS欺騙攻擊。但這需要你記住要訪問的 IP地址。 ?加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對一般用戶應(yīng)該用 PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 七、蠕蟲病毒 ?（ Worm） 概述 ?蠕蟲病毒（ Worm）是計算機病毒的一種，通過網(wǎng)絡(luò)傳播，目前主要的傳播途徑有電子郵件、系統(tǒng)漏洞、聊天軟件等。 ?蠕蟲病毒 是病毒與黑客手段的結(jié)合，如紅色代碼、尼姆達病毒等。 ?蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內(nèi)傳遍全球 。 ?蠕蟲病毒 要影響網(wǎng)絡(luò)的帶寬，不僅入侵了受害主機，甚至引起網(wǎng)絡(luò)中斷。 七、蠕蟲病毒 ?蠕蟲病毒的傳播途徑 ?系統(tǒng)漏洞 ： ?此病毒 傳播速度極快，如 “震蕩波”病毒，三天之內(nèi)就感染了全球至少 50 萬臺計算機。 ?預(yù)防： 打好相應(yīng)的系統(tǒng)補丁，可以應(yīng)用瑞星殺毒軟件的“漏洞掃描”工具 ?聊天軟件 ： ?“性感烤雞”病毒就通過 MSN軟件傳播 。 ?預(yù)防： 提高安全防范意識，對于通過聊天軟件發(fā)送的任何文件，都要經(jīng)過好友確認后再運行；不要隨意點擊聊天軟件發(fā)送的網(wǎng)絡(luò)鏈接。 ?電子郵件 ： ?此 病毒往往會頻繁大量的出現(xiàn)變種，用戶中毒后往往會造成數(shù)據(jù)丟失、個人信息失竊、系統(tǒng)運行變慢等。 ?預(yù)防： 提高自己的安全意識，不要輕易打開帶有附件的電子郵件。另外，啟用瑞星殺毒軟件的“郵件發(fā)送監(jiān)控”和“郵件接收監(jiān)控”功能，也可以提高自己對病毒郵件的防護能力。 七、蠕蟲病毒 ?嚴重的幾種儒蟲病毒 ?CODE RED紅色代碼 緩沖區(qū)溢出漏洞、索引服務(wù) ?CODE RED II 紅色代碼二 緩沖區(qū)溢出漏洞、索引服務(wù) ?CODE BLUE 蘭色代碼 Unicode漏洞 ?NIMDA 尼姆達蠕蟲 IE異常處理 MIME頭漏洞、 Unicode漏洞、 CGI文件名錯誤解碼漏洞 七、蠕蟲病毒 ?針對儒蟲病毒攻擊的防范措施 ?安裝防火墻，禁止訪問不該訪問的服務(wù)端口 ?安裝入侵檢測系統(tǒng)，檢測 病毒蠕蟲 攻擊 ?安裝防病毒軟件，阻擋病毒蠕蟲的侵襲 ?提高安全意識，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補丁 八、其他攻擊 ?嗅探攻擊 ?會話劫持攻擊 ?社會工程攻擊 八、其他攻擊 通過特殊的設(shè)備（嗅探器，有硬件和軟件兩種）捕獲網(wǎng)絡(luò)中傳輸網(wǎng)絡(luò)數(shù)據(jù)的報文。 ?嗅探攻擊 ?一是針對簡單地采用集線器（ Hub）連接的局域網(wǎng)，黑客只要能把嗅探器安裝到這個網(wǎng)絡(luò)中的任何一臺計算機上就可以實現(xiàn)對整個局域網(wǎng)的偵聽，這是因為共享 Hub獲得一個子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時，并不是直接發(fā)送到指定主機，而是通過廣播方式發(fā)送到每個電腦。 ?一是針對交換網(wǎng)絡(luò)的，由于交換網(wǎng)絡(luò)的數(shù)據(jù)是從一臺計算機發(fā)出到預(yù)定的計算機，而不是廣播的，所以黑客必須將嗅探器放到像網(wǎng)關(guān)服務(wù)器、路由器這樣的設(shè)備上才能監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)，當(dāng)然這比較困難，但由于一旦成功就能夠獲得整個網(wǎng)段的所有用戶賬號和口令，所以黑客還是會通過其他種種攻擊手段來實現(xiàn)它，如通過木馬方式將嗅探器發(fā)給某個網(wǎng)絡(luò)管理員，使其不自覺地為攻擊者進行了安裝。 八、其他攻擊 ?防護措施： ?檢測嗅探器： ?對本地主機的檢測 ?由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以可以通過查看你的網(wǎng)卡是否處于混雜模式來簡單地確定你的計算機是否有嗅探器 。 ?對網(wǎng)絡(luò)上的主機的檢測： ?首先可以通過一些網(wǎng)管軟件查看網(wǎng)絡(luò)通訊情況，但丟包率又非常高，那就有可能有人在監(jiān)聽 ； ?其次還可以查看網(wǎng)絡(luò)帶寬情況來判斷，通過某些帶寬控制器可以實時看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬，這臺機器就有可能在監(jiān)聽 。 ?加密數(shù)據(jù) 嗅探器非常難以被發(fā)現(xiàn) , 因為它們是被動的程序，只會監(jiān)聽不會向外發(fā)送任何數(shù)據(jù)包。 八、其他攻擊 ?概述 ?某黑客在暗地里等待著某位合法用戶通過 Tel遠程登錄到一臺服務(wù)器上，當(dāng)這位用戶成功地提交密碼后，這個黑客就開始接管該用戶當(dāng)前的會話并搖身變成了這個用戶。 ?是一種結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段 ?會話劫持攻擊避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使黑客能直接進入對被攻擊主機的的訪問狀態(tài)，對系統(tǒng)安全構(gòu)成的威脅比較嚴重。 ?網(wǎng)上流行著對 Windows NT的 SMB會話劫持攻擊 。 八、其他攻擊 ?防護措施 ?應(yīng)該盡量使用交換網(wǎng)絡(luò)代替共享式網(wǎng)絡(luò)，這可以降低被竊聽的機率，但黑客還是有辦法在交換網(wǎng)絡(luò)里會話劫持，所以我們還可以使用 SSH、 SSL、 VPN之類的數(shù)據(jù)加密通道保護我們的通信。 ?要注意網(wǎng)絡(luò)中是否出現(xiàn)了大量的 ACK包，因為這可能就是一次 ACK風(fēng)暴攻擊，是黑客進行會話劫持攻擊的預(yù)兆。 八、其他攻擊 ?概念： ?黑客用非計算機技術(shù)手段來刺探消息、騙取信息以最終達到攻擊或入侵目的的各種社會活動。 ?防護措施： ?對員工實施安全教育，將公司安全策略規(guī)范化，并在企業(yè)內(nèi)部廣泛的宣傳，對機房和數(shù)據(jù)庫重地要制定嚴格的人員進出制度，作為網(wǎng)絡(luò)管理人員不要把自己網(wǎng)絡(luò)的操作系統(tǒng)版本、應(yīng)用程序、補丁、賬號等信息隨便透露給別人。 網(wǎng)絡(luò)安全基本組件 安全解決方案 防火墻 /虛擬專用網(wǎng) (Firewall/VPN) 入侵防護系統(tǒng) (Intrusion Prevention System) 病毒網(wǎng)關(guān) (Application AntiVirus gateway) 漏洞評估 (Vulnerability Assessment) SSL VPN網(wǎng)關(guān) (SSL VPN Gateway) 無線安全網(wǎng)關(guān) (Wireless Security Gateway) 網(wǎng)頁內(nèi)容過濾 (Web Content Filtering) 電子郵件內(nèi)容過濾 (EMail Content Filtering) 網(wǎng)絡(luò)安全體系示意圖 安全解決方案 lnter IDS入侵檢測監(jiān)控中心 防毒管理中心 防火墻管理中心 掃描器管理中心 … IDS入侵檢測 主機系統(tǒng) 防火墻 網(wǎng)關(guān)防毒 認證服務(wù)器 VPN IDS入侵檢測 客戶端防毒 服務(wù)器防毒 CA中心 隔離網(wǎng)閘 日志服務(wù)器 日志服務(wù)器 防火墻 漏洞掃描器