【正文】 送偽裝的 ARP Reply告訴 B，計(jì)算機(jī) A的 MAC地址是Hacker計(jì)算機(jī)的 MAC地址。 ?這樣 A與 B之間的通訊都將先經(jīng)過 Hacker，然后由 Hacker進(jìn)行轉(zhuǎn)發(fā)。于是 Hacker可以捕獲到所有 A與 B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。 ?這是一種典型的 中間人攻擊 方法。 六、 欺騙攻擊 Hi,我就是 A啊 Hi,我就是 B啊 A B Hacker 六、 欺騙攻擊 ?針對(duì) ARP欺騙攻擊的預(yù)防措施 ?安裝入侵檢測(cè)系統(tǒng)，檢測(cè) ARP欺騙 攻擊 ?MAC地址與 IP地址綁定 arp –s IP MAC ?下載并安裝 Anti ARP Sniffer 等專殺工具 ?在主機(jī)上安裝諾頓等正版網(wǎng)絡(luò)殺毒軟件，并經(jīng)常更新病毒庫 ?及時(shí)給系統(tǒng)、ＩＥ、交換設(shè)備打補(bǔ)丁 ?內(nèi)網(wǎng)用戶設(shè)置強(qiáng)健的密碼，不要隨便共享文件，即使要共享文件也要設(shè)置好權(quán)限和密碼，不要隨便的點(diǎn)擊ＱＱ、ＭＳＮ中發(fā)來鏈接，不要使用游戲的外掛程序，不要隨便點(diǎn)擊、下載郵件的附件 ?安裝使用網(wǎng)絡(luò)防火墻 ?關(guān)閉不必要的服務(wù)和共享 六、 欺騙攻擊 . IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)的 IP地址的技術(shù)。通過 IP地址的偽裝使得某臺(tái)主機(jī)能夠偽裝另外的一臺(tái)主機(jī)，而這臺(tái)主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。 ?IP欺騙原理： 理論依據(jù) (TCP/IP建立連接之前的三次握手 ) ?第一步： BSYN1?A ?第二步： B?SYN2+ACK1A ?第三步： BACK2?A SYN （數(shù)據(jù)序列） ACK（確認(rèn)標(biāo)識(shí)） ISN（連接初始值） ACK1=SYN1+1 SYN2=ISN2 ACK2=SYN2+1 六、 欺騙攻擊 ?IP欺騙過程 A B Z 互相信任 DoS攻擊 探測(cè) ISN規(guī)律 SYN (我是 B，可以連接嗎？ ) SYN|ACK ACK (我是 B，確認(rèn)連接 ) 六、 欺騙攻擊 ?攻擊描述： ?屏蔽主機(jī) B。方法： Dos攻擊，如 Land攻擊、 SYN洪水攻擊 ?序列號(hào)采樣和猜測(cè)。猜測(cè) ISN的基值和增加規(guī)律 ?將源地址偽裝成被信任主機(jī)，發(fā)送 SYN數(shù)據(jù)請(qǐng)求建立連接 ?等待目標(biāo)主機(jī)發(fā)送 SYN+ACK，黑客看不到該數(shù)據(jù)包 ?再次偽裝成被信任主機(jī)發(fā)送 ACK，并帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1 ?建立連接，通過其它已知漏洞獲得 Root權(quán)限，安裝后門并清除 Log 六、 欺騙攻擊 ?針對(duì) IP欺騙攻擊的預(yù)防措施 ?安裝 VPN網(wǎng)關(guān)，實(shí)現(xiàn)加密和身份認(rèn)證； ?實(shí)施 PKI CA,實(shí)現(xiàn)身份認(rèn)證； ?通信加密：是在通信時(shí)要求加密傳輸和通信和驗(yàn)證； ?拋棄基于地址的信任策略：是放棄以地址為基礎(chǔ)的驗(yàn)證。不允許 R*類遠(yuǎn)程調(diào)用命令的使用；刪除 rhosts文件；清空 /etc/hosts equiv文件。 六、 欺騙攻擊 ?何謂 Web欺騙？ ?創(chuàng)造一個(gè) Web站點(diǎn)的映像，使得用戶的連接被接入到Hacker的服務(wù)器，達(dá)到欺騙網(wǎng)絡(luò)用戶的目的。 ?為什么會(huì)受到 Web欺騙？ ?監(jiān)控網(wǎng)絡(luò)用戶； ?竊取帳戶信息； ?損壞網(wǎng)站形象； ?失效 SSL連接。 六、 欺騙攻擊 ?Web欺騙的預(yù)防： ?瀏覽器狀態(tài)顯示連接為 ?鼠標(biāo)連接目標(biāo)提示； ?攻擊者可以憑借 Java Script或 VB Script修改以上信息；但可以通過禁止執(zhí)行 Script功能來揭露其面目； ?Source code可以完全泄漏攻擊者的信息 六、 欺騙攻擊 當(dāng)一個(gè) DNS服務(wù)器掉入陷阱，使用了來自一個(gè)惡意 DNS服務(wù)器的錯(cuò)誤信息，那么該 DNS服務(wù)器就被欺騙了。 ?DNS攻擊途徑： ?緩存感染： ?將數(shù)據(jù)放入一個(gè)沒有設(shè)防的 DNS服務(wù)器的緩存當(dāng)中。 ?這些緩存信息會(huì)在客戶進(jìn)行 DNS訪問時(shí)返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的 Web服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。 六、 欺騙攻擊 ?DNS信息劫持 ?入侵者通過監(jiān)聽客戶端和 DNS服務(wù)器的對(duì)話，通過猜測(cè)服務(wù)器響應(yīng)給客戶端的 DNS查詢 ID。 ?每個(gè) DNS報(bào)文包括一個(gè)相關(guān)聯(lián)的 16位 ID號(hào)， DNS服務(wù)器根據(jù)這個(gè) ID號(hào)獲取請(qǐng)求源位置。 ?黑客在 DNS服務(wù)器之前將虛假的響應(yīng)交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站 ?DNS重定向 ?攻擊者能夠?qū)?DNS名稱查詢重定向到惡意 DNS服務(wù)器。這樣攻擊者可以獲得 DNS服務(wù)器的寫權(quán)限 六、 欺騙攻擊 ?防范 DNS欺騙攻擊的措施 ?直接用 IP訪問重要的服務(wù)，這樣至少可以避開 DNS欺騙攻擊。但這需要你記住要訪問的 IP地址。 ?加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對(duì)一般用戶應(yīng)該用 PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。 七、蠕蟲病毒 ?（ Worm） 概述 ?蠕蟲病毒（ Worm）是計(jì)算機(jī)病毒的一種，通過網(wǎng)絡(luò)傳播，目前主要的傳播途徑有電子郵件、系統(tǒng)漏洞、聊天軟件等。 ?蠕蟲病毒 是病毒與黑客手段的結(jié)合，如紅色代碼、尼姆達(dá)病毒等。 ?蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內(nèi)傳遍全球 。 ?蠕蟲病毒 要影響網(wǎng)絡(luò)的帶寬，不僅入侵了受害主機(jī)，甚至引起網(wǎng)絡(luò)中斷。 七、蠕蟲病毒 ?蠕蟲病毒的傳播途徑 ?系統(tǒng)漏洞 ： ?此病毒 傳播速度極快，如 “震蕩波”病毒，三天之內(nèi)就感染了全球至少 50 萬臺(tái)計(jì)算機(jī)。 ?預(yù)防： 打好相應(yīng)的系統(tǒng)補(bǔ)丁，可以應(yīng)用瑞星殺毒軟件的“漏洞掃描”工具 ?聊天軟件 ： ?“性感烤雞”病毒就通過 MSN軟件傳播 。 ?預(yù)防： 提高安全防范意識(shí)，對(duì)于通過聊天軟件發(fā)送的任何文件，都要經(jīng)過好友確認(rèn)后再運(yùn)行；不要隨意點(diǎn)擊聊天軟件發(fā)送的網(wǎng)絡(luò)鏈接。 ?電子郵件 ： ?此 病毒往往會(huì)頻繁大量的出現(xiàn)變種，用戶中毒后往往會(huì)造成數(shù)據(jù)丟失、個(gè)人信息失竊、系統(tǒng)運(yùn)行變慢等。 ?預(yù)防： 提高自己的安全意識(shí)，不要輕易打開帶有附件的電子郵件。另外，啟用瑞星殺毒軟件的“郵件發(fā)送監(jiān)控”和“郵件接收監(jiān)控”功能，也可以提高自己對(duì)病毒郵件的防護(hù)能力。 七、蠕蟲病毒 ?嚴(yán)重的幾種儒蟲病毒 ?CODE RED紅色代碼 緩沖區(qū)溢出漏洞、索引服務(wù) ?CODE RED II 紅色代碼二 緩沖區(qū)溢出漏洞、索引服務(wù) ?CODE BLUE 蘭色代碼 Unicode漏洞 ?NIMDA 尼姆達(dá)蠕蟲 IE異常處理 MIME頭漏洞、 Unicode漏洞、 CGI文件名錯(cuò)誤解碼漏洞 七、蠕蟲病毒 ?針對(duì)儒蟲病毒攻擊的防范措施 ?安裝防火墻，禁止訪問不該訪問的服務(wù)端口 ?安裝入侵檢測(cè)系統(tǒng)，檢測(cè) 病毒蠕蟲 攻擊 ?安裝防病毒軟件，阻擋病毒蠕蟲的侵襲 ?提高安全意識(shí)，經(jīng)常給操作系統(tǒng)和應(yīng)用軟件打補(bǔ)丁 八、其他攻擊 ?嗅探攻擊 ?會(huì)話劫持攻擊 ?社會(huì)工程攻擊 八、其他攻擊 通過特殊的設(shè)備（嗅探器，有硬件和軟件兩種）捕獲網(wǎng)絡(luò)中傳輸網(wǎng)絡(luò)數(shù)據(jù)的報(bào)文。 ?嗅探攻擊 ?一是針對(duì)簡(jiǎn)單地采用集線器（ Hub）連接的局域網(wǎng)，黑客只要能把嗅探器安裝到這個(gè)網(wǎng)絡(luò)中的任何一臺(tái)計(jì)算機(jī)上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽，這是因?yàn)楣蚕?Hub獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí)，并不是直接發(fā)送到指定主機(jī)，而是通過廣播方式發(fā)送到每個(gè)電腦。 ?一是針對(duì)交換網(wǎng)絡(luò)的，由于交換網(wǎng)絡(luò)的數(shù)據(jù)是從一臺(tái)計(jì)算機(jī)發(fā)出到預(yù)定的計(jì)算機(jī)，而不是廣播的，所以黑客必須將嗅探器放到像網(wǎng)關(guān)服務(wù)器、路由器這樣的設(shè)備上才能監(jiān)聽到網(wǎng)絡(luò)上的數(shù)據(jù)，當(dāng)然這比較困難，但由于一旦成功就能夠獲得整個(gè)網(wǎng)段的所有用戶賬號(hào)和口令，所以黑客還是會(huì)通過其他種種攻擊手段來實(shí)現(xiàn)它，如通過木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員，使其不自覺地為攻擊者進(jìn)行了安裝。 八、其他攻擊 ?防護(hù)措施： ?檢測(cè)嗅探器： ?對(duì)本地主機(jī)的檢測(cè) ?由于嗅探器需要將網(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以可以通過查看你的網(wǎng)卡是否處于混雜模式來簡(jiǎn)單地確定你的計(jì)算機(jī)是否有嗅探器 。 ?對(duì)網(wǎng)絡(luò)上的主機(jī)的檢測(cè)： ?首先可以通過一些網(wǎng)管軟件查看網(wǎng)絡(luò)通訊情況，但丟包率又非常高，那就有可能有人在監(jiān)聽 ； ?其次還可以查看網(wǎng)絡(luò)帶寬情況來判斷，通過某些帶寬控制器可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽 。 ?加密數(shù)據(jù) 嗅探器非常難以被發(fā)現(xiàn) , 因?yàn)樗鼈兪潜粍?dòng)的程序，只會(huì)監(jiān)聽不會(huì)向外發(fā)送任何數(shù)據(jù)包。 八、其他攻擊 ?概述 ?某黑客在暗地里等待著某位合法用戶通過 Tel遠(yuǎn)程登錄到一臺(tái)服務(wù)器上，當(dāng)這位用戶成功地提交密碼后，這個(gè)黑客就開始接管該用戶當(dāng)前的會(huì)話并搖身變成了這個(gè)用戶。 ?是一種結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段 ?會(huì)話劫持攻擊避開了被攻擊主機(jī)對(duì)訪問者的身份驗(yàn)證和安全認(rèn)證，從而使黑客能直接進(jìn)入對(duì)被攻擊主機(jī)的的訪問狀態(tài)，對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。 ?網(wǎng)上流行著對(duì) Windows NT的 SMB會(huì)話劫持攻擊 。 八、其他攻擊 ?防護(hù)措施 ?應(yīng)該盡量使用交換網(wǎng)絡(luò)代替共享式網(wǎng)絡(luò)，這可以降低被竊聽的機(jī)率，但黑客還是有辦法在交換網(wǎng)絡(luò)里會(huì)話劫持，所以我們還可以使用 SSH、 SSL、 VPN之類的數(shù)據(jù)加密通道保護(hù)我們的通信。 ?要注意網(wǎng)絡(luò)中是否出現(xiàn)了大量的 ACK包，因?yàn)檫@可能就是一次 ACK風(fēng)暴攻擊，是黑客進(jìn)行會(huì)話劫持攻擊的預(yù)兆。 八、其他攻擊 ?概念： ?黑客用非計(jì)算機(jī)技術(shù)手段來刺探消息、騙取信息以最終達(dá)到攻擊或入侵目的的各種社會(huì)活動(dòng)。 ?防護(hù)措施： ?對(duì)員工實(shí)施安全教育，將公司安全策略規(guī)范化，并在企業(yè)內(nèi)部廣泛的宣傳，對(duì)機(jī)房和數(shù)據(jù)庫重地要制定嚴(yán)格的人員進(jìn)出制度，作為網(wǎng)絡(luò)管理人員不要把自己網(wǎng)絡(luò)的操作系統(tǒng)版本、應(yīng)用程序、補(bǔ)丁、賬號(hào)等信息隨便透露給別人。 網(wǎng)絡(luò)安全基本組件 安全解決方案 防火墻 /虛擬專用網(wǎng) (Firewall/VPN) 入侵防護(hù)系統(tǒng) (Intrusion Prevention System) 病毒網(wǎng)關(guān) (Application AntiVirus gateway) 漏洞評(píng)估 (Vulnerability Assessment) SSL VPN網(wǎng)關(guān) (SSL VPN Gateway) 無線安全網(wǎng)關(guān) (Wireless Security Gateway) 網(wǎng)頁內(nèi)容過濾 (Web Content Filtering) 電子郵件內(nèi)容過濾 (EMail Content Filtering) 網(wǎng)絡(luò)安全體系示意圖 安全解決方案 lnter IDS入侵檢測(cè)監(jiān)控中心 防毒管理中心 防火墻管理中心 掃描器管理中心 … IDS入侵檢測(cè) 主機(jī)系統(tǒng) 防火墻 網(wǎng)關(guān)防毒 認(rèn)證服務(wù)器 VPN IDS入侵檢測(cè) 客戶端防毒 服務(wù)器防毒 CA中心 隔離網(wǎng)閘 日志服務(wù)器 日志服務(wù)器 防火墻 漏洞掃描器