淺析防御網絡欺騙攻擊

摘要：隨著信息時代的到來，信息對人們生活的重要性日益加重，信息安全的重要性也隨之變得日益重要。該文簡要介紹各類欺騙攻擊的原理、方法及防范此類入侵的方法。

關鍵詞：防御；網絡欺騙；IP欺騙；Web欺騙

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)27-1950-03

On Defencing Deceive Attack from Network

WANG Xi

(Computer and IT School， Nanyang Normal University， Henan 473061， China)

Abstract: Information is more and more important for people's life in the information age. So is the security of information. This article introduces some principles and approaches of deceive attack and how to guard such tricks.

Key words: defence; network cheat; IP cheat; web cheat

1 引言

隨著信息時代的到來，信息對人們生活的重要性日益加重，信息安全的重要性也隨之變得日益重要。在基于TCP/ IP的網絡通訊中，由于TCP/ IP協議本身固有的缺陷，在網絡上傳輸的數據很容易受到各式各樣的攻擊。網絡攻擊既有被動型的，也有主動型的，被動攻擊通常指信息受到非法偵聽，而主動攻擊則往往意味著對數據甚至網絡本身惡意的篡改和破壞。針對TCP/ IP的欺騙技術有很多種，包括序列號欺騙、路由攻擊、源地址欺騙和授權欺騙等。本文簡要介紹各類欺騙攻擊的原理、方法及防范此類入侵的方法。

2 防御IP欺騙攻擊

2.1 IP欺騙的原理

IP欺騙技術就是偽造某臺主機的IP地址的技術。通過IP地址的偽造使得某臺主機能夠偽裝成另外一臺主機，而這臺主機往往具有某種特權或者被另外的主機所信任。

假設已經找到一個攻擊目標主機，并發現了該主機存在信任模式，又獲得信任主機IP。攻擊者使用IP地址偽裝技術偽裝成信任主機向目標主機發送連接請求，目標主機發送確認信息給信任主機，如果信任主機發現連接是非法的，信任主機會發送一個復位信息給目標主機，請求釋放連接，這樣，IP欺騙被揭穿。攻擊者為達到欺騙的目的，通常使用如TCP SYN洪流攻擊等技術使信任主機喪失工作能力。信任主機不會發送復位信息，目標主機也就不會收到連接確認，等待一段時間后超時，TCP認為是一種暫時的錯誤，并繼續嘗試建立連接，直至確信無法連接。在目標主機等待的時間里，黑客使用序列號猜測技術猜測出目標主機希望獲取的確認序列號，再次偽裝成信任主機發送連接確認信息，確認序列號設置為猜測得出的序列號，如果猜測正確就可以與目標主機建立起TCP連接。之后就可以向目標主機發送攻擊數據，如放置后門程序等。

2.2 IP欺騙的過程

通過以上的分析，我們可以看出，IP欺騙由以下幾個步驟組成：

1） 選定目標主機；2） 發現信任模式及信任主機；3） 使被信任主機喪失工作能力；4） 采樣目標主機發出的TCP序列號，猜測出序列號；5） 發送建立TCP連接的報文，建立連接；6） 發動攻擊，在目標機放置后門程序。

2.3 IP欺騙的防范

IP欺騙之所以可以實施，是因為信任服務器的基礎建立在網絡地址的驗證上，IP地址是可以簡單的進行欺騙的，在整個攻擊過程中最難的是進行序列號的估計，估計精度的高低是欺騙成功與否的關鍵。針對這些，可采取如下對策：

1） 拋棄基于地址的信任策略：阻止這類入侵的簡單易行的辦法是放棄以地址為基礎的驗證。不允許R類遠程調用命令的使用，刪除rhosts文件和/etc/hosts.equiv文件，迫使所有用戶使用其他遠程通信手段，如Telnet、Ssh、Skey 等。

2） 進行包過濾：如果計算機用戶的網絡是通過路由器接入Internet的，那么可以利用計算機用戶的路由器來進行包過濾。確信只有計算機用戶的內部LAN可以使用信任關系，而內部LAN上的主機對于LAN以外的主機要慎重處理。計算機用戶的路由器可以幫助您過濾掉所有來自于外部而希望與內部建立連接的請求。通過對信息包的監控來檢查IP欺騙攻擊將是非常有效的方法，使用netlog或類似的包監控工具來檢查外接口上包的情況，如果發現包的兩個地址即源地址和目的地址都是本地域地址就意味著有人要試圖攻擊系統。

3） 使用加密的方法：阻止IP欺騙的另一種可行的方法是在通信時要求加密傳輸和驗證。當有多種手段并存時，可能加密方法最為適用。

4）使用隨機化的初始序列號：IP欺騙攻擊得以成功實現的一個很重要的因素就是，TCP/IP的數據包序列號不是隨機選擇的或者隨機增加的。為此，我們可以采用分割序列號空間的辦法，這樣每一個連接將有自己獨立的序列號空間。序列號仍然按照以前的方式增加，但是在這些序列號空間之間沒有明顯的關系。

3 防御DNS欺騙攻擊

3.1 DNS欺騙攻擊的原理

DNS是一個用于管理主機名字和地址信息映射的分布式數據庫系統，它將便于記憶和理解的名稱同枯燥的IP地址聯系起來，大大方便了人們的使用。DNS是大部分網絡應用的基礎，但是由于協議本身的設計缺陷，沒有提供適當的信息保護和認證機制，使得DNS很容易受到攻擊。2005年3月美國系統網絡安全協會的互聯網海量數據中心(ISC)發出了關于DNS欺騙攻擊的警告，新一輪攻擊中大批.COM成為犧牲品，至少有1300個域名被誘騙到被破壞的服務器。而在計算機安全組織美國系統網絡安全協會(SANS Institute)公布的2004年前20位網絡安全隱患排行榜中，BIND域名系統更是排在Unix及Linux相關安全隱患的首位。由此可見防范對DNS的攻擊，確保DNS系統的安全已經到了刻不容緩的地步。

由于DNS協議在設計上的缺陷，在DNS報文中只使用一個序列號來進行有效性鑒別，并未提供其它的認證和保護手段，這使得攻擊者可以很容易地監聽到查詢請求，并偽造DNS應答包給DNS客戶端，從而進行DNS欺騙攻擊。目前所有DNS客戶端處理DNS應答包的方法都是簡單地信任首先到達的數據包，丟棄所有后到達的，而不會對數據包的合法性作任何的分析。這樣，只要能保證欺騙包先于合法包到達就可以達到欺騙的目的，而通常這是非常容易實現的。DNS欺騙攻擊可能存在于客戶端和DNS服務器間，也可能存在于各DNS服務器之間，但其工作原理是一致的。

3.2 DNS欺騙攻擊的防范

通過對合法應答包和欺騙應答包的分析發現，欺騙應答包一般來說比較簡單，通常只有一個應答域，沒有授權域和附加域。這也正符合欺騙攻擊者要盡快將欺騙數據包返回給客戶端的初衷，因為只有盡可能地節約數據包構造的時間才能使欺騙包早于合法包到達。而合法應答包的信息則比較豐富，除了可能有多個應答域之外，通常還帶有授權域、附加記錄域等。如果根據一定的規則，能夠區分開欺騙包和合法包，那么就可以躲避DNS欺騙攻擊，從而使系統具有抗攻擊能力。以下是幾種可行的防范措施：

1） 加權法：這種方法首先要根據統計分析，給DNS應答包中的各個字段一個相應的可信度閾值，然后根據數據包情況計算最終可信度，最后選擇可信度最高的應答包。權值為有符號數，正表示加上相應的值，負則減去。

2） 貝葉斯分類法：這種方法利用模式分類的思想，設計一個兩類貝葉斯分類器來區分合法和欺騙包。首先根據統計信息抽取合法包和欺騙包的特征，然后統計這些特征的概率分布，并由此設計一個簡單的兩類貝葉斯分類器，來指導欺騙包和合法包的識別。

3） 交叉驗證法：這種方法是由客戶端收到DNS應答包之后，向DNS服務器反向查詢應答包中返回的IP地址所對應的DNS名字來進行判斷。

以上討論了3種識別欺騙應答包和合法應答包的方法，其中加權法和貝葉斯分類法有類似之處，都要基于統計數據的分析。加權法依賴于權值策略的制定，貝葉斯分類法依賴于數據包關鍵特征的提取和其概率分布的統計。交叉驗證法則可以和欺騙檢驗同時完成，但是對反向解析服務依賴較大，難以大范圍使用。以上3種識別方案可以結合起來用，相輔相成，優勢互補，從而達到好的識別效果。

4 防御Web欺騙

4.1 Web欺騙的原理

Web欺騙的原理并不復雜，切斷從被入侵者主機到目標服務器之間的正常聯接，建立一條從被入侵者主機到入侵者主機，再到目標服務器的聯接即可。雖然這種入侵并不會直接造成計算機的軟、硬件損壞，但它所帶來的危害也是不可忽視的。通過入侵者的計算機，被入侵者的一切行為都會一覽無余。入侵者可以輕而易舉地得到合法用戶鍵入的用戶名、密碼等敏感資料，而且不會直接造成用戶主機發生死機、重啟等現象，用戶很可能全然沒有察覺。這也是Web欺騙攻擊最危險的地方。

Web欺騙是一種基于Internet的非法欺詐行為。借助Internet，攻擊者利用一定的假象技術，在受攻擊者的周圍建立起一個錯誤但是令人信服的Web世界，最終達到非法侵害受攻擊者合法權益的目的。Web欺騙由三部分構成：攻擊者、受攻擊者、掩蓋體。

Web欺騙成功的關鍵在于用戶和其他Web服務器之間建立Web欺騙服務器，所以被稱為“來自中間的入侵”。為了建立一個中轉服務器，應進行以下工作：1）改寫URL地址；2）表單陷阱；3）不安全的“安全鏈接”；4）誘騙。

4.2 Web欺騙的預防

Web欺騙是Internet上具有相當危險性而又不容易被察覺的欺騙手法。在欺騙頁面上，用戶通過使用收藏夾功能，或使用瀏覽器中提供的“Open Location”功能變換到其他Web頁面上，就能遠離入侵者所設下的陷阱。如果用戶使用“Back”鍵，則會重新回到原先的欺騙Web頁面。如果用戶用于欺騙入侵的Web頁面保存到了“Bookmark”中，那么可能會直接進入入侵者所設下的陷阱。

要獲得長期的解決方案，則要改變瀏覽器的設置，使之具有反映真實URL信息的功能，這樣才不會被蒙蔽。再有，應通過真正安全的聯接建立從Web到瀏覽器會話進程，瀏覽器還給出一個諸如“NetscapeInc”的提示信息。

5 網絡欺騙技術在信息安全上的應用

網絡欺騙技術最初是作為黑客入侵網絡的手段而產生的。網絡欺騙就是使入侵者相信信息系統存在有價值的、可利用的安全弱點，并具有一些可入侵竊取的資源（當然這些資源是偽造的或不重要的），并將入侵者引向這些錯誤的資源。從原理上講，每個有價值的網絡系統都存在安全弱點，而且這些弱點都可能被入侵者所利用。網絡欺騙主要有以下三個作用：影響入侵者使之按照用戶的意志進行選擇；迅速地檢測到入侵者的進攻并獲知其進攻技術和意圖；消耗入侵者的資源。

一個理想的網絡欺騙可以使入侵者感到不是很容易地達到期望的目標（當然目標是假的），并使其相信入侵取得了成功。網絡欺騙的主要技術如下所述：1）Honey Pot和分布式Honey Pot；2）欺騙空間；3）網絡流量仿真；4）網絡動態配置；5）多重地址轉換；6）創建組織信息欺騙。

高質量的網絡欺騙，使可能存在的安全弱點有了很好的隱藏偽裝場所，真實服務與欺騙服務幾乎融為一體，使入侵者難以區分。因此，一個完善的網絡安全整體解決方案，離不開網絡欺騙。在網絡入侵和安全防護的相互促進發展過程中，網絡欺騙技術將具有廣闊的發展前景。

6 總結

網絡攻防一直是推動網絡安全向前發展的源動力。只有不斷地發現網絡的安全弱點并不斷改正，才能使整個網絡更加健康和完善。

參考文獻：

[1] 高永強，郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社，2003.

[2] 顧巧論，高鐵杠.計算機網絡安全[M].北京：清華大學出版社，2004.

[3] Liska A.網絡安全實踐[M].北京：機械工業出版社，2004.

[4] 李輝.IP欺騙網絡攻擊及其對策應用研究[J].甘肅科技，2007，(6):78-80.