网络攻击之欺骗攻击
攻击者能够导致用户或系统中的设备认为信息是来自于实际上未发出该信息的来源时发生的就是欺骗攻击,几乎在任何薄弱或网络通信中未实施认证的位置均可发起欺骗攻击。其中常见的有MAC 欺骗、IP 欺骗、传输欺骗、身份欺骗和无赖设备。
1、MAC 欺骗
是种非常直观的攻击,攻击系统利用这种攻击将自己的 MAC 地址改为受信任系统的地址,在以太网环境中,交换机上的CAM 表可以跟踪MAC 地址、VLAN 和MAC 地址所连接的端口,攻击者将MAC 地址改为另一个与交换机相连的系统的地址时,CAM 表将得到更新,交换机主认为某台机器从一个位置移动到另一个位置。前往该MAC 地址的流量都会发送给攻击者,这种攻击在只接收数据而不主动发送数据的系统上效果很佳。Syslog 服务器就是一个恰当的例子。
CAM名词解释:
CAM(content addressable memory,内容可寻址存储器)存储着MAC 地址和端口(二层接口)的对应表。以太网交换能够通过读取传送包的源---MAC地址和记录帧进入交换机的端口来学习网络上每个设备的地址。然后,交换机把信息加到它的转发数据库(MAC地址表)。这个数据库就存储在CAM中。
2、IP 欺骗
攻击者只需进入系统的原始数据包驱动器中,然后攻击者就可以发送还有 IP 报头的数据包。加密只有应用到需要加密通信以访问 IP 层的系统中才能用作保护机制,例如,采用IPSec 进行通信的金融应用程序不会接受任何主机的原始IP 连接,无论是合法的还是假冒的,这种加密系统概念也适合于传输欺骗。
3、传输欺骗
传输欺骗是指成功地在传输层实现了通信欺骗。
UDP 欺骗:因为其报头结构简单,如简单网络管理协议(SNMP)、syslog、普通文件传输协议(TFTP)之类的管理应用程序都使用UDP 作为其传输机制,这也是系统安全中最薄弱的环节。
TCP 欺骗:TCP 协议具有很高的安全性,因为其是面向连接的协议。因为32bit 的序列号是特定于连接的,而且操作系统中是伪随机的,很难预测到连接的序列号,攻击者试图通过在真正的客户机与服务器之间通过认证后插入会话中来伪装成受信任的客户机。但在攻击者无法看到客户机与服务器之间交换数据包的情况下,此类攻击非常难以实现。从客户机与服务器之间的路径上的位置发起攻击时,其破坏力极大。
身份欺骗:身份欺骗涵盖许多不同的形式,密码破解、暴力登录尝试、数字证书偷窃和伪造均要认为是这种攻击的类型。身份验证机制可由下列从最不安全到最安全的方法来实现:
1)明文用户名和口令(telnet) 2)预共享密钥(WEP) 3)经过加密的用户和口令(SSH) 4)一次性口令(OTP) 5)公钥加密系统(PGP、IPSec)
John the Ripper 和LC4 都是密码破解攻击的形式,这种攻击本质上是对密码进行猜测、加密,然后将其与受害者存储在服务器上已经加密的密码进行比较的尝试。大多数密码都是以加密效果强劲的单向散列形式存储的,其是不可逆的,所以试图窃取密码最容易的方法就是对后续密码进行所谓的字典攻击。
4、无赖设备
上面的讨论中是基于软件层面的,攻击者可以利用无赖设备进行攻击,可以将无赖设备添加到网络中,以使设备成为合法的身份,比如DHCP 攻击。将设备系统添加到网络中,该系统在此网络中尝试确定IP 寻址方案,以及搜索HTTP 代理服务器,然后创建一条隧道式连接与攻击者相连。这就使远程攻击者以本地用户身份出现,发起攻击。利用无赖设备可以起毁灭性的攻击。但执行这种攻击一般需要攻击者实际接触到目标网络。