网络协议欺骗攻防小结

　　三、路由欺骗

　　TCP/TP网络中，IP包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表，使目标主机发送的IP包到达攻击者能控制的主机或路由器，就可以完成侦听，篡改等攻击方式。

　　1.RIP路由欺骗

　　RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。

　　RIP路由欺骗的防范措施主要有：路由器在接受新路由前应先验证其是否可达。这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证，使一些假路由信息也能够广泛流传。由于路由信息在网上可见，随着假路由信息在网上的传播范围扩大，它被发现的可能性也在增大。所以，对于系统管理员而言，经常检查日志文件会有助于发现此类问题。

　　2.IP源路由欺骗

　　IP报文首部的可选项中有“源站选路”，可以指定到达目的站点的路由。正常情况下，目的主机如果有应答或其他信息返回源站，就可以直接将该路由反向运用作为应答的回复路径。

　　主机A(假设IP地址是192.168.100.11)是主机B(假设IP地址为192.168.100.1)的被信任主机，主机X想冒充主机A从主机B获得某些服务。首先，攻击者修改距离X最近的路由器G2，使用到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地;然后，攻击者X利用IP欺骗(把数据包的源地址改为192.168.100.11)向主机B发送带有源路由选项(指定最近的G2)的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在的网络，X可在其局域网内较方便地进行侦听，收取此数据包。

　　防范IP源路由欺骗的好方法主要有：

　　1.配置好路由器，使它抛弃那些由外部网进来的、声称是内部主机的报文;

　　2.关闭主机和路由器上的源路由功能。

　　四、TCP欺骗

　　实现TCP欺骗攻击有两种方法：

　　1.非盲攻击

　　攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器(嗅探器)捕获TCP报文段，从而获得需要的序列号。以下是其攻击步骤：

　　(1)攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也使用SYN flooding等攻击手段使其处于拒绝服务状态。

　　(2)攻击者X伪造数据包：B->A：SYN(ISN C)，源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包，请求建立连接。

　　(3)目标主机回应数据包：A->B：SYN(ISN S)，ACK(ISN C)，初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探工具捕获TCP报文段，得到初始序列号S。

　　(4)攻击者X伪造数据包：B->A:ACK(ISN S),完成三次握手建立TCP连接。

　　(5)攻击者X一直使用B的IP地址与A进行通信。

　　2.盲攻击

　　由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探工具捕获TCP报文段。其攻击步骤与非盲攻击几乎相同，只不过在步骤(3)中无法使用嗅探工具，可以使用TCP初始序列号预测技术得到初始序列号。在步骤(5)中，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。

　　从攻击者的角度来考虑，盲攻击比较困难，因为目的主机的响应都被发送到不可达的被欺骗主机，攻击者不能直接确定攻击的成败。然而，攻击者可使用路由欺骗技术把盲攻击转化为非盲攻击。

　　对TCP欺骗攻击的防范策略主要有：

　　(1)使用伪随机数发生工具产生TCP初始序号;

　　(2)路由器拒绝来自外网而源IP是内网的数据包;

　　(3)使用TCP段加密工具加密。

　　五、DNS欺骗

　　在网上，用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻、订阅报纸、电子商务等。攻击者可以将用户想要浏览的网页的URL改写成指向攻击者自己的服务器，当用户浏览目标网页的时候，实际上是向攻击者服务器发出请求，那么攻击者就可以达到欺骗或攻击的目的了。例如，可以利用Webserver的网页给客户端机器传染病毒。这种攻击的效果是通过DNS欺骗技术得到的。DNS协议不对转换或信息性的更新进行身份认证，这就使得攻击者可以将不正确的信息掺进来，并把用户引向攻击者自己的主机。

　　用一个简单的例子说明

　　假如cn.wy.com向xinxin.com的子域DNS服务器120.2.2.2询www.xinxin.com的IP地址时，用户冒充120.2.2.2给www.xinxin.com的IP地址，这个IP地址是一个虚拟的地址，列如202.109.2.2，这cn.wy.com就会把202.109.2.2当www.xinxin.com的地址返还给hk.wy.com了。当hk.wy.com连www.xinxin.com时，就会转向我们提供的那个虚假的IP地址了，这样对www.xinxin.com来说，就算是给黑掉了。因为别人根本连接不上这个域名。 这就是DNS欺骗的基本原理，但正如同IP欺骗一样。DNS欺骗在技术上实现上仍然有一些困难，为了理解这些需要看一下DNS查询包的结构。在DNS查询包中有一个重要的域叫做做标识ID。用来鉴别每个DNS数据包的印记，从客户端设置。由服务器返回，它可以让客户匹配请求与响应。

　　如cn.wy.com120.2.2.2 这时黑客只需要用假的120.2.2.2进行欺骗，并且在真正的120.2.2.2返回cn.wy.com信息之前，先于它给出所查询的IP地址。cn.wy.com←120.2.2.2 ，www.xinxin.com的IP地址是1.1.1.1 。在120.2.2.2前cn.wy.com送出一个伪造的DNS信息包，如果要发送伪造的DNS信息包而不被识破，就必须伪造正确的ID，但是，如果无法判别这个标识符的话，欺骗将无法进行。这在局域网上是很容易实现的，只要安装一个sniffer，通过嗅探就可以知道这个ID。但如果是在Internet上实现欺骗，就只有发送大量的一定范围的DNS信息包，通过碰运气的办法来提高给出正确标识ID的机会。

　　DNS欺骗的真实过程

　　如果已经成功的攻击了120.2.2.2子网中任意一台主机，并且通过安装sniffer的方法对整个子网中传输的包进行嗅探，可以设置只对进出120.2.2.2的包进行观察，从而获得我们需要的标识ID。当DNS服务器120.2.2.2发出查询包时，它会在包内设置标识ID，只有应答包中的ID值和IP地址都正确的时候才能为服务器所接受。这个ID每次自动增加1，所以可以第一次向要欺骗的DNS服务器发一个查询包并监听到该ID值，随后再发一个查询包，紧接着马上发送构造好的应答包，包内的标识ID为预测的值。为了提高成功效率可以指定一个范围，比如在前面监听到的哪个ID+1的范围之间。接上列，如cn.wy.com向120.2.2.2发来了要求查www.xinxin.com的IP地址的包，此时，120.2.2.2上的黑客就要欺骗cn.wy.com。

　　cn.wy.com→120.2.2.2 [Query]

　　NQY：1 NAN：0 NNS：0 NAD：0 QID：6573

　　QY：www.xinxin.com A

　　其中NQY，NAN等是查询包的标志位。当这两个标志位为“1”时表示是查询包，这时我们就可以在120.2.2.2上监听到这个包，得到他的ID为6573.然后紧接着我们也向120.2.2.2发出一次查询，使它忙于应答这个包。

　　1.1.1.1→120.2.2.2 [Query]

　　NQY：1 NAN：0 NNS：0 NAD：0

　　QY：other.xinxin.com A

　　紧接着发带预测QID的应答包

　　120.2.2.2→cn.wy.com [Answer]

　　NQY：1 NAN：0 NNS：0 NAD：0 QID：6574

　　QY www.xinxin.com PTR

　　AN www.xinxin.com PTR 111.222.333.444

　　111.222.333.444就是由攻击者来指定的IP地址。注意发这个包时标识ID为前面监听到的ID值加1既6574+1=6575。这样，DNS欺骗就完成了cn.wy.com就会把111.222.333.444当www.xinxin.com的IP地址了。假如111.222.333.444是一台已经被用户控制的计算机，可以把它的主页改成想要的内容，这时当被欺骗的其他用户连接www.xinxin.com时，他就以为这个网站已经被黑掉了。

　　防范DNS欺骗的方法是用DNS转换得到的IP地址或域名再次作反向转换进行验证，用户可以通过一些软件来实现。