关键词: 欺骗
网络欺骗技术(精选6篇)
篇1:网络欺骗技术
什么是网络欺骗?
计算机系统及网络的信息安全将是新世纪中各国面临的重大挑战之一,在我国,这一问题已引起各方面的高度重视,一些典型技术及相关产品如密码与加密、认证与访问控制、入侵检测与响应、安全分析与模拟和灾难恢复都处于如火如荼的研究和开发之中。近年来,在与入侵者周旋的过程中,另一种有效的信息安全技术正渐渐地进入了人们的视野,那就是网络欺骗。
网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。
从原理上讲,每个有价值的网络系统都存在安全弱点,而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用:
影响入侵者使之按照你的意志进行选择;
迅速地检测到入侵者的进攻并获知其进攻技术和意图;
消耗入侵者的资源。
一个理想的网络欺骗可以使入侵者感到他们不是很容易地达到了期望的目标(当然目标是假的),并使其相信入侵取得了成功。
网络欺骗的主要技术
HoneyPot和分布式HoneyPot
网络欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法,最早采用的网络欺骗是HoneyPot技术,它将少量的有吸引力的目标(我们称之为HoneyPot)放置在入侵者很容易发现的地方,以诱使入侵者上当。
这种技术的目标是寻找一种有效的方法来影响入侵者,使得入侵者将技术、精力集中到HoneyPot而不是其它真正有价值的正常系统和资源中。HoneyPot技术还可以做到一旦入侵企图被检测到时,迅速地将其切换。
但是,对稍高级的网络入侵,HoneyPot技术就作用甚微了。因此,分布式HoneyPot技术便应运而生,它将欺骗(HoneyPot)散布在网络的正常系统和资源中,利用闲置的服务端口来充当欺骗,从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果,一是将欺骗分布到更广范围的IP地址和端口空间中,二是增大了欺骗在整个网络中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。
尽管如此,分布式HoneyPot技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜索的网络扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中,处于观察(如嗅探)而非主动扫描阶段时,真正的网络服务对入侵者已经透明,那么这种欺骗将失去作用。
欺骗空间技术
欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿主能力(multi-homedcapability),在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机,而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。实际上,现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。这意味着利用16台计算机组成的网络系统,就可做到覆盖整个B类地址空间的欺骗,
尽管看起来存在许许多多不同的欺骗,但实际上在一台计算机上就可实现。
从效果上看,将网络服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工作量,因为他们需要决定哪些服务是真正的,哪些服务是伪造的,特别是这样的4万个以上IP地址都放置了伪造网络服务的系统。而且,在这种情况下,欺骗服务相对更容易被扫描器发现,通过诱使入侵者上当,增加了入侵时间,从而大量消耗入侵者的资源,使真正的网络服务被探测到的可能性大大减小。
当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺骗服务时,还可将扫描器所有的网络流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。
当然,采用这种欺骗时网络流量和服务的切换(重定向)必须严格保密,因为一旦暴露就将招致攻击,从而导致入侵者很容易将任一已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺骗区分开来。
增强欺骗质量
面对网络攻击技术的不断提高,一种网络欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使入侵者难以将合法服务和欺骗区分开来。
网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗是有效增强网络欺骗质量的几种主要方法,下面分别予以介绍。
网络流量仿真
产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似,因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量,使入侵者可以发现和利用。
网络动态配置
真实网络是随时间而改变的,如果欺骗是静态的,那么在入侵者长期监视的情况下就会导致欺骗无效。因此,需要动态配置欺骗网络以模拟正常的网络行为,使欺骗网络也象真实网络那样随时间而改变。为使之有效,欺骗特性也应该能尽可能地反映出真实系统的特性。例如,如果办公室的计算机在下班之后关机,那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑,否则入侵者将很可能发现欺骗。
多重地址转换(multipleaddresstranslation)
地址的多次转换能将欺骗网络和真实网络分离开来,这样就可利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性。其基本的概念就是重定向代理服务(通过改写代理服务器程序实现),由代理服务进行地址转换,使相同的源和目的地址象真实系统那样被维护在欺骗系统中。右图中,从m.n.o.p进入到a.b.c.g接口的访问,将经过一系列的地址转换DD由a.f.c.g发送到10.n.o.p再到10.g.c.f,最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上,从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。
创建组织信息欺骗
如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
结束语
本文阐述了网络欺骗在信息系统安全中的作用及实现的主要技术,并介绍了增强欺骗质量的具体方法。高质量的网络欺骗,使可能存在的安全弱点有了很好的隐藏伪装场所,真实服务与欺骗服务几乎融为一体,使入侵者难以区分。因此,一个完善的网络安全整体解决方案,离不开网络欺骗。在网络攻击和安全防护的相互促进发展过程中,网络欺骗技术将具有广阔的发展前景。
篇2:网络欺骗技术
一、ARP欺骗
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中,若ARP缓存表被他人非法修改,则会导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机。ARP欺骗(ARP spoofing),也叫ARP毒药(ARP poison),即可完成这些功能。
假设攻击者和目标主机在同一个局域网中,并且想要截获和侦听目标主机到网关间的所有数据。当然,对于使用集线器的局域网环境,攻击者只需要把网卡设置为混杂模式即可。但是现在的局域网都是交换机了,不仅可以提高局域网的容量,而且可以提高安全性。在这种情况下,攻击者首先会试探交换机是否存在失败保护模式(fail-safe mode),是交换机所处的特殊模式状态。交换机维护IP地址和MAC地址的映射关系时会花费一定处理能力,当网络通信时出现大量虚假MAC地址时,某些类型的交换机会出现过载情况,从而转换到失败保护模式。若交换机不存在失败保护模式,则需要使用ARP欺骗技术。
攻击者主机需要两块网卡,IP地址分别是192.168.0.5和192.168.0.6,插入交换机的两个端口,准备截获和侦听目标主机192.168.0.3和路由器192.168.0.1之间的所有通信。另外攻击者主机还需要有IP数据包转发功能,此项功能在Linux下只需要执行命令echo 1>/proc/sys/net/ipv4/ip_forward就可以。以192.168.0.4的网络通信为例,正常的ARP转换如下:
1.主机A192.168.0.4想要与路由器192.168.0.1通信,从而接入Internet。
2.主机A以广播的方式发送ARP请求,希望得到路由器的MAC。
3.交换机收到ARP请求,并把此请求发送给连接到交换机的各个主机。同时,交换机将更新它的MAC地址和端口之间的映射表,即将192.168.0.4绑定它所连接的端口。
4.路由器收到A的ARP请求后,发出带有自身MAC地址的ARP响应。
5.路由器更新ARP缓存表,绑定A的IP地址和MAC地址。
6.交换机收到了路由器对A的ARP响应后,查找它的MAC地址和端口之间的映射表,把此ARP响应数据包发送到相应的端口。同时,交换机更新它的MAC地址和端口之间的影射表,即将192.168.0.1绑定它所连接的端口。
7.主机A收到ARP响应数据包,更新ARP缓存表,绑定路由器的IP地址和MAC地址。
8.主机A使用更新后的MAC地址信息把数据发送给路由器,通信通道就此建立。
ARP欺骗需要攻击者迅速地诱使目标主机192.168.0.3和路由器192.168.0.1都和它建立通信,从而使自己成为中间人MiM(Man in Middle)。换句话说,攻击者的主机此时相当于一个被攻击者完全控制的路由器,目标主机和路由器之间的所有数据通信都要由攻击者主机转发,攻击者也就能对数据作各种处理。要达到同时欺骗目标主机和路由器的目的,攻击者应打开两个命令界面,执行两次ARP欺骗:一次诱使目标主机认为攻击者的主机有路由器的MAC地址,这可以利用IP地址欺骗技术,伪造路由器的IP地址,从攻击者主机的一块网卡上发送给目标主机ARP请求包,则错误的MAC地址和IP地址的映射将更新到目标主机;另一次使路由器相信攻击者的主机具有目标主机的MAC地址,方法和前面相似。
ARP欺骗的防范:
中毒的网络,就会一直有发送arp病毒包的,这些arp病毒包会误导你的机器对网关mac地址的解析。所以需要绑定mac地址。两种方法:
1、列出局域网内所有机器的MAC地址。
# arpAddress HWtype HWaddress Flags Mask Iface
192.168.1.1 ether 00:07:E9:2A:6F:C6,然后,绑定MAC地址, #arp -s 192.168.1.1 00:07:E9:2A:6F:C6
注意:假如用户的网关设置了hostname的话,这里192.168.1.1就有可能需要换成hostname。
2、创建一个/etc/ethers文件,比如你要绑定网关,那就在/etc/ethers里写上:192.168.1.1 00:07:E9:2A:6F:C6,然后执行 #arp -f ,每次重启机器后需要重新绑定MAC地址。
另外,mac地址的绑定需要双向的,即机器a绑定了机器b,机器b也要绑定机器a,这样arp病毒才会被彻底挡住。
二、IP地址欺骗
IP地址欺骗就是攻击者假冒他人IP地址,发送数据包。因为IP协议不对数据包中的IP地址进行认证,因此任何人不经授权就可以伪造IP包的源地址。
IP包一旦从网络中发送出去,源IP地址就几乎不用,仅在中间路由器因某种原因丢弃它或到达目标端后,才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包,只要它能把这类IP包放到网络上就可以,
因而,如果攻击者把自己的主机伪装成被目标主机信任的好友主机,即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址,利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性(只通过IP确认),就可以对信任主机进行攻击。注意其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。例如Unix中的所有的R*命令都采用信任主机方案,所以一个攻击主机把自己的IP改为被信任主机的IP,就可以连接到信任主机,并能利用R*命令开后门达到攻击的目的。
想要实现IP地址欺骗要注意以下两个问题:
1.因为远程主机只向伪造的IP地址发送应答信号,攻击者不可能收到远程主机发出的信息,即用C主机假冒B主机IP,连接远程主机A,A主机只向B主机发送应答信号,C主机无法收到;
2.要在攻击者和被攻击者之间建立连接,攻击者需要使用正确的TCP序列号。
攻击者使用IP地址欺骗的目的主要有两种:
1.只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包,而并不关心是否能收到目标主机的应答,例如IP包碎片、Land攻击等;
2.伪装成被目标主机信任的友好主机得到非授权的服务。解决办法:目前最理想的方法是使用防火墙,防火墙决定是否允许外部的IP数据包进入局域网,对来自外部的IP数据包进行检验。假如来自外部的数据包声称有内部地址,它一定是欺骗包。如果数据包的IP地址不是防火墙内的任何子网,它就不能离开防火墙。
三、路由欺骗
TCP/TP网络中,IP包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就可以完成侦听,篡改等攻击方式。
1.RIP路由欺骗
RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B,从而诱使发往B的数据包由A中转。由于A受攻击者控制,攻击者可侦听、篡改数据。
RIP路由欺骗的防范措施主要有:路由器在接受新路由前应先验证其是否可达。这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证,使一些假路由信息也能够广泛流传。由于路由信息在网上可见,随着假路由信息在网上的传播范围扩大,它被发现的可能性也在增大。所以,对于系统管理员而言,经常检查日志文件会有助于发现此类问题。
2.IP源路由欺骗
IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。
主机A(假设IP地址是192.168.100.11)是主机B(假设IP地址为192.168.100.1)的被信任主机,主机X想冒充主机A从主机B获得某些服务。首先,攻击者修改距离X最近的路由器G2,使用到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗(把数据包的源地址改为192.168.100.11)向主机B发送带有源路由选项(指定最近的G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,传送到被更改过的路由器G2。由于G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在的网络,X可在其局域网内较方便地进行侦听,收取此数据包。
防范IP源路由欺骗的好方法主要有:
1.配置好路由器,使它抛弃那些由外部网进来的、声称是内部主机的报文;
2.关闭主机和路由器上的源路由功能。
四、TCP欺骗
实现TCP欺骗攻击有两种方法:
1.非盲攻击
攻击者和被欺骗的目的主机在同一个网络上,攻击者可以简单地使用协议分析器(嗅探器)捕获TCP报文段,从而获得需要的序列号。以下是其攻击步骤:
(1)攻击者X要确定目标主机A的被信任主机B不在工作状态,若其在工作状态,也使用SYN flooding等攻击手段使其处于拒绝服务状态。
(2)攻击者X伪造数据包:B->A:SYN(ISN C),源IP地址使用B,初始序列号ISN为C,给目标主机发送TCP的SYN包,请求建立连接。
(3)目标主机回应数据包:A->B:SYN(ISN S),ACK(ISN C),初始序列号为S,确认序号为C。由于B处于拒绝服务状态,不会发出响应包。攻击者X使用嗅探工具捕获TCP报文段,得到初始序列号S。
(4)攻击者X伪造数据包:B->A:ACK(ISN S),完成三次握手建立TCP连接。
(5)攻击者X一直使用B的IP地址与A进行通信。
2.盲攻击
由于攻击者和被欺骗的目标主机不在同一个网络上,攻击者无法使用嗅探工具捕获TCP报文段。其攻击步骤与非盲攻击几乎相同,只不过在步骤(3)中无法使用嗅探工具,可以使用TCP初始序列号预测技术得到初始序列号。在步骤(5)中,攻击者X可以发送第一个数据包,但收不到A的响应包,较难实现交互。
篇3:网络欺骗技术
常见网络进攻主要是以下两种模型:一种是扫描特定端口, 发现漏洞并跟踪相应的服务后利用自动化攻击工具立刻展开攻击, 如:Nimda、RedCode、scriptkitts等蠕虫病毒;另一种模式是广泛扫描所有端口, 查找系统漏洞, 从中选取最有价值之处发起攻击, 如:advanced blackhat[1]。
为了应对网络攻击, 许多主被动网络安全手段被设计出来, 这其中, 通过网络欺骗技术来误导网络攻击是一种极具应用前景的主动的网络安全手段。网络欺骗技术通常作为边界网络安全中的最外层防护机制[2]。该项技术是通过欺骗使进攻者丢失进攻目标, 或通过误导提高进攻代价, 从而降低受保护网络被入侵的几率。
目前, 网络欺骗采用了旁路引导技术, 主要在以下两方面发挥作用[3]:①快速检测入侵者, 判定进攻技术及进攻意图;②欺骗入侵者, 使其错误选择攻击对象, 消耗入侵者的资源与时间。为了实现上述目的, 网络欺骗采用了构造欺骗空间、网络动态配置、多重地址交换、流量仿真等核心技术。其中, 现阶段构造欺骗空间技术可在一台32位系统PC上模拟出3 000个以上不同MAC的IP地址[4], 并逐一为其伪造不同的网络服务, 使得入侵者必须消耗大量的资源和时间来从众多地址和服务中寻找攻击对象。
1 网络欺骗技术安全性分析
网络欺骗技术可以很好地兼容防火墙、防毒网、IDS等目前普遍使用的传统网络安全技术, 与传统网络安全技术相比, 其具有响应迅速、定位准确的特点, 防护性能有了很大的提高。下面, 从预防、检测、响应三方面阐述网络欺骗技术对于提高网络安全性的作用。
网络欺骗技术中采用欺骗地址空间技术、慢响应、创建诱饵和欺骗信息等技术手段有效预防了网络攻击。如前所述, 网络攻击都是从扫描开始, 若我们通过网络欺骗技术构建一个比真实地址空间更大的欺骗地址空间, 入侵者将花费更多的时间和资源来扫描这个欺骗地址, 从而降低真实地址被扫描到的几率;慢响应是指当入侵者扫描欺骗空间或攻击诱饵时, 欺骗系统随机地给予伪目标比真实系统更慢的响应, 迷惑攻击者, 使其相信攻击产生了效果, 于是攻击者便会花费更多的时间和资源在伪目标上, 从而保护真实系统;诱饵和欺骗信息可以使攻击者相信自己是有价值的目标, 提高入侵者对自身发动攻击的机会, 大量消耗了入侵者的资源与时间, 降低真实系统被攻击的风险。
由于被创建的欺骗地址空间不为外界所知, 除流量仿真外任何与欺骗地址空间有关的网络流量都将被视为网络攻击, 这是欺骗技术实现检测功能的核心思想。基于设计初衷, 入侵者开始进攻后扫描到欺骗地址的几率很大, 根据其特征判断是否为攻击, 很容易被检测到, 且过程中不用还原网络报文, 这种检测思想与蜜罐一致, 可以有效避免误报和漏报。
为了对网络攻击进行有效响应, 网络欺骗技术准确记录入侵者的攻击行为, 通过虚假服务回应入侵者的服务请求, 控制防火墙阻断外部攻击报文, 并以邮件、短信或语音等形式报警。
2 网络欺骗技术阻断网络攻击的效果评价
衡量网络欺骗技术阻断网络攻击效果的评价指标如下:①消耗入侵者的时间;②减少对实际系统的进攻概率;③提高攻击的检出率。下面举例说明:实际系统以St表示, 实际系统地址总和为Nt, 扫描实际地址的平均响应时间为Tt;构建的欺骗系统以Sd表示, 欺骗地址总和为Nd, 扫描欺骗地址平均响应时间为Td。所在的网络环境如图1所示。由于欺骗系统采用了慢响应策略, 使得Td>Tt, 攻击报文在入侵者和被攻击系统间的往复时间为Tr。
2.1 消耗入侵者时间
依据攻击报文到达目标—目标响应—响应报文返回的顺序, 网络攻击采用并行扫描方式, 对实际系统St进行一次扫描耗时为:0. 5Tr+ Tt+ 0. 5Tr=Tt+Tr, 扫描欺骗系统Sd一次耗时为Td+Tr 。假设入侵者进行n1+n2次扫描, 其中扫描实际系统地址n1次, 扫描欺骗地址n2次, 扫描间隔平均为T1, 扫描欺骗的地址n2个报文中会有m个无响应被Sd丢弃, 这些无响应报文常为ICMP、 FIN 、SYN型。于是, 在不含欺骗地址的实际网络中, 进行 (n1+n2) 次扫描耗时不少于 (m+n-1) T1+Tt+Tr;而在由实际地址和欺骗地址共存的网络 (St+Sd) 中, 攻击扫描 (n1+n2) 次花费时间不少于 (n1+n2+m-1) T1+Td+Tr。例如, 在满足上述设置的某网络中进行nmap扫描, n1=147, n2=120, m=36, Tr=25ms, T1=0.4ms, Tt=0. 1ms, Td=110ms, 则在只有St的网络中扫描仅需89ms, 而在实际地址和欺骗地址共存的网络 (St+Sd ) 中扫描却耗时231.3ms, 在扫描次数较多时, 扫描欺骗网络耗时约相当于扫描实际网络耗时的k/ (m+n) 倍。
若网络攻击采用串行扫描方式, 采用上述算法, 当n1=40, n2=30, m=9, Tr= 20ms, T1=0.2ms, 扫描重传超时为Te=1 800ms时, 扫描由ST 组成的真实网络耗时5 628.1ms, 而扫描由 (St+ Sd) 组成的欺骗网络却耗时79 030.5ms。在多次扫描时, 扫描欺骗网络耗时约相当于扫描实际网络耗时的[ (1+ Te/Tr) m]/ (n1+ n2) 倍。不难看出, 欺骗技术可以极大地消耗网络攻击的时间与资源。
我们知道, 入侵者发生系统接触时间越长, 攻击被检测到的可能性越大, 为此欺骗系统在设计中应尽可能延长该时间。所谓入侵者系统接触时间指的是入侵者与系统发生交互的时间。对于扫描特定端口的网络攻击而言, 入侵者系统接触时间包含了攻击者扫描和攻击整个过程所用的时间;而广泛扫描所有端口的网络攻击, 除了确定最有价值的漏洞过程, 其他入侵过程所用时间都属于攻击者系统接触时间。
2.2 降低实际系统被进攻的概率
以下通过实验分析欺骗系统如何减少攻击者对实际系统攻击机会。实验原理基于Fred Cohen提出的对攻击者的多组研究实验[5], 结果以攻击图表示。首先, 将网络入侵划分为多个阶段, 并以“数字+字母”的形式加以标识。如, 1T、1D:定位目标 (T对应St、D对应Sd) ;2T、2D:登录并分析内容;3T、3D:离开重进入、提高权限;4T、4D:欺骗攻击者误认自己攻击成功。利用Fred Cohen多组研究实验的数据建立的攻击图如图2所示。
图2中, 纵轴的正值方向处于真实系统中, 负值方向处于欺骗系统中, 横轴为攻击时间。攻击图中虚线表示未使用欺骗技术时实际网络攻击行为, 而实线表示使用欺骗技术后的网络攻击行为。图1中攻击点数经统计后结果如表1所示。可见, 相同的网络环境下真实系统被攻击概率从86. 4 % 下降为30.9 %, 说明采用了欺骗技术可以有效保护实际网络系统。
2.3 提高攻击检出率
为了提高攻击检出率, 欺骗系统优化了设置, 当位于欺骗空间中的地址被恶意扫描, 或收到来自位于目标地址范围中的入侵报文, 则认定系统受到攻击, 避免了扫漏一些难以检测的极慢速扫报。对于一个使用欺骗技术改造过的网络系统, 实际地址空间为Nt, 欺骗地址空间为Nd。无论采取哪一种进攻模式, 当针对实际系统和欺骗系统所在的网络进行第一阶段入侵扫描时, 首先被检测到的扫描报文必然来自目标地址Nd, 其检出概率为Nd/ (Nd+Nt) ;即使最初的扫描不针对Nd, 根据两种不同模式的网络攻击入侵的特点, 在后续的扫描中必然会针对Nd中的欺骗地址, 一旦入侵者 “触雷”, 系统就能准确检测出网络攻击。下面举例说明, 网络受到一种广泛扫描所有端口类型的攻击者入侵, 攻击者会逐一扫描入侵网络中的所有地址端口, 必然会扫描到Nd中的欺骗地址, 从而被检出;对于扫描特定端口的网络攻击, 即便最初入侵的是位于Nt中的地址, 其在随后的扫描中也会随即选择位于同一网段中的地址[3], 其中必然包含位于Nd中的地址, 一旦触及, 欺骗地址就能被检出。
3 结语
网络欺骗技术作为一种主动安全手段, 可以有效地抵御扫描型的网络入侵, 增大攻击的检出率, 具有良好的应用前景, 值得关注。但是, 本研究也存在着攻击模型简单、攻击类型单一等缺陷, 特别是对于采用非扫描模式的网络入侵, 由于尚无准确的理论模型, 推导其在有和无欺骗系统的情况下入侵所消耗时间, 只能用统计实验的方式开展相关研究, 此类攻击模型还需在后续研究中不断探索。
参考文献
[1]SPITZNER L.Honeypots:tracking hackers[M].Boston:AddisonWesley, 2002.
[2]高为民.对网络攻击行为实施欺骗和诱导的研究[J].微计算机信息, 2007 (33) .
[3]尹红.网络攻击与防御技术研究[J].计算机安全, 2007 (8) .
[4]BRUCE S.Secrets and lies[M].New York:John Wiley and Sons, Inc, 2000.
篇4:网络安全中网络欺骗的作用初探
关键词:网络安全;网络欺骗;作用
中图分类号:D917 文献标识码:A文章编号:1007-9599(2012)03-0000-02
The Effect of the Network Deceive in Network Security
Liu Baiqiang
(Qiongzhou College of Electronic Information Engineering, Sanya City,Hainan,Sanya572020,China)
Abstract:The advances in network technology, network security has brought a series of negative effects of network attacks are increasingly common, a serious threat to the security of the network environment, to become a modern society, much attention to the problem. Spoofing can improve network security analysis, and network security for the accurate evaluation of the effect, and effectively reduce the probability of network intrusions and attacks, and has a certain role in maintaining network security, we must constantly improve their own network technology, to better safeguard the security of the network environment.
Keywords:Network security;Network to deceive;Role
计算机技术的迅速发展,带来了一系列的计算机网络安全问题,对人们正常的生活方式和生产方式也产生了极为严重的影响,随着网络技术的不断普及,社会大众对于网络信息的了解和认识也变得越来越深入,同时,网络技术的进步也带来了一系列的负面影响,网络攻击行为越来越普遍,严重威胁到了网络环境的安全性,成为现代社会备受人们关注的问题。
一、网络欺骗的含义及形式
网络欺骗就是攻击者利用入侵者的信任心理所布置的网络陷阱,入侵者在进入网络环境中,往往会相信网络环境中有有利于自己的信息资源,而攻击者恰好利用了入侵者的这一弱点,在网络中伪造了一些并没有实际使用价值的非重要资源吸引入侵者的注意,并利用这些资源引导入侵者点开这些资源,从而增加了入侵者的寻找有用资源的不确定性、复杂程度和工作量,使入侵者对自己的入侵行为缺乏准确的判断力,不确定自己是否需要进攻,同时,网络欺骗使入侵者的行为受到防护者的跟踪,为保护入侵者的网络系统,对系统存在的安全漏洞在入侵者攻击之前进行了漏洞修护,并能对入侵方进行及时的反击。
网络欺骗的形式多样,比较普遍的是网络欺骗者通过网民的点击量和浏览量在网络经济中获取一定的利润,也有一些是通过非法获取网民的账号信息或其他有价值的信息来欺骗被害人的亲朋好友,从中获取经济利益,也有一些是通过盗取网民的网络购物信息,从中获取不义之财,网络欺骗者往往会通过愚弄网民、混淆网民试听的方式来操纵网民的意志,并综合运用其他的一些欺骗手段,以假乱真,在网络环境中进行各种各样的网络欺骗,损害人民的利益。
二、网络欺骗的原因分析
(一)网络环境的复杂性。网络环境具有很强的复杂性,涉及到很多机构和个人的利益,它是网络欺骗存在的基础,也直接关系到网络欺骗的多少和欺骗程度,要想扭转网络欺骗的现状,还需要一个长久的过程,尤其是在网络购物环境中,网络欺骗的存在想象尤其突出,很多商品销售网站为了谋取利益不择手段,在网站注册和监管的过程中出现了很多问题,很多网站为了扩大自己的营销范围,与一些不合法的涉黄涉毒网站进行合作,将一些不合法的广告链接贴在知名网站上,严重影响了网络的安全性。
(二)网络监管不成熟。网络监管是一个很庞大的操作和执行系统,其中的某一个环节或地方出现一点纰漏就会造成严重的网络欺骗行为,我国的网络监管在现在看来还并不成熟,这就给很多网络欺骗者带来了可乘之机,严重影响到网络安全,网络环境虚拟性的特点,也要求国家必须尽快制定一些强有力的网络管理措施,严厉打击网络欺骗行为,以免为社会大众造成严重的不良后果。
(三)欺骗的成本低廉。网络欺骗几乎是属于零成本的投资买卖,这些网络欺骗者大都属于网络老江湖,并且普遍年龄不大,他们最常用的手段就是将聊天工具挂在页面上,等待入侵者上钩,而网络欺骗所获得的收益是巨大的,这样的收益往往使网络欺骗者沉浸到网络欺骗中不能自拔,最终形成网络犯罪。
(四)网络生活普遍低品位。网络欺骗者的犯罪行为之所以屡试不爽,其非常重要的一个原因就是网民的网络生活普遍品味不高,网络中的很多人并没有对文学、历史这些主流文化做到过多关注,反而像一些游戏、色情等一些非主流的网站比较受网民热衷,这样做的不良现象就给了网络欺骗者有机可乘的机会,他们利用了网民的这一低品位的特点,制造大量的网络欺骗,给予很多网民以沉重的打击。
三、网络安全中网络欺骗的作用
(一)网络欺骗能够提高网络的安全性分析。传统的网络安全技术主要包括防病毒网、IDS、防火墙等,网络欺骗能够做到与这些技术有机的结合,它们之间并不是完全对立的,网络欺骗在很大程度上能够提高网络的安全性。网络欺骗中的很多技术都具有很强高的网络预防作用,例如慢响应、诱饵、地址空间技术以及创建欺骗信息诱饵等,网络欺骗技术具有很强的检测功能,它能够制造一种欺骗性的地址空间,这种欺骗性的地址空间与真实的地址空间不同,它不被外界所知,与这种欺骗性的地址空间有关的所耗费的网络流量都属于网络攻击,网络攻击几乎都是通过网络扫描开始的,这样的形式使得网络欺骗不需要还原报文的原有内容,避免了漏报和误报。
(二)网络欺骗能够进行准确的效果评价。检测网络欺骗效果的主要指标包括三项,第一项就是被检测到的攻击的概率,第二项是减少对实际系统进攻的概率,第三项是攻击者采用了一定的欺骗手段后计算所消耗的时间多少。通过对这些指标进行准确地统计,就能对网络欺骗的效果作出合理的评价,同时,网络欺骗的技术手段也能够减少攻击者对实际系统进攻的概率,有效地减少网络遭受攻击和被入侵的概率。实现网络环境的安全性。
结语:作为一种进行网络攻击的最新技术手段,网络欺骗发生的范围是巨大的,如果一个网络系统的底层受到破坏,那么这个网络系统的所有协议都将处在一种不安全的状态之下。近年来,网络欺骗的技术水平不断提高,其发生的频率也不断增多,呈现出了网络欺骗泛滥的网络现状,网络欺骗实际上是可以避免的,这就要求网民在上网的过程中,一定要严格遵守相关的制度规定,遵循一定的规律,减少网络欺骗对自己所造成的危害。当然,我们也应该看到,网络欺骗技术的增强,也能有效地减少网络被入侵和攻击的概率,为维护网络安全具有一定的作用,我们必须不断改进自己的网络技术,维护网络环境的安全性。
参考文献:
[1]宋月红.网络信息安全保障的应用探索[J].制造业自动化,2010,(09)
[2]梁成国.DDoS攻击原理剖析和防御策略[J].广西大学学报(自然科学版),2009,(S1)
[3]杜彦辉.利用蜜罐技术实现对互联网非法活动进行监控[J].中国人民公安大学学报(自然科学版),2007,(04)
[4]吴士君,李媛媛.浅谈网络攻击常用方法[J].硅谷,2009,(16)
[5]李响,白建涛.计算机网络攻击及安全防范策略探讨[J].硅谷,2010,(04)
[6]黄汇.家庭计算机的网络安全问题研究[J].硅谷,2010,(10)
篇5:网络欺骗之链接交换WEB安全
一、我哪来的2500元电话费?
刘女士,某外企公司员工,因为工作的需要,常常到国外网站收集资料;生活中的联系则主要由两部手机完成,一部移动,主要用于工作,一部小灵通,主要是亲戚朋友进行沟通,再加上家中的座机,正常费用每月三百元左右。
10月5日,她到当地电信局缴费,不禁大吃一惊,因为本月的电话费竟高达2500元!打出电话清单一看,其中十几个竟然是直拔美国。刘女士百思不得其解,我从没拔打过国际长途呀!
其实,刘女士中了“网上链接陷阱”,由于经常到国外一些站点浏览、下载软件,在使用软件的同时,用户与ISP的连接被偷偷关闭,而接上国外的长话拨号台,使用户支付巨额国际长途话费。
编辑语:对于这种网络陷阱,我们其实可以防治,因为凡是链接被别人偷用作国际拔号连接,你的Modem会发出明显的拔号声,当遇到这种情况,请立即关闭网络,并对电脑进行查毒、查木马操作,为了保险,还可以重装系统,并将一些来路不明的软件,特别是国外软件清除出去,
另外,还可以关闭上网电话的国际长话功能。
二、0元的罚款,真是比窦娥还冤
杨先生是一私营业主,主要做丝绸方面的交易,内地丝绸生意不好做,国外有丝绸需求却无奈联系不上,于是早在,杨先生就开通了互联网,并通过互联网跟印度、巴基斯坦、绚甸、中美一些国家的商人进行了商业交流。从某些方面来看,他也算是互联网真正挖到第一桶金的人之一,论网络经验,也算是本地IT界中的名人。
然而阴沟里也有翻船的时候,就在上个月,这位小有名气的网络操盘手也被“冤”了一下,当记者采访到他时,还可以看见他满脸的悻悻然。
创业之初,杨先生苦于网站流量太小,于是四处挂链接,文本的、图片的,反正不用缴钱,不挂白不挂,至于到底挂了多少个网站,杨先生自己也不甚了了。随着时间的推移,网站基本形成了自己的客户资源流,杨先生对以前那些所挂链接也不大在意了。
正是因为这个原因,杨先生被“请”进了公安局,费尽口舌并被罚款20000,最后总算“交待清楚”了自己的问题,原来,他的广告链接中有一个“在线商务”网站,点击进去竟然是一个黄色站点。
杨先生表示,自己是正规的商业网站,怎么可能跟那些违法犯纪的站点挂链接?一定是以前“在线商务”网站倒闭或者是改变了经营范围,而自己没有进行跟踪管理,所以才吃了这个哑巴亏。
编辑语:
篇6:交换网络中的嗅探及ARP欺骗
以太网内的嗅探(sniff)对于网络安全来说并不是什么好事,虽然对于网络管理员能够跟踪数据包并且发现网络问题,但是如果被破坏者利用的话,就对整个网络构成严重的安全威胁,至于嗅探的好处和坏处就不罗嗦了。
这是192.168.10.1机器上的ARP缓存表,假设,A进行一次ping 192.168.10.3操作,PING主机C,会查询本地的ARP缓存表,找到C的IP地址的MAC地址,那么就会进行数据传输,目的地就是C 的MAC地址。如果A中没有C的ARP记录,那么A首先要广播一次ARP请求,当C接收到A 的请求后就发送一个应答,应答中包含有C的MAC地址,然后A接收到C的应答,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。集线器网络(Hub-Based)
很多网络都是用Hub进行连接的。数据包经过Hub传输到其他计算机的时候,Hub只是简单地把这个数据包广播到Hub的所有端口上。这就是上面举例中的一种网络结构。
现在A需要发送TCP数据包给C。首先,A需要检查本地的ARP 缓存表,查看是否有IP为192.168.10.3即C的ARP记录,如果没有那么A将要广播一个ARP请求,当C接收到这个请求后,就作出应答,然后A更新自己的ARP缓存表。并获得与C的IP相对应的MAC地址。这时就传输这个TCP数据包,Ethernet帧中就包含了C的MAC地址。当数据包传输到HUB的时候,HUB直接把整个数据包广播到所有的端口,然后C就能够接收到A发送的数据包。
正因为HUB把数据广播到所有的端口,所以计算机B也能够收到A发送给C的数据包。这正是达到了B嗅探的目的。因此,Hub-Based的网络基本没有安全可言,嗅探在这样的网络中非常容易。
交换网络(Switched Lan)
交换机用来代替HUB,正是为了能够解决HUB的几个安全问题,其中就是能够来解决嗅探问题。Switch不是把数据包进行端口广播,它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此,在交换网络上,如果把上面例子中的HUB换为Switch,B就不会接收到A发送给C的数据包,即便设置网卡为混杂模式,也不能进行嗅探。
这可不是小事。局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行传输。现在192。168。10。3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192。168。10。3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是什么呢?网络不通,A根本不能Ping通C!!这就是一个简单的ARP欺骗。
我们来实现这样的ARP欺骗。这里需要使用一个WinPcap提供的API和驱动。(http://winpcap。polito。it/),winpcap是一个伟大而且开放的项目。Windows环境下的nmap、snort、windump都是使用的winpcap。
于是A接收到一个被伪造的ARP应答。A被欺骗了!!倘若在局域网中看某某机器不顺眼,……以太网中的嗅探太有作用了,但是交换网络对嗅探进行了限制,让嗅探深入程度大打折扣。不过,很容易就能够发现,主机、Switch(动态更新地址表类型,下同)中的缓存表依然是(主要是)动态的。要在一个交换网络中进行有效的嗅探工作(地下党?),需要采用对付各种缓存表的办法,连骗带哄,甚至乱踹,在上面的ARP欺骗基础中我们就能够做到。
对目标进行ARP欺骗
就象上面程序中实现的一样,对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上,
如果进行欺骗的时候,把C的MAC地址骗为BB-BB-BB-BB-BB-BB,于是A发送到C上的数据包都变成发送给B的了。这不正好是B能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了!!B对接收到A发送给C的数据包可没有转交给C。做“man in the middle”,进行ARP重定向。打开B的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如B发送ICMP重定向的话就中断了整个计划。直接进行整个包的修改转发,捕获到A发送给的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在B就完全成为A与C的中间桥梁了。
对Switch的MAC欺骗
Switch上同样维护着一个动态的MAC缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port n <->Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。举例来说,当Port 1口所接的计算机发出了一个数据帧,这帧数据从Port 1进入交换机,交换机就取这个数据帧的原MAC地址AAAA,然后在地址表中记录:Port 1 <->AAAA, 以后,所有发向MAC地址为AAAA的数据帧,就全从Port 1口输出,而不会从其它的口输出。<-><->
跟前面对目标进行欺骗相类似。如果把Switch上的MAC-PORT表修改了,那么对应的MAC和PORT就一样跟着改变,本来不应该发送到嗅探器的数据结果发送过来了,这样也达到了嗅探的目的。修改本地(B)发送的数据包MAC地址为原来A的MAC地址,当经过交换机的时候,交换机发现端口B对应的地址是机器A的MAC地址,于是就将会把A的MAC地址同端口B相对应,从而把发送给A的数据从端口B传输了,本来这些应该是传送到端口A的。因此,从机器B就能够获得发送给A的数据。
但是,这里有一个问题,A将接收不到数据了。嗅探不目的并不是要去破坏正常的数据通讯。同时,从刚才的欺骗中,让交换机中一个MAC地址对应了多个端口,这种对于交换机处理还不清楚。还请多指教。
对Switch进行Flood
就象上面介绍Switch的MAC和Port对应关系形成的原理,因为MAC-PORT缓存表是动态更新的,那么让整个Switch的端口表都改变,对Switch进行MAC地址欺骗的Flood,不断发送大量假MAC地址的数据包,Switch就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么Switch就会进行泛洪发送给每一个端口,让Switch基本变成一个HUB,向所有的端口发送数据包,要嗅探的目的一样能够达到。
存在的问题,Switch对这种极限情况的处理,因为属于不正常情况,可能会引起包丢失情况。而且现在对这种极限情况的Switch状态还很不了解。如果对网络通讯造成了大的破坏,这不属于正常的嗅探(嗅探也会引起一些丢失)。
对Switch进行各种手段的操作,需要小心,如果打开了端口保护,那么可能会让交换机关闭所有用户。因此,对交换机这样的设备进行欺骗或者其他操作,还不如对一些上级设备进行欺骗,比如目标主机或者路由器。
