dns欺騙

更新時間:2023-04-19 05:00:16 閱讀： 評論：0

青春的文章-邀請信

2023年4月19日發(作者：火災逃生演練)協議欺騙攻擊技術常見種類簡析及防范
協議欺騙攻擊技術是針對網絡協議的缺陷，采用某種欺騙的手段，以截獲信息或取得特權的攻
擊方式。主要的協議欺騙攻擊方式有:IP欺騙、ARP欺騙、DNS欺騙、源路由欺騙等。
AD：
IP欺騙攻擊
IP欺騙技術就是通過偽造某臺主機的IP地址騙取特權從而進行攻擊的技術。許多應用程序認為
如果數據包能夠使其自身沿著路由到達目的地，而且應答包也可以回到源地，那么源IP地址一
定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提。
假設同一網段內有兩臺主機A、B，另一網段內有主機X。B 授予A某些特權。X 為獲得與A
相同的特權，所做欺騙攻擊如下：首先，X冒充A，向主機 B發送一個帶有隨機序列號的SYN
包。主機B響應，回送一個應答包給A，該應答號等于原序 列號加1。然而，此時主機A已被
主機X利用拒絕服務攻擊 “淹沒”了，導致主機A服務失效。結果，主機A將B發來的包丟
棄。為了完成三次握手，X還需要向B回送一個應答包，其應答號等于B向A發送數據 包的
序列號加1。此時主機X 并不能檢測到主機B的數據包（因為不在同一網段），只有利用TCP
順序號估算法來預測應答包的順序號并將其發送給目標機B。如果猜測正確，B則認為收到的
ACK是來自內部主機A。此時，X即獲得了主機A在主機B上所享有的特權，并開始對這些
服務實施攻擊。
要防止源IP地址欺騙行為，可以采取以下措施來盡可能地保護系統免受這類攻擊：
拋棄基于地址的信任策略： 阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗
證。不允許r類遠程調用命令的使用；刪除.rhosts 文件；清空 文件。這將迫使所
有用戶使用其它遠程通信手段，如telnet、ssh、skey等等。使用加密方法： 在包發送到 網絡
上之前，我們可以對它進行加密。雖然加密過程要求適當改變目前的網絡環境，但它將保證數
據的完整性和真實性。進行包過濾：可以配置路由器使其能夠拒絕網絡外部與本網內具有相同
IP地址的連接請求。而且，當包的IP地址不在本網內時，路由器不應該把本網主機的包發送出
去。
有一點要注意，路由器雖然可以封鎖試圖到達內部網絡的特定類型的包。但它們也是通過分析
測試源地址來實現操作的。因此臺灣高山茶
，它們僅能對聲稱是來自于內部網絡的外來包進行過濾，若你的網絡存在外部可信任主機，那
么路由器將無法防止別人冒充這些主機進行IP欺騙。
ARP欺騙攻擊
在局域網中，通信前必須通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）。
ARP協議對網絡安全具有重要的意義，但是當初ARP方式的設計沒有考慮到過多的安全問題，
給ARP留下很多的隱患，ARP欺騙就是其中一個例子。而ARP欺騙攻擊就是利用該協議漏洞，
通過偽造IP地址和MAC地址實現ARP欺騙的攻擊技術。
我們假設有三臺主機A,B,C位于同瑪瑙 一個交換式局域網中，監聽者處于主機A，
而主機B,C正在通信。現在A希望能嗅探到B->C的數據， 于是個人工作總結簡短 A就可以偽裝成C對B做ARP
欺騙——向B發送偽造的ARP應答包，應答包中IP地址為C的IP地址而MAC地址為A的
MAC地址。 這個應答包會刷新B的ARP緩存，讓B認為A就是C，說詳細點，就是讓B認
為C的IP地址映射到的MAC地址為主機A的MAC地址。 這樣，B想要發送給C的數據實
際上卻發送給了A，就達到了嗅探的目的。我們在嗅探到數據后，還必須將此數據轉發給C， 這
樣就可以保證B,C的通信不被中斷。以上就是基于ARP欺騙的嗅探基本原理，在這種嗅探方法
中，嗅探者A實際上是插入到了B->C中， B的數據先發送給了A，然后再由A轉發給C，其
數據傳輸關系如下所示逝去的青春 ：
B----->A----->C
B DNS欺騙攻擊
DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS服務器掉入陷阱，使用了來
自一個惡意DNS服務器的錯誤信息，那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受

攻擊的DNS服務器產生許多安全問題，例如：將用戶引導到錯誤的互聯網站點，或者發送一個
電子郵件到一個未經授權的郵件服務器。網絡攻擊者通常通過以下幾種方法進行DNS欺騙。
（1）緩存感染黑客會熟練的使用DNS請求，將數據放入一個沒有設防的DNS服務器的緩存當
中。這些緩存信息會在客戶進行DNS訪問時返回作文疫情 給客戶，從而將客戶引導到入侵者所設置的運
行木馬的Web服務器或郵件服務器上，然后黑客從這些服務器上獲取用戶信息。
（2）DNS信息劫持入侵者通過監聽客戶端和DNS服務器的對話，通過猜測服務器響應給客戶
端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號，DNS服務器根據這個ID號
獲取請求源位置。黑客在DNS服務器之前將虛假的響應交給用戶，從而欺騙客戶端去訪問惡意
的網站。
（3）DNS重定向攻擊者能夠將DNS名稱查詢重定向到惡意DNS服務器。這樣攻擊者可以獲
得DNS服務器的寫權限。防范DNS欺騙攻擊可采取如下措施：
直接用IP訪問重要的服務，這樣繁體字網名 電腦基礎 至少可以避開DNS欺騙攻擊。但這需要你記住要訪問的IP
地址。加密所有對外的數據流，對服務器來說就是盡量使用SSH之類的有加密支持的協議，
對一般用戶應該用PGP之類的軟件加密所有發到網絡上的數據。這也并不是怎么容易的事情。
源路由欺騙攻擊
通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動
作，這就是源路由攻擊。在通常情況下，信息包從起點到終點走過的路徑是由位于grow過去分詞 此兩點間的
路由器決定的，數據包本身只知道去往何處，但不知道該如何去。源路由可使信息包的發送者
將此數據包鷹隼 要經過的路徑寫在數據包里，使數據包循著一個對方不可預料的路徑到達目的主機。
下面仍以上述源IP欺騙中的例子給出這種攻擊的形式：
主機A享有主機B的某些特權，主機X想冒充主機A從主機B（假設IP為）
獲得某些服務。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的地址
的數據包以主機X所在的網絡為目的地；然后，攻擊者X利用IP欺騙向主機B
發送源路由(指定最近的路由器)數據包。當B回送數據包時，就傳送到被更改過的路由器。這
就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數據。
為了防范源路由欺騙攻擊，一般采用下面兩種措施：
對付這種攻擊最好的辦法是配置好路由器，使它拋棄那些由外部網進來的卻聲稱是內部主機
的報文。在路由器上關閉源路由。用命令no ip source-route。


責任編輯 趙毅 zhaoyi# TEL:（010）68476636-8001


基于Eclip的開源框架技術與實戰
當前，開源框架層出不窮，它為用戶提供了通用的解決方案，同時也增加了用戶的學習難度。除皺針的危害和副作用
開源是一把“雙刃劍”，一方面它共享了資

違反政治紀律-小學生閱讀計劃

本文發布于:2023-04-19 05:00:05，感謝您對本站的認可！

本文鏈接：http://m.newhan.cn/zhishi/a/1681851614158246.html

版權聲明：本站內容均來自互聯網，僅供演示用，請勿用于商業和其他非法用途。如果侵犯了您的權益請與我們聯系，我們將在24小時內刪除。

本文word下載地址：dns欺騙.doc

本文 PDF 下載地址：dns欺騙.pdf

上一篇：古詩接龍

下一篇：返回列表

標簽：dns欺騙