概述
在Internet上计算机之间相互进行的交流建立在两个前提之下:
①认证:认证是网络上的计算机用于相互间进行识别的一种鉴别过程,经过认证的过程,获准相互交流的计算机之间就会建立起相互信任的关系。
轮叶黑藻②信任:信任和认证具有逆反关系,即如果计算机之间存在高度的信任关系,则交流时就不会要求严格的认证。而反之,如果计算机之间没有很好的信任关系,则会进行严格的认证。
欺骗实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终攫取信息或是展开进一步攻击。
欺骗是发送方地址的欺骗,各种病毒、木马、垃圾邮件、钓鱼软件等一系列不安全的因素的存在,使得使用面临着被攻击或者被欺骗等各种安全风险。 一、欺骗的原理
(1)邮件系统养护机械
一个邮件系统的传输包含用户代理、传输代理及投递代理三大部分。 输入阻抗1)用户代理是一个用户端发信和收信的程序,负责将信件按照一定的标准包装,然后送到邮件服务器,将信件发出或由邮件服务器收回。
2)传输代理则负责信件的交换和传输,将信件传送至适当的邮件服务器。
3)由投递代理将信件分发至最终用户的邮箱。
在正常的情况下,邮件会尽量将发送者的名字和地址包括进邮件头信息中,但是有时候发送者希望将邮件发送出去而不希望收件者知道是谁发的,这种发送邮件的方法称为匿名邮件。
实现匿名的一种最简单的方法,是简单地改变软件里发送者的名字,但通过邮件头的其他信息,仍能够跟踪发送者。
另一种比较彻底的匿名方式是让其他人发送这个邮件,邮件中的发信地址就变成了转发者
得到地址。现在因特网上有大量的匿名转发者(或称为匿名服务器)。
(2)欺骗的基本方法
执行欺骗有三种基本方法,每一种有不同难度级别,执行不同层次的隐蔽。它们分别是:利用相似的地址、直接使用伪造的E-mail地址、远程登录到SMTP端口发送邮件。
1)利用相似的地址
这主要是利用人们的大意心理。攻击者到一个受害者熟悉的名字。有了这个名字后,攻击者注册-一个看上去像受害者熟悉的名字的邮件地址。这样收信人很可能会回复这个邮箱发来信,这样攻击者就有得到想要信息的可能性。
2)直接使用伪造的Email地址
SMTP协议( 即简单邮件传输协议)有着一个致命的缺陷:它所遵循过于信任的原则,没有设计身份验证系统。SMTP建立在假定人们的身份和他们所声称一致的基础之上,没有对邮件发送者的身份进行验证。这使得人们可以随意构造发件人地址来发送邮件。
男性研发重大突破对于那些没有设置SMTP身份验证功能的邮件服务器,当用户使用邮件客户软件发出时,发送邮件服务器不会对发件人地址进行验证或者确认,因此攻击者能够随意指定他想使用的所有地址,而这些地址当然会作为邮件源出现在收件人的信中。
此外,攻击者还能够指定他想要的任何邮件返回地址。因此当用户回信时,答复回到的是攻击者所掌握的邮箱,而不是回到被盗用了地址的人那里。
立柱桩
3)远程登录到SMTP端口
SMTP协议一般使用25号端口,邮件服务器通过它在互联网上发送邮件。
执行欺骗的一个比较复杂的方法是远程登录到邮件服务器的25号端口发送邮件。
攻击者首先到邮件服务器的IP地址,或者通过运行端口扫描程序来判断哪些机器是25号端口开放的邮件服务器。
二、欺骗的防御
(1)邮件接收者
做为邮件接收者来说,用户需要合理配置邮件客户端,使每次总能显示出完整的地址,而不是仅仅显示别名,完整的地址能提供一些迹象表明正在发生一些不平常的事情。
用户应该注意检验发件人字段,不要被相的发信地址所蒙蔽。
(2)邮件发送者
做为邮件发送者来说,如果使用foxmail或者outlook之类的邮件客户端,必须保护好这些邮件客户端,防止他人对客户端的设置进行修改。
(3)邮件服务器
1)对于邮件服务器提供方来说,采用的SMTP身份验证机制。
原来使用SMTP协议发送邮件的时候并不需要任何验证,身份欺骗极易实现。现在将POP协议收取邮件需要用户名/密码验证的思想移至到SMTP协议,发送邮件也需要类似的验证。绝大多数邮件服务提供商都是采用的这种做法,通常是使用与接收邮件相同的用户名和密码来发送邮件。
采用这种方法之后,虽然SMTP协议安全性的问题仍然无法从根本上得到解决,但是欺骗已经变得不像过去那么容易了。
2)防火墙技术主要解决的是服务器安全性的问题。
防火墙是一台夹在可靠系统和不可靠系统之间的计算机或者路由器。它限制这两个安全域之间的网络访问,并且监控和记录所有的连接。它还会根据源地址或者目的地址、源端口或者目的端口或者连接的方向来限制连接。解决服务器安全通常采用代理服务器;代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。
一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。代理服务器的优点在于用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实;要想提供全面的安全保证,就要对每-项服务都建立对应的应用层网关。从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。
代理服务器像真的墙一样挡在内部用户和外界之间,特别是从外面来的访问者只能看到代理服务器而看不到任何的内部资源,代理可以提供极好的访问控制登录能力以及地址转换功能,对进出防火墙的信息进行记录,便于管理员监视和管理系统。但代理服务器同时也存在一些不足,特别是它会使网络的访问速度变慢,因为它不允许用户直接访问网络,而代理又要处理人和出的通信量,因此每增加一种新的媒体应用,则必须对代理进行设置。
(4)PGP加密
还有一种可能的解决方法是使用公钥加密,其中应用最广泛的就是PGP邮件加密。
PGP (Pretty Good Privacy) 是一个可以让您的拥有保密功能的程序。藉此你可以将你的邮件加密,一旦加密后, 邮件看起来是一堆无意义的乱码。PGP提供了极强的保护功能,即使是最先进的解码分析技术也无法解读加密后的文字。
PGP加密与解密不像其它传统加密的方式,而是以公钥密码学为基础的。将传统的对称性加密与公开密钥方法结合起来,兼备了两者的优点。PGP的实际操作与密钥管理相对,包括5种服务:认证、保密、压缩、兼容性和分段。
举例来说, 当你要传送一封保密信或档案给某人时,必须先取得那人的公钥(Public Key),然后利用这个公钥将信件加密。当某人收到您加密的信件后,他必须利用相应的私钥(Secret Key)来解密。因此,除非其它人拥有收信者的私钥,否则无法解开发信人所加密的信件。同时,收信人在使用私钥解密时,还必须输入通行码,如此又对加密后的邮件多了一层保护。
技术预测
结语
欺骗实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终攫取信息或是展开进一步攻击。
目前比较流行的欺骗攻击主要有5种:
1)IP欺骗:使用其他计算机的IP来骗取连接,获得信息或者得到特权:
2)ARP欺骗:利用ARP协议的缺陷,把自己伪装成“中间人”,效果明显,威力惊人。
3)欺骗:发送方地址的欺骗;
4)DNS欺骗:域名与IP地址转换过程中实现的欺骗;
5)Web欺骗:创造某个万维网网站的复制影像,从而达到欺骗网站用户目的的攻击。
在防御网络欺骗攻击方面应有针对性,不断优化解决方案,任何安全技术都不是一劳永逸的,都必须不断改进以应对不断升级的攻击。
