Web欺骗
❖ Web欺骗的形式 – 使用相似的域名 – 改写URL
DNS欺骗
❖ 域名系统(DNS)是一种用于TCP/IP应用程序 的分布式数据库，它提供主机名字和IP地址 之间的转换信息。
❖ DNS服务器对自身无法解析的域名会自动向 其也DNS服务器查询。
❖ DNS系统会对已经查询的结果进行缓存
SYN Flood
❖ 请求端发送一个包含SYN标志的TCP报文给服务器，服务器 收到这个包后产生SYN|ACK标志的TCP报文返回给请求端， 请求端收到该包后又会发送一个ACK的包给服务器，经过这 三次握手，连接才正式建立。而在服务器向请求端发返回包 时，它会等待请求端的ACK确认包并会重试，这时这个连接 被加到未完成的连接队列中，直到收到ACK应答后或超时才 从队列中删除。
❖ ARP Spoof
ARP协议是地址转换协议，负责把IP地址转换 为MAC地址。
在计算机中维护着一个ARP高速缓存，并且 ARP高速缓存随着计算机不断的发出ARP请 求和收到的ARP响应而不断更新。 ARP高速 缓存的目的是把机器的IP地址和MAC地址相 互映射。
这 址是
IMPA地C址地1址0.A200.0-.513-52-43-00-0120-531-502.0-4.03.-30的0-0M2AC地
❖ 交换式网络上的Sniffer
交换机内部的单片机程序能储存每个接口 主机的MAC地址，在接收到数据帧时， 能根据接口的MAC地址将数据帧发向目 的地。
在交换环境中，也存在Sniffer攻击，可以 通过欺骗的方法使用报文发到攻击者的 计算机里。
Windows 简易sniffer实现
DoS的技术分类
一些典型的DoS攻击
Ping of Death
❖ 原理：直接利用ping包，即ICMP Echo包，有些系 统在收到大量比最大包还要长的数据包，会挂起或 者死机
❖ 攻击做法
ping –l 65540 192.168.1.1
❖ 防止措施 – 打补丁：现在所有的标准TCP/IP实现都已实现对付
192.168.200.25

DNS 192.168.200.25
DNS
192.168.200.25
DNS
❖ DNS欺骗的实现
当用户计算机向DNS服务器查询域名时，如果服务器 的缓存中已有相应的记录，DNS服务器就不会再向 其他服务器查询，直接将这条记录返回用户，假如 缓存中的记录是错误的，用户将访问一个错误的IP 地址。
C IP地 址 10.0.0.3 MAC地 址 20-53-52-43-00-03
B IP地 址 10.0.0.2 MAC地 址 20-53-52-43-00-02
IP欺骗
❖ IP欺骗就是攻击者伪装成目标主机与其他计 算机进行通信
❖ IP欺骗是利用了IP协议中的一个缺陷：信任 服务的基础仅仅是建立在网络地址的验证上。
用户
192.168.200.1
DNS
拒绝服务攻击
❖ 政府网站 – 美国白宫的网站曾经遭受拒绝服务攻击 ❖ 分布式拒绝服务 – 在2000年2月发生的一次对某些高利润站点Yahoo、eBay、等的拒
绝服务攻击，持续了近两天，使这些公司遭受了很大的损失。事后这些 攻击确定为分布式的拒绝服务攻击 －8848网络技术有限公司下属的和等域名于2005年1月21 访问8848首页，造成分布式拒绝服务攻击——DDOS攻击， 8848来到北京市公安局网监处进行取证，并聘请两家律师事务所做公正。
❖ 攻击者就是利用了这种等待，他会大量的模拟这种等待，服 务器就会为了维护一个非常大的半连接列表而消耗非常多的 资源。
Land攻击
Sniffer原理
❖ 嗅探器(Sniffer)是一种在网络上非常流行的软 件，嗅探器攻击也是互联网上非常普遍的攻 击类型，对入侵者来说，能给入侵者提供成 千上万的口令。
为了实现这一点，攻击者需要先伪造用户的请求，让 DNS服务器向其他DNS服务器发送查询请求，然后 再伪造一个查询应答，这样DNS会将这个伪造的应 答保存在缓存中。
攻击者
192.168.200.1

DNS 192.168.200.25
DNS

C
A
B
❖ 网卡的工作方式
数据包
本 地 MAC地 址 数 据 包 MAC
其 他 MAC地 址 接口配置模式Βιβλιοθήκη 混杂模式非混杂模式
不处理
产生中断 产生中断
❖ Sniffer的工作原理
Sniffer就是一种能将本地网卡状态设成混杂状 态的软件，当网卡处于这种方式时，网卡对 每一个帧都产生一个中断，通知操作系统做 出处理。Sniffer通过对每帧的处理，分析得 到相应内容。
超大尺寸的包，并且大多数防火墙能够自动过滤这 些攻击
Teardrop
❖ IP分段含有指示该分段所包含的是原包的哪 一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分 段时将崩溃。
❖ Teardrop原理：利用IP包的分片装配过程中， 由于分片重叠，计算过程中出现长度为负值， 在执行memcpy的时候导致系统崩溃
❖ 嗅探器探测网络中他人的封包信息，并通过 协议分析，解析封包内容
Sniffer工作原理
❖ 共享式HUB的工作方式
当共享HUB接收到数据帧时，它并不知道如何 传输到目的主机，它便把帧通过广播传送到 网段的每一台机器
共 享 式 HUB
C OMPAC T
It is to C It is to C
It is to C
主要内容
❖ 电子欺骗技术 ❖ 拒绝服务攻击 ❖ Sniffer原理 ❖ 扫描技术原理 ❖ 缓冲区溢出Buffer Overflow原理
电子欺骗技术
• IP欺骗 – 假冒他人的IP地址来获得信息或发送信息 • Web欺骗 – 你能相信你所看到的信息吗？ • 邮件欺骗 – 假冒他人的email地址发送信息