摘要本文对各种攻击型欺骗技术原理进行了详细的分类研究并给出了对策然 后对防护型欺骗技术的现状做了总结性的研究并给出了一个结合 Honeypot 技术的动态 防护系统结构 关键词网络安全欺骗技术蜜罐分布式蜜罐蜜罐网 一引言 随着网络技术的不断发展网络安全问题日益成为一个紧迫的问题在各种网络攻 击中欺骗攻击是其中一类比较特殊的攻击虽然各种 Spoofing 技术屡有报道但对整 个欺骗攻击技术进行完整研究还并没有先例因此本文试图抛砖引玉归纳总结了现有 的各种欺骗攻击手段对其分类研究并找出应对方案但是欺骗技术除了用于攻击之 外现在也开始用于网络防护中国内外现在对欺骗防护技术的研究应该说还是刚刚起 步本文也对现在研究中的网络欺骗防护技术进行了归纳总结 本文的组织结构如下第二部分对各种攻击型欺骗技术进行分类研究将分成利用 网络协议漏洞或不完善处的欺骗利用文件表象的欺骗利用 URL 的欺骗基于伪造数 据的欺骗等几类研究了诸如 IP 欺骗 ARP 欺骗路由欺骗等各种具体攻击的原理 第三部分我们介绍了对上面各类攻击型欺骗技术的对策第四部分我们研究了现在的各 种防护型欺骗技术研究了它的分类部署等问题并给出了一个结合 honeypot 的动态 网络防护系统结构最后是小结 二攻击型欺骗技术分类研究 从已有的文献来看已经存在的各种攻击型欺骗技术比较多且凌乱因此我们对其 分类研究下面我们分别就利用网络协议漏洞或不完善处的欺骗利用文件表象的欺骗 利用 URL 的欺骗基于伪造数据的欺骗等几类来研究 1 利用网络协议漏洞或不完善处的欺骗 这种攻击主要是利用了 TCP/IP 中某些协议的漏洞或不完善处主要形式有 ARP 欺 骗 IP 欺骗路由欺骗和 DNS 欺骗等等由于这些协议还在不断的使用中所以要避 免这些欺骗攻击无法从根本的协议改进入手只能考虑其它方法下面我们将介绍一些 主要的利用协议的漏洞或不完善处的欺骗形式 1 ARP 欺骗 ARP 协议是一种将 IP 地址转化成与该 IP 对应的网卡物理地址的一种协议或者说 ARP 协议是一种将 IP 地址转化成 MAC 地址的一种协议它靠维持在内存中保存的一张 表来使 IP 得以在网络上被目标机器应答由于采用了软状态技术内存中的 ARP 缓存会按照实际情况动态更新正因为如此也就产生了 ARP 欺骗攻击的可能性 ARP 欺骗的原理就是欺骗者发出一个故意造的 ARP 应答信息包使得主机根据错 误的信息更改了 ARP 缓存 ARP 欺骗攻击按照它的目的可以分成两种简单的欺骗 中间人(Man-in-the-middle)窃听攻击下面我们以一个例子来说明这两种攻击的原理 假设有主机 A MacA B( MacB) 攻击者 C C 向 B 发送一个自己伪造的 ARP 应答这个应答中的数据为发送方 IP 地址是 A 的 IP 地址 MAC 地址是 MacB A 的 MAC 地址本来应该是 MacA 这里 被伪造了当然也可以伪造成其他不存在的 MAC 地址视欺骗的目的而定当 B 接收 到 C 伪造的 ARP 应答就会更新本地的 ARP 缓存 B 可不知道被伪造了由于局域网 的底层真正的网络流通并不根据 IP 地址进行而是按照 MAC 地址进行传输现在 的 MAC 地址在 B 上被改变成另外一个地址那么 B 访问 A 时网卡递交的 MAC 地址是 MacB 结果是什么呢数据都被发到 B 处甚至被其截获当然如果当初给 的是其他不存在的 Mac 地址网络也一样无法到达真正的目的地 A 为了防止真正的 A 发 送有效 ARP 应答我们可以让 C 不断的发送虚假的 ARP 应答使得 B 的 ARP 缓存一 直充斥虚假的 IP 和 Mac 对应关系这就是一个简单的 ARP 欺骗 复杂一点的 ARP 欺骗可以用于在交换环境下进行嗅探本来在交换环境中数据不是 广播的使用嗅探工具除了抓到自己的包以外是不能看到其他主机的网络通信的但 通过 ARP 欺骗实施中间人(Man-in-the-middle)窃听攻击就可以达到嗅探的目的还是以 上面的情景为例但我们更进一步说明 A 是该交换局域网的网关 C 可以首先告诉 B 网关 A 的 MAC 地址是 然后告诉 A 主机 B 的 MAC 地址是 这样网关 A 和主机 B