【网络与系统安全实验】欺骗攻击及防御技术

概述

在Internet上，计算机之间相互进行的交流建立在两个前提之下：
1、认证（Authentication）
认证是网络上的计算机用于相互间进行识别的过程，经过认证的过程，获准相互交流的计算机之间就会建立起相互信任的关系。
2、信任（Trust）
信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证。

欺骗，实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终攫取信息或是展开进一步攻击。

目前比较流行的欺骗攻击主要有：
1、IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权；
2、ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人；
3、电子邮件欺骗：电子邮件发送方地址的欺骗；
4、DNS欺骗：域名与IP地址转换过程中实现的欺骗；
5、Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击

IP欺骗及防御技术

基本的IP欺骗

最基本的IP欺骗技术有三种：
1、基本地址变化
2、使用源站选路截取数据包
3、利用Unix机器上的信任关系

基本地址变化
IP欺骗包括把一台计算机伪装成别人机器的IP地址的这种情况，所以IP欺骗最基本的方法就是搞清楚一个网络的配置，然后改变自己的IP地址。这样做就可以使所有发送的数据包都带有假冒的源地址。

攻击者使用假冒的IP地址向一台机器发送数据包，但没有收到任何返回的数据包，这被称之为盲目飞行攻击(flyingblind attack)，或者叫做单向攻击(oneway attack)。因为只能向受害者发送数据包，而不会收到任何应答包。
利用这种方法进行欺骗攻击有一些限制，比如说TCP连接没法建立；但是，对于UDP这种面向无连接的传输协议就不会存在建立连接的问题，因此所有单独的UDP数据包都会被发送到受害者的系统中。

基本地址变化方法没法接收返回的信息流。为了得到从目的主机返回源地址主机的数据流，有两个方法：
1、攻击者插入到正常情况下数据流经过的通路上；
2、保证数据包会经过一条给定的路径，而且作为一次欺骗，保证它经过攻击者的机器。

源站选路（使用源站选路截取数据包）。
这就需要使用源路由，它被包含在TCP/IP协议组中。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里。
某些路由器对源路由包的反应是使用其指定的路由，并使用其反向路由来传送应答数据。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

它包括两种类型的源路由：
1、宽松的源站选择（LSR）：发送端指明数据流必须经过的IP地址清单，但是也可以经过除这些地址以外的一些地址。
2、严格的源路由选择（SRS）：发送端指明IP数据包必须经过的确切地址。如果没有经过这一确切路径，数据包会被丢弃，并返回一个ICMP报文。

源站选路给攻击者带来了很大的便利。攻击者可以使用假冒地址A向受害者B发送数据包，并指定了宽松的源站选路或者严格路由选择(如果确定能经过所填入的每个路由的话)，并把自己的IP地址X填入地址清单中。当B在应答的时候，也应用同样的源路由，因此，数据包返回被假冒主机A的过程中必然会经过攻击者X。这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。

在Unix/Linux世界中，利用信任关系可以使机器之间的切换变得更加容易，特别是在进行系统管理的时候。
单位里经常指定一个管理员管理几十个区域或者甚至上百台机器，管理员一般都会使用信任关系和UNIX的r命令从一个系统方便的切换到另一个系统。r命令允许一个人登录远程机器而不必提供口令。
取代询问用户名和口令，远程机器基本上使用IP地址来进行验证，也就是说将会认可来自可信IP地址的任何人。
从便利的角度看，信任的关系是非常有效的，但是从安全的角度来看，是不可取的。
如果攻击者获得了可信任网络里的任何一台的机器，他就能登录信任该IP的任何机器上。
下面是经常使用的一些r*命令：
rlogin：remote login，远程登录；
rsh：remote shell，远程shell；
rcp：remote copy, 远程拷贝。
这种方法一度被认为是IP欺骗最主要的方法。但是，这种欺骗方法只能在Unix环境下使用，而且比较陈旧。

IP欺骗的高级应用——TCP会话劫持

会话劫持就是接管一个现存动态会话的过程，换句话说，攻击者通过会话劫持可以替代原来的合法用户，同时能够监视并掌握会话内容。此时，攻击者可以对受害者的回复进行记录，并在接下来的时间里对其进行响应，展开进一步的欺骗和攻击。
在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击，而是仅仅装作是合法用户。此时，被冒充的用户可能并不在线上，而且它在整个攻击中不扮演任何角色，因此攻击者不会对它发动进攻。但是在会话劫持中，为了接管整个会话过程，攻击者需要积极攻击使被冒充用户下线。

TCP会话劫持过程
1、发现攻击目标
对于寻找合适的目标有两个关键的问题。首先，通常攻击者希望这个目标是一个正常TCP会话连接（例如Telnet和FTP等）的服务器。其次，能否检测数据流也是一个比较重要的问题，因为在攻击的时候需要猜测序列号。对于交换网络环境，嗅探其他机器的数据流就相对来说有些困难，就必须使用ARP欺骗。
2、确认动态会话
与大多数攻击不同，会话劫持攻击适合在网络流通量达到高峰时才会发生的。首先，有很多供选择的会话；其次，网络流通量越大则被发现的可能就越小。
3、猜测序列号
TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。序列号却是随着时间的变化而改变的。因此，攻击者必须成功猜测出序列号。通过嗅探或者ARP欺骗，先发现目标机正在使用的序列号，再根据序列号机制，可以猜测出下一对SEQ/ACK序列号。同时，攻击者若以某种方法扰乱客户主机的SEQ/ACK，服务器将不再相信客户主机正确的数据包，从而可以伪装为客户主机，使用正确的SEQ/ACK序列号，现在攻击主机就可以与服务器进行连接，这样就抢劫一个会话连接。
4、使客户主机下线
当攻击者获得了序列号后，为了彻底接管这个会话，他就必须使客户主机下线。使客户主机下线最简单的方式就是对其进行拒绝服务攻击，从而使其不再继续响应。服务器会继续发送响应给客户主机，但是因为攻击者已经掌握了客户主机，所以该机器就不再继续响应。
5、接管会话
既然攻击者已经获得了所需要的一切信息，那么就可以持续向服务器发送数据包并且接管整个会话了。在会话劫持攻击中，攻击者通常会发送数据包在受害服务器上建立一个账户，甚至留下某些后门。通过这种方式，攻击者就可以在任何时候轻松进入系统了。

TCP会话劫持的危害
就其实现原理而言，任何使用Internet进行通信的主机都有可能受到这种攻击。会话劫持在理论上是非常复杂的，但是现在产生了简单适用的会话劫持攻击软件，技术门槛的降低导致了很多“少年攻击者”的诞生。会话劫持攻击的危害性大的一个最主要的原因就是它并不依赖于操作系统。另一个原因就是它可以被用来进行积极的攻击，通过攻击行为可以获得进入系统的可能。

实现TCP会话劫持的工具
1、Juggernaut
Juggernaut是由Mike Schiffman开发的自由软件，这个软件是开创性的，是最先出现的会话攻击程序之一。它运行在Linux操作系统的终端机上，攻击者能够窥探网络中所有的会话，并且劫持其中任何一个，攻击者可以像真正用户那样向服务器提交命令。
2、Hunt
由Pavel Krauz制作的Hunt，是一个集嗅探、截取和会话劫持功能与一身的强大工具。它可以在无论共享式网络还是交换式网络中工作，不仅能够在混杂模式和ARP欺骗模式下进行嗅探，还具有中断和劫持动态会话的能力。

IP欺骗攻击的防御

防范地址变化欺骗

没有办法阻止有人向另一方发送消息时不用自己的而使用你的地址。但是，采取一些措施可以有效保护自己免受这种攻击的欺骗。
1、限制用户修改网络配置
为了阻止攻击者使用一台机器发起欺骗攻击，首先需限制那些有权访问机器配置信息的人员。这么做就能防止员工执行欺骗。
2、入口过滤
大多数路由器有内置的欺骗过滤器。过滤器的最基本形式是，不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。因此，如果一个来自外网的数据包，声称来源于本单位的网络内部，就可以非常肯定它是假冒的数据包，应该丢弃它。这种类型的过滤可以保护单位的网络不成为欺骗攻击的受害者。
3、出口过滤
为了执行出口过滤，路由器必须检查数据包，确信源地址是来自本单位局域网的一个地址。如果不是那样，这个数据包应该被丢弃，因为这说明有人正使用假冒地址向另一个网络发起攻击。离开本单位的任何合法数据包须有一个源地址，并且它的网络部分与本单位的内部网络相匹配。

防范源路由欺骗

保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。事实上人们很少使用源路由做合法的事情。因为这个原因，所以阻塞这种类型的流量进入或者离开网络通常不会影响正常的业务。

防范信任关系欺骗

保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖于信任关系。
但是能通过做一些事情使暴露达到最小：(1)限制拥有信任关系的人员。(2)不允许通过外部网络使用信任关系。

防范会话劫持攻击

会话劫持攻击是非常危险的，因为攻击者能够直接接管合法用户的会话。在其他的攻击中可以处理那些危险并且将它消除。但是在会话劫持中，消除这个会话也就意味着禁止了一个合法的连接，从本质上来说这么做就背离了使用Internet进行连接的目的。
没有有效的办法可以从根本上防范会话劫持攻击，可以通过进行加密、使用安全协议、限制保护措施的方法尽量缩小会话攻击所带来危害。
1、进行加密
如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须进行加密。
2、使用安全协议
无论何时当用户连入到一个远端的机器上，特别是当从事敏感工作或是管理员操作时，都应当使用安全协议。一般来说，有像SSH（Secure Shell）这样的协议或是安全的Telnet都可以使系统免受会话劫持攻击。此外，从客户端到服务器的VPN（Virtual Private Network）也是很好的选择。
3、限制保护措施
允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。在理想情况下，应该阻止尽可能多的外部连接和连向防火墙的连接。

ARP欺骗及防御技术

ARP背景知识介绍

ARP（Address Resolution Protocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]，ARP协议是属于链路层的协议。在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端硬件地址才能发送数据。

ARP协议有两种数据包
1、ARP请求包：ARP工作时，送出一个含有目的IP地址的以太网广播数据包，这也就是ARP请求包。它表示：我想与目的IP通信，请告诉我此IP的MAC地址。ARP请求包格式如下：arp who-has 192.168.1.1 tell 192.168.1.2
2、ARP应答包：当目标主机收到ARP请求包，发现请求解析的IP地址与本机IP地址相同，就会返回一个ARP应答包。它表示：我的主机就是此IP，我的MAC地址是某某某。ARP应答包的格式如下：arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00

ARP欺骗攻击原理与危害

ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

ARP欺骗过程
1、主机B(192.168.1.3)向网关C发送ARP应答包说：我是192.168.1.2，我的MAC地址是03-03-03-03-03-03
2、主机B同时向主机A发送ARP应答包说：我是192.168.1.1，我的MAC地址是03-03-03-03-03-03。
3、A发给C的数据就会被发送到B，同时获得C发给A的数据也会被发送到B。这样，B就成了A与C之间的“中间人”。

ARP欺骗攻击在局域网内非常奏效，其危害有：
1、致使同网段的其他用户无法正常上网（频繁断网或者网速慢）。
2、使用ARP欺骗可以嗅探到交换式局域网内所有数据包，从而得到敏感信息。
3、ARP欺骗攻击可以对信息进行篡改，例如，可以在你访问的所有网页中加入广告。
4、用ARP欺骗攻击可以控制局域网内任何主机，起到“网管”的作用，例如，让某台主机不能上网。

ARP欺骗攻击实例

使用工具：Arp cheat and sniffer V2.1，国内开源软件，是一款arp sniffer工具，可以通过arp欺骗嗅探目标主机TCP、UDP和ICMP协议数据包。
攻击环境：在一个交换式局域网内
受害者IP为210.77.21.53，MAC为00-0D-60-36-BD-05；
网关IP为210.77.21.254，MAC为00-09-44-44-77-8A；
攻击者IP为210.77.21.68，MAC为00-07-E9-7D-73-E5。
攻击目的：攻击者想得知受害者经常登陆的FTP用户名和密码。
工具参数：
-si 源ip
-di 目的ip
-sp 源端口
-dp 目的端口
-w 嗅探方式，1代表单向嗅探[si->di]，0代表双向嗅探[si<->di]
-p 嗅探协议[TCP,UDP,ICMP]大写
-m 最大记录文件，以M为单位
-o 文件输出
-hex 十六进制输出到文件
-unecho 不回显
-unfilter 不过虑0字节数据包
-low 粗略嗅探，丢包率高，cpu利用率低
-timeout 嗅探超时,除非网络状况比较差，否则请不要调高,默认为120秒
-sniffsmtp 嗅探smtp
-sniffpop 嗅探pop
-sniffpost 嗅探post
-sniffftp 嗅探ftp
-snifftelnet 嗅探telnet，以上5个嗅探不受参数si,sp,di,dp,w,p影响.
-sniffpacket 规则嗅探数据包,受参数si,sp,di,dp,w,p影响
-sniffall 开启所有嗅探
-onlycheat 只欺骗
-cheatsniff 欺骗并且嗅探
-reset 欺骗后恢复
-g 网关ip
-c 欺骗者ip、mac
-t 受骗者ip
-time 欺骗次数
使用举例：

arpsf -p TCP -dp 25,110 -o f:\1.txt -m 1 –sniffpacket
//嗅探指定规则数据包并保存到文件
arpsf -sniffall -cheatsniff -t 127.0.0.1 -g 127.0.0.254
//欺骗并且嗅探127.0.0.1与外界的通讯，输出到屏幕
arpsf -onlycheat -t 127.0.0.1 -c 127.0.0.2002211445544 -time 100 –reset
//对目标欺骗一百次,欺骗后恢复
arpsf -cheatsniff -t 192.168.0.54 -g 192.168.0.254 - sniffpacket -p TCP -dp 80,25,23,110 -o d:\siff.txt -w0 -m 1
//嗅探192.168.0.54与外网的tcp连接情况并指定目的端口 80,23,25,110,嗅探方式是双向嗅探，最大记录文件是1M， 输出到d盘sniff.txt文件中。
//其中192.168.0.254是网关的地址。也可以改成同网段中其他的地址，那就是网内嗅探了。

ARP欺骗攻击的检测与防御

如何检测局域网中存在ARP欺骗攻击
1、网络频繁掉线
2、网速突然变慢
3、使用ARP –a命令发现网关的MAC地址与真实的网关MAC地址不相同
4、使用sniffer软件发现局域网内存在大量的ARP reply包

如何发现正在进行ARP攻击的主机
1、如果你知道正确的网关MAC地址，通过ARP –a命令看到的列出的网关MAC与正确的MAC地址不同，那就是攻击主机的MAC。
2、使用Sniffer软件抓包发现大量的以网关的IP地址发送的ARP reply包，包中指定的MAC就是攻击主机的MAC地址。
3、使用ARP保护程序发现攻击主机的MAC
4、MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。
5、使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。
6、使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
7、使用ARP欺骗防护软件，如ARP防火墙。
8、发现正在进行ARP欺骗的主机并将其隔离。

ARP欺骗攻击的防范（在Windows下使用静态的ARP表）
假设我们事先已知网关192.168.1.254的MAC地址为：00-0f-7a-02-00-4b，查看主机当前的ARP表，命令为arp –a，可以查看到当前的ARP表中的记录（动态），把网关的arp记录设置成静态，命令为arp -s192.168.1.254 00-0f-7a-02-00-4b，再次用arp –a命令查看ARP表，发现网关的ARP记录已经设置成静态。

电子邮件欺骗及防御技术

电子邮件欺骗的原理及实现方法

攻击者使用电子邮件欺骗有三个目的：
第一，隐藏自己的身份。
第二，如果攻击者想冒充别人，他能假冒那个人的电子邮件。
第三，电子邮件欺骗能被看作是社会工程的一种表现形式。

执行电子邮件欺骗有三种基本方法，每一种有不同难度级别，执行不同层次的隐蔽。它们分别是：
利用相似的电子邮件地址
修改邮件客户软件设置
远程登录到25号端口

电子邮件欺骗的防御

做为互联网用户，必须时刻树立风险意识，不要随意打开一个不可信任的邮件。
此外，下面介绍几种防范方法分别从这几个方面入手：
1、邮件接收者
用户需要合理配置邮件客户端，使每次总能显示出完整的电子邮件地址，而不是仅仅显示别名，完整的电子邮件地址能提供一些迹象表明正在发生一些不平常的事情。用户应该注意检验发件人字段，不要被相似的发信地址所蒙蔽。
2、邮件发送者
如果你使用foxmail或者outlook之类的邮件客户端，你必须保护好这些邮件客户端，防止他人对客户端的设置进行修改。
3、邮件服务器
采用的SMTP身份验证机制。原来使用SMTP协议发送邮件的时候并不需要任何验证，身份欺骗极易实现。现在将POP协议收取邮件需要用户名/密码验证的思想移至到SMTP协议，发送邮件也需要类似的验证。现在通常的做法是使用与接收邮件相同的用户名和密码来发送邮件。采用这种方法之后，虽然SMTP协议安全性的问题仍然无法从根本上得到解决，但是电子邮件欺骗已经变得不像过去那么容易了。
4、邮件加密
PGP (Pretty Good Privacy) 是一个可以让您的电子邮件拥有保密功能的程序。藉此你可以将你的邮件加密，一旦加密后，邮件看起来是一堆无意义的乱码。PGP提供了极强的保护功能，即使是最先进的解码分析技术也无法解读加密后的文字。PGP 加密与解密不像其它传统加密的方式，而是以公钥密码学为基础的。举例来说，当你要传送一封保密信或档案给某人时，必须先取得那人的公钥(Public Key)，然后利用这个公钥将信件加密。当某人收到您加密的信件后，他必须利用相应的私钥(Secret Key)来解密。因此，除非其它人拥有收信者的私钥，否则无法解开发信人所加密的信件。同时，收信人在使用私钥解密时，还必须输入通行码，如此又对加密后的邮件多了一层保护。

DNS欺骗及防御技术

DNS工作原理

DNS的全称是Domain Name Server，即域名服务器，当一台主机发送一个请求要求解析某个域名时，它会首先把解析请求发到自己的DNS服务器上。DNS的功能就是把域名转换成IP地址。DNS服务器里有一个“DNS缓存表”，里面存储了此DNS服务器所管辖域内主机的域名和IP地址的对应关系。
例如，客户主机需要访问www.dhs.com时，首先要知道www.dhs.com的IP地址。客户主机获得www.dhs.com IP地址的唯一方法就是向所在网络设置的DNS服务器进行查询。
查询过程分四步进行，见下图。

客户主机软件(例如Web浏览器)需要对www.dhs.com进行解析，它向本地DNS服务器(nipc.com域)发送域名解析请求，要求回复www.dhs.com的IP地址；由于本地DNS服务器的数据库中没有www.dhs.com的记录，同时缓存中也没有记录，所以，它会依据DNS协议机器配置向网络中的其他DNS服务器提交请求。这个查询请求逐级递交，直到dhs.com域的真正权威DNS服务器收到请求；dhs.com域DNS服务器将向nipc.com 域DNS服务器返回IP查询结果(假定为1.2.3.4)； nipc.com域的本地DNS服务器最终将查询结果返回给客户主机浏览器，并将这一结果存储到其DNS缓存当中，以便以后使用。这样，客户主机下次访问www.dhs.com的时候，就可以不需要再次转发查询请求，而直接从缓存中提取记录向客户端返回IP地址了。
经过上面几步，客户主机获得了它所期待的网站的IP地址，这样整个域名解析过程就结束了。

DNS欺骗的原理及实现步骤

当客户主机向本地DNS服务器查询域名的时候，如果服务器的缓存中已经有相应记录，DNS服务器就不会再向其他服务器进行查询，而直接将这条记录返回给用户。而入侵者欲实现DNS欺骗，关键的条件就是在DNS服务器的本地Cache中缓存一条伪造的解析记录。

在上面图示中，若dhs.com域DNS服务器返回的是经过黑客篡改的信息，比如将www.dhs.com指向另一个IP地址5.6.7.8，nipc.com域DNS服务器将会接受结果，并将错误的信息存储在本地Cache中。有了对DNS服务器进行欺骗的可能，攻击者怎样伪造DNS应答信息就成了问题的焦点。
目前有两种可能情况下的实现办法：
攻击者可以控制本地的域名服务器
攻击者无法控制任何DNS服务器

DNS欺骗的局限性及防御

DNS欺骗由于以下两条而在实际操作中受到限制：
攻击者不能替换缓存中已经存在的记录
DNS服务器存在缓存（Cache）刷新时间问题

在配置DNS服务器的时候注意：
1、使用最新版本DNS服务器软件并装补丁；
2、关闭DNS服务器的递归功能：DNS 服务器利用缓存中的记录信息回答查询请求或是 DNS 服务器通过查询其它服务器获得查询信息并将它发送给客户机，这两种查询方式称为递归查询，这种查询方式容易导致DNS欺骗。关闭后可采用迭代式查询方式。
3、限制区域传输范围，限制域名服务器做出响应的地址、限制域名服务器做出响应的递归请求地址、限制发出请求的地址；
4、限制动态更新；采用分层的DNS体系结构。

Web欺骗及防御技术

Web欺骗的概念

Web欺骗是一种电子信息欺骗，攻击者创造了一个完整的令人信服的Web世界，但实际上它却是一个虚假的复制。虚假的Web看起来十分逼真，它拥有相同的网页和链接。然而攻击者控制着这个虚假的Web站点，这样受害者的浏览器和Web之间的所有网络通信就完全被攻击者截获。由于攻击者可以观察或者修改任何从受害者到Web服务器的信息，同样地，也控制着从Web服务器发至受害者的返回数据，这样攻击者就有发起攻击的可能性。攻击者能够监视被攻击者的网络信息，记录他们访问的网页和内容。当被攻击者填完一个表单并发送后，这些数据将被传送到Web服务器，Web服务器将返回必要的信息，但不幸的是，攻击者完全可以截获并使用这些信息。在得到必要的数据后，攻击者可以通过修改受害者和Web服务器两方任何一方数据，来进行破坏活动。攻击者可以修改受害者的确认数据，攻击者还可以修改Web服务器返回的数据。

Web欺骗的工作原理

Web欺骗能够成功的关键是在受害者和真实Web服务器之间插入攻击者的Web服务器，这种攻击常被称为“中间人攻击(man-in-the-middle)”。
为了建立这样的Web服务器，攻击者要完成以下工作：
1、攻击者改写Web页中的所有URL地址，使它们指向攻击者的Web服务器不是真正的Web服务器。例如，http://www.dhs.com将变为http://www.hacker.net/。
2、当用户单击改写过的http://www.dhs.com/连接，将进入的是http://www.hacker.net/，再由http://www.hacker.net/向http://www.dhs.com/发出请求并获得真正的文档，这样攻击者就可以改写文档中的所有链接，最后经过http://www.hacker.net/返回给用户的浏览器。

Web欺骗的防御

1、配置网络浏览器使它总能显示目的URL，并且习惯查看它。
2、检查源代码，如果发生了URL重定向，就一定会发现。不幸的是，检查用户连接的每一个页面的源代码是不切实际的想法。
3、使用反网络钓鱼软件。

小结

本章讲述了各种形式的欺骗攻击技术，包括IP欺骗、ARP欺骗、电子邮件欺骗、DNS欺骗和Web欺骗，所有这些攻击技术都是得到广泛应用的，当然也因此造成了许多麻烦。理解它们的实现原理有助于防范这些欺骗攻击活动。
这些基本的攻击技术也经常和其他一些攻击相结合，试图造成更大的混乱。
因此本章还介绍了对应以上各种攻击的防范方法。