2007年1月31日 星期三
来一点网络安全的话题
posted by Igotit @ 21:53
在家上网,有多安全,是否考虑过呢?别以为装个卡巴斯基就搞定一切了,还装了天网?有杀毒软件和防火墙就很安全吗?
很久以前看过一篇文章,讲网络钓鱼攻击的手法,其中讲了一种专门构造的网址,比如:
可以点来看看,看看是带你到了新浪,还是搜狐。不过我在ie7里试验这个链接已经不行了,估计是ie7改进安全性时,已经默认防范了这类URL。在Firefox 2.0里还是可以访问,不过会提示你是不是要访问“1032291688”,但我想一般人也不明白这是什么意思。
这种URL欺骗,可能是钓鱼攻击会用到的最简单的的手法。其实上面那串数字是我把sohu的ip地址转成了10进制的写法,而上面那个链接,前面用新浪的域名做伪装,而实际上带你去的是后面那串十进制数字所代表的网站。当然还可以把域名构造得长一点,一般人只看到前面有个www.sina.com.cn的话,估计后面一长串很容易就不看了。这里用的新浪和搜狐做了例子,但如果实际是针对某个网上银行来做这样的伪造呢?你看着链接是工行的地址,结果带你去另一个伪装得跟工行一模一样的假网站,等你把卡号和密码都输入后,假网站一边保存下来你的信息,一边把信息发送到正确的地方,把你转到真正的工行网站。一次完整的钓鱼攻击成功。
好在现在浏览器的安全性问题得到了很大的重视,上面的问题想测试也都没那么容易了,但还可以来看看其它的一些攻击手段。
比如Pharming。我们上网的时候,在浏览器里输入网站,其实是需要DNS服务器把网址解析成IP地址,然后再进行连接的,如果这个ip地址解析错了呢?Pharming攻击干的就是这个事情。比如sohu.com的一个正确的IP是61.135.133.104,但现在有人攻击了DNS服务器,把这条记录改成了另外一个假地址的IP,你就会完全不知情地浏览那个错误的网站了。同样,可以做一个假的银行网站,把你带过去。
另外一种方式是修改你本机的host文件。Windows下面,hosts文件通常是在
如果在里面增加一条
则在浏览器里访问新浪的首页就会转去搜狐了。这方法lxy就曾经用来对付过他老爸,为的是防止他爸访问他的blog。潜伏在你机器里的病毒或者木马,想改改这样的记录似乎不是什么难事。不知道目前有没有恶意软件或者流氓软件做这个。
还有一种情况是攻击路由器,如果路由器里的DNS设置被恶意修改,则整个局域网的域名解析都会按这个错误的地址去访问DNS,因此路由器的安全同样值得重视,特别是在使用无线路由器的话。不过那个opendns.com的出现,倒是可以用来解决这种攻击。
在局域网内也有一种比较危险的欺骗方法,就是ARP欺骗。
在局域网内实际上是通过网卡的物理地址(MAC地址)进行通信的,所以在访问网关(比如IP为192.168.1.1)时,实际要先通过ARP协议将IP转换成MAC地址。当某台机器在局域网内发送一个ARP广播时,网关就会返回相应的MAC地址,这时动态绑定IP与MAC地址的目标主机就会更新自己的ARP转换表。不过ARP协议的一个漏洞,就是主动发送ARP响应,目标主机也会更新,除非已经设置了静态绑定。某种用来限制局域网里其它用户上网速度的工具,就是利用这个方法,向要控制的主机发一个假的ARP响应,让对方的主机把自己的MAC地址作为网关的MAC地址,这样目标主机就会把包全部发到自己这来,然后对这些包进行过滤,就可以达到限制对方上网的目的。当然,既然目标主机所有的包都在自己机器上走了一遍,如果对这些包进行嗅探,要截获各种未加密的用户名、密码、聊天信息、邮件正文等等信息,也不成什么问题。
可以点击“开始”--“运行”--“cmd”回车--输入命令“arp -a”回车,看看你的网关的mac地址解析得对不对吧,搞不好已经有人在限制你的说。
最后顺便说说,其实在国内想搞钓鱼攻击,比较好的办法可能是去攻击hao123。因为很多初级网民都习惯把hao123做首页,而对里面的链接是否正确毫不关心,或者根本不会考虑这个问题。而那上面邮箱、证券、银行、论坛的各种链接,一应俱全,要是能去改个一两个,那就不知道可以钓到多少鱼了。
很久以前看过一篇文章,讲网络钓鱼攻击的手法,其中讲了一种专门构造的网址,比如:
http://www.sina.com.cn@1032291688
可以点来看看,看看是带你到了新浪,还是搜狐。不过我在ie7里试验这个链接已经不行了,估计是ie7改进安全性时,已经默认防范了这类URL。在Firefox 2.0里还是可以访问,不过会提示你是不是要访问“1032291688”,但我想一般人也不明白这是什么意思。
这种URL欺骗,可能是钓鱼攻击会用到的最简单的的手法。其实上面那串数字是我把sohu的ip地址转成了10进制的写法,而上面那个链接,前面用新浪的域名做伪装,而实际上带你去的是后面那串十进制数字所代表的网站。当然还可以把域名构造得长一点,一般人只看到前面有个www.sina.com.cn的话,估计后面一长串很容易就不看了。这里用的新浪和搜狐做了例子,但如果实际是针对某个网上银行来做这样的伪造呢?你看着链接是工行的地址,结果带你去另一个伪装得跟工行一模一样的假网站,等你把卡号和密码都输入后,假网站一边保存下来你的信息,一边把信息发送到正确的地方,把你转到真正的工行网站。一次完整的钓鱼攻击成功。
好在现在浏览器的安全性问题得到了很大的重视,上面的问题想测试也都没那么容易了,但还可以来看看其它的一些攻击手段。
比如Pharming。我们上网的时候,在浏览器里输入网站,其实是需要DNS服务器把网址解析成IP地址,然后再进行连接的,如果这个ip地址解析错了呢?Pharming攻击干的就是这个事情。比如sohu.com的一个正确的IP是61.135.133.104,但现在有人攻击了DNS服务器,把这条记录改成了另外一个假地址的IP,你就会完全不知情地浏览那个错误的网站了。同样,可以做一个假的银行网站,把你带过去。
另外一种方式是修改你本机的host文件。Windows下面,hosts文件通常是在
C:\WINDOWS\system32\drivers\etc\
如果在里面增加一条
61.135.133.104 www.sina.com.cn
则在浏览器里访问新浪的首页就会转去搜狐了。这方法lxy就曾经用来对付过他老爸,为的是防止他爸访问他的blog。潜伏在你机器里的病毒或者木马,想改改这样的记录似乎不是什么难事。不知道目前有没有恶意软件或者流氓软件做这个。
还有一种情况是攻击路由器,如果路由器里的DNS设置被恶意修改,则整个局域网的域名解析都会按这个错误的地址去访问DNS,因此路由器的安全同样值得重视,特别是在使用无线路由器的话。不过那个opendns.com的出现,倒是可以用来解决这种攻击。
在局域网内也有一种比较危险的欺骗方法,就是ARP欺骗。
在局域网内实际上是通过网卡的物理地址(MAC地址)进行通信的,所以在访问网关(比如IP为192.168.1.1)时,实际要先通过ARP协议将IP转换成MAC地址。当某台机器在局域网内发送一个ARP广播时,网关就会返回相应的MAC地址,这时动态绑定IP与MAC地址的目标主机就会更新自己的ARP转换表。不过ARP协议的一个漏洞,就是主动发送ARP响应,目标主机也会更新,除非已经设置了静态绑定。某种用来限制局域网里其它用户上网速度的工具,就是利用这个方法,向要控制的主机发一个假的ARP响应,让对方的主机把自己的MAC地址作为网关的MAC地址,这样目标主机就会把包全部发到自己这来,然后对这些包进行过滤,就可以达到限制对方上网的目的。当然,既然目标主机所有的包都在自己机器上走了一遍,如果对这些包进行嗅探,要截获各种未加密的用户名、密码、聊天信息、邮件正文等等信息,也不成什么问题。
可以点击“开始”--“运行”--“cmd”回车--输入命令“arp -a”回车,看看你的网关的mac地址解析得对不对吧,搞不好已经有人在限制你的说。
最后顺便说说,其实在国内想搞钓鱼攻击,比较好的办法可能是去攻击hao123。因为很多初级网民都习惯把hao123做首页,而对里面的链接是否正确毫不关心,或者根本不会考虑这个问题。而那上面邮箱、证券、银行、论坛的各种链接,一应俱全,要是能去改个一两个,那就不知道可以钓到多少鱼了。
标签: IT
回复(1)
