很久以前看过一篇文章，讲网络钓鱼攻击的手法，其中讲了一种专门构造的网址，比如：

http://www.sina.com.cn@1032291688

可以点来看看，看看是带你到了新浪，还是搜狐。不过我在ie7里试验这个链接已经不行了，估计是ie7改进安全性时，已经默认防范了这类URL。在Firefox 2.0里还是可以访问，不过会提示你是不是要访问“1032291688”，但我想一般人也不明白这是什么意思。

这种URL欺骗，可能是钓鱼攻击会用到的最简单的的手法。其实上面那串数字是我把sohu的ip地址转成了10进制的写法，而上面那个链接，前面用新浪的域名做伪装，而实际上带你去的是后面那串十进制数字所代表的网站。当然还可以把域名构造得长一点，一般人只看到前面有个www.sina.com.cn的话，估计后面一长串很容易就不看了。这里用的新浪和搜狐做了例子，但如果实际是针对某个网上银行来做这样的伪造呢？你看着链接是工行的地址，结果带你去另一个伪装得跟工行一模一样的假网站，等你把卡号和密码都输入后，假网站一边保存下来你的信息，一边把信息发送到正确的地方，把你转到真正的工行网站。一次完整的钓鱼攻击成功。

好在现在浏览器的安全性问题得到了很大的重视，上面的问题想测试也都没那么容易了，但还可以来看看其它的一些攻击手段。

比如Pharming。我们上网的时候，在浏览器里输入网站，其实是需要DNS服务器把网址解析成IP地址，然后再进行连接的，如果这个ip地址解析错了呢？Pharming攻击干的就是这个事情。比如sohu.com的一个正确的IP是61.135.133.104，但现在有人攻击了DNS服务器，把这条记录改成了另外一个假地址的IP，你就会完全不知情地浏览那个错误的网站了。同样，可以做一个假的银行网站，把你带过去。

另外一种方式是修改你本机的host文件。Windows下面，hosts文件通常是在

C:WINDOWSsystem32driversetc

如果在里面增加一条

61.135.133.104 www.sina.com.cn

则在浏览器里访问新浪的首页就会转去搜狐了。这方法lxy就曾经用来对付过他老爸，为的是防止他爸访问他的blog。潜伏在你机器里的病毒或者木马，想改改这样的记录似乎不是什么难事。不知道目前有没有恶意软件或者流氓软件做这个。

还有一种情况是攻击路由器，如果路由器里的DNS设置被恶意修改，则整个局域网的域名解析都会按这个错误的地址去访问DNS，因此路由器的安全同样值得重视，特别是在使用无线路由器的话。不过那个opendns.com的出现，倒是可以用来解决这种攻击。

在局域网内也有一种比较危险的欺骗方法，就是ARP欺骗。

在局域网内实际上是通过网卡的物理地址（MAC地址）进行通信的，所以在访问网关（比如IP为192.168.1.1）时，实际要先通过ARP协议将IP转换成MAC地址。当某台机器在局域网内发送一个ARP广播时，网关就会返回相应的MAC地址，这时动态绑定IP与MAC地址的目标主机就会更新自己的ARP转换表。不过ARP协议的一个漏洞，就是主动发送ARP响应，目标主机也会更新，除非已经设置了静态绑定。某种用来限制局域网里其它用户上网速度的工具，就是利用这个方法，向要控制的主机发一个假的ARP响应，让对方的主机把自己的MAC地址作为网关的MAC地址，这样目标主机就会把包全部发到自己这来，然后对这些包进行过滤，就可以达到限制对方上网的目的。当然，既然目标主机所有的包都在自己机器上走了一遍，如果对这些包进行嗅探，要截获各种未加密的用户名、密码、聊天信息、邮件正文等等信息，也不成什么问题。

可以点击“开始”–“运行”–“cmd”回车–输入命令“arp -a”回车，看看你的网关的mac地址解析得对不对吧，搞不好已经有人在限制你的说。

最后顺便说说，其实在国内想搞钓鱼攻击，比较好的办法可能是去攻击hao123。因为很多初级网民都习惯把hao123做首页，而对里面的链接是否正确毫不关心，或者根本不会考虑这个问题。而那上面邮箱、证券、银行、论坛的各种链接，一应俱全，要是能去改个一两个，那就不知道可以钓到多少鱼了。

No related posts.