*** 欺骗
*** 欺骗 计算机系统及 *** 的信息安全将是新世纪中各国面临的重大挑战之一。在我国,这一问题已引起各方面的高度重视,一些典型技术及相关产品如密码与加密、认证与访问控制、入侵检测与响应、安全分析与模拟和灾难恢复都处于如火如荼的研究和开发之中。近年来,在与入侵者周旋的过程中,另一种有效的信息安全技术正渐渐地进入了人们的视野,那就是 *** 欺骗。
*** 欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。
从原理上讲,每个有价值的 *** 系统都存在安全弱点,而且这些弱点都可能被入侵者所利用。 *** 欺骗主要有以下三个作用:
影响入侵者使之按照你的意志进行选择;
迅速地检测到入侵者的进攻并获知其进攻技术和意图;
消耗入侵者的资源。
一个理想的 *** 欺骗可以使入侵者感到他们不是很容易地达到了期望的目标(当然目标是假的),并使其相信入侵取得了成功。
*** 欺骗的主要技术
Honey Pot和分布式Honey Pot
*** 欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术 *** ,最早采用的 *** 欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方,以诱使入侵者上当。
这种技术的目标是寻找一种有效的 *** 来影响入侵者,使得入侵者将技术、精力集中到Honey Pot而不是其它真正有价值的正常系统和资源中。Honey Pot技术还可以做到一旦入侵企图被检测到时,迅速地将其切换。
但是,对稍高级的 *** 入侵,Honey Pot技术就作用甚微了。因此,分布式Honey Pot技术便应运而生,它将欺骗(Honey Pot)散布在 *** 的正常系统和资源中,利用闲置的服务端口来充当欺骗,从而增大了入侵者遭遇欺骗的可能性。它具有两个直接的效果,一是将欺骗分布到更广范围的IP地址和端口空间中,二是增大了欺骗在整个 *** 中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。
尽管如此,分布式Honey Pot技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜索的 *** 扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到 *** 系统中,处于观察(如嗅探)而非主动扫描阶段时,真正的 *** 服务对入侵者已经透明,那么这种欺骗将失去作用.
欺骗空间技术
欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿主能力(multi-homed capability),在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机,而且每个IP地址还具有它们自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。实际上,现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。这意味着利用16台计算机组成的 *** 系统,就可做到覆盖整个B类地址空间的欺骗。尽管看起来存在许许多多不同的欺骗,但实际上在一台计算机上就可实现。
从效果上看,将 *** 服务放置在所有这些IP地址上将毫无疑问地增加了入侵者的工作量,因为他们需要决定哪些服务是真正的,哪些服务是伪造的,特别是这样的4万个以上IP地址都放置了伪造 *** 服务的系统。而且,在这种情况下,欺骗服务相对更容易被扫描器发现,通过诱使入侵者上当,增加了入侵时间,从而大量消耗入侵者的资源,使真正的 *** 服务被探测到的可能性大大减小。
当入侵者的扫描器访问到 *** 系统的外部路由器并探测到一欺骗服务时,还可将扫描器所有的 *** 流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。
当然,采用这种欺骗时 *** 流量和服务的切换(重定向)必须严格保密,因为一旦暴露就将招致攻击,从而导致入侵者很容易将任一已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺骗区分开来
增强欺骗质量
面对 *** 攻击技术的不断提高,一种 *** 欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使入侵者难以将合法服务和欺骗区分开来。
*** 流量仿真、 *** 动态配置、多重地址转换和组织信息欺骗是有效增强 *** 欺骗质量的几种主要 *** ,下面分别予以介绍。
*** 流量仿真
产生仿真流量的目的是使流量分析不能检测到欺骗。在欺骗系统中产生仿真流量有两种 *** 。一种 *** 是采用实时方式或重现方式复制真正的 *** 流量,这使得欺骗系统与真实系统十分相似,因为所有的访问连接都被复制了。第二种 *** 是从远程产生伪造流量,使入侵者可以发现和利用。
*** 动态配置
真实 *** 是随时间而改变的,如果欺骗是静态的,那么在入侵者长期监视的情况下就会导致欺骗无效。因此,需要动态配置欺骗 *** 以模拟正常的 *** 行为,使欺骗 *** 也象真实 *** 那样随时间而改变。为使之有效,欺骗特性也应该能尽可能地反映出真实系统的特性。例如,如果办公室的计算机在下班之后关机,那么欺骗计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑,否则入侵者将很可能发现欺骗。
多重地址转换(multiple address translation)
地址的多次转换能将欺骗 *** 和真实 *** 分离开来,这样就可利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性。其基本的概念就是重定向 *** 服务(通过改写 *** 服务器程序实现),由 *** 服务进行地址转换,使相同的源和目的地址象真实系统那样被维护在欺骗系统中。右图中,从m.n.o.p进入到a.b.c.g接口的访问,将经过一系列的地址转换——由a.f.c.g发送到10.n.o.p再到10.g.c.f,最后将数据包欺骗形式从m.n.o.p转换到真实机器上的a.b.c.g。并且还可将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上,从而显著地提高欺骗的真实性。还可以尝试动态多重地址转换。
创建组织信息欺骗
如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
结束语
本文阐述了 *** 欺骗在信息系统安全中的作用及实现的主要技术,并介绍了增强欺骗质量的具体 *** 。高质量的 *** 欺骗,使可能存在的安全弱点有了很好的隐藏伪装场所,真实服务与欺骗服务几乎融为一体,使入侵者难以区分。因此,一个完善的 *** 安全整体解决方案,离不开 *** 欺骗。在 *** 攻击和安全防护的相互促进发展过程中, *** 欺骗技术将具有广阔的发展前景。
ARP欺骗攻击是什么意思?
ARP欺骗,或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。
通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致 *** 不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。
扩展资料
防制 *** :
最理想的防制 *** 是网上内的每台计算机的ARP一律改用静态的方式,不过这在大型的网上是不可行的,因为需要经常更新每台计算机的ARP表。
另外一种 *** ,例如DHCP snooping,网上设备可借由DHCP保留网上上各计算机的MAC地址,在伪造的ARP数据包发出时即可侦测到。此方式已在一些厂牌的网上设备产品所支持。
有一些软件可监听网上上的ARP回应,若侦测出有不正常变动时可发送邮箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些网上设备的Dynamic ARP inspection功能。
欺骗攻击是被动攻击吗
是的,
被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击 *** 。
欺骗攻击是指将诈骗者伪装成可获取重要数据或信息的可信任来源时发生的 *** 攻击。
0条大神的评论