dns欺骗

更新时间:2023-04-19 05:00:16 阅读： 评论：0

青春的文章-邀请信

2023年4月19日发(作者：火灾逃生演练)协议欺骗攻击技术常见种类简析及防范
协议欺骗攻击技术是针对网络协议的缺陷，采用某种欺骗的手段，以截获信息或取得特权的攻
击方式。主要的协议欺骗攻击方式有:IP欺骗、ARP欺骗、DNS欺骗、源路由欺骗等。
AD：
IP欺骗攻击
IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。许多应用程序认为
如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一
定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。
假设同一网段内有两台主机A、B，另一网段内有主机X。B 授予A某些特权。X 为获得与A
相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN
包。主机B响应，回送一个应答包给A，该应答号等于原序 列号加1。然而，此时主机A已被
主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢
弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据 包的
序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP
顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的
ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些
服务实施攻击。
要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：
抛弃基于地址的信任策略： 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验
证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空 文件。这将迫使所
有用户使用其它远程通信手段，如telnet、ssh、skey等等。使用加密方法： 在包发送到 网络
上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数
据的完整性和真实性。进行包过滤：可以配置路由器使其能够拒绝网络外部与本网内具有相同
IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出
去。
有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析
测试源地址来实现操作的。因此台湾高山茶
，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那
么路由器将无法防止别人冒充这些主机进行IP欺骗。
ARP欺骗攻击
在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。
ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，
给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，
通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术。
我们假设有三台主机A,B,C位于同玛瑙 一个交换式局域网中，监听者处于主机A，
而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是个人工作总结简短 A就可以伪装成C对B做ARP
欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的
MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认
为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实
际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这
样就可以保证B,C的通信不被中断。以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法
中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其
数据传输关系如下所示逝去的青春 ：
B----->A----->C
B DNS欺骗攻击
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来
自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受

攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个
电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。
（1）缓存感染黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当
中。这些缓存信息会在客户进行DNS访问时返回作文疫情 给客户，从而将客户引导到入侵者所设置的运
行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。
（2）DNS信息劫持入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户
端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号
获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意
的网站。
（3）DNS重定向攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获
得DNS服务器的写权限。防范DNS欺骗攻击可采取如下措施：
直接用IP访问重要的服务，这样繁体字网名 电脑基础 至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP
地址。加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，
对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是怎么容易的事情。
源路由欺骗攻击
通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动
作，这就是源路由攻击。在通常情况下，信息包从起点到终点走过的路径是由位于grow过去分词 此两点间的
路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者
将此数据包鹰隼 要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。
下面仍以上述源IP欺骗中的例子给出这种攻击的形式：
主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为）
获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址
的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B
发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这
就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击，一般采用下面两种措施：
对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机
的报文。在路由器上关闭源路由。用命令no ip source-route。


责任编辑 赵毅 zhaoyi# TEL:（010）68476636-8001


基于Eclip的开源框架技术与实战
当前，开源框架层出不穷，它为用户提供了通用的解决方案，同时也增加了用户的学习难度。除皱针的危害和副作用
开源是一把“双刃剑”，一方面它共享了资

违反政治纪律-小学生阅读计划

本文发布于:2023-04-19 05:00:05，感谢您对本站的认可！

本文链接：https://www.wtabcd.cn/zhishi/a/1681851614158246.html

版权声明：本站内容均来自互联网，仅供演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。

本文word下载地址：dns欺骗.doc

本文 PDF 下载地址：dns欺骗.pdf

上一篇：古诗接龙

下一篇：返回列表

标签：dns欺骗