友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
第三电子书 返回本书目录 加入书签 我的书架 我的书签 TXT全本下载 『收藏到我的浏览器』

反黑风暴-第25部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!


步骤04选择【路由】选项卡,这里的可信路由检测功能可检测到攻击者转发的数据包,做出拦截并启动主动防御,从而保障数据安全。用户可根据需要在“可信路由”选项区域中选择要检测的选项,另外,还可手动添加除网关外的可信路由,但网关IP/MAC默认认为是可信路由,如果除了默认网关外,没有其他路由,就不需要手动添加了。

步骤05切换到【防御】选项卡,在“主动防御”区域中选择“警戒”选项,这样平时不向网关发送本机正确的MAC地址,状态为“警戒-待命”。当检测到本机正在受到ARP攻击时,状态切换为“警戒-启动防御”,开始向网关发送本机正确的MAC地址,以保证网络不会中断。持续10秒没有检测到攻击时,状态从“警戒-启动防御”切换回“警戒-待命”,停止发包。

步骤06切换到【攻击拦截】选项卡,在“ARP抑制”区域中勾选“抑制发送ARP”复选框,这样当本机发送ARP数据包的速度超过阀值时,ARP防火墙会启动拦截程序。一般情况下,本机发送ARP的速度不应该超过10个/秒。

步骤07再选中“一并拦截发关的ARPReply”复选框,这样如果拦截本机发送的ARPReply,其他机器将无法获取你的MAC地址,将无法主动与你的机器取得联系,但你的机器可主动与其他机器联系。

3.管理端参数配置

在设置好客户端参数配置后,还需要设置管理端参数配置。选择【工具】→【管理端参数配置】菜单项,即可打开【管理端参数配置】对话框。其中包括【常规】、【流量控制】、【攻击监测】、【报警设置】、【升级控制】选项卡,下面分别对这5个选项卡进行设置。

(1)【常规】选项卡

在“网络参数”区域中可以自定义管理端监听的TCP端口,新设置的端口在下次运行时才生效,默认端口为9001。“TCP连接线程池”默认的设置是200,用户可以根据具体情况进行调准,一般建议不要超过500。但TCP连接线程池并非越大越好,因为线程池越大,管理端程序占用的系统资源就会越多。

客户端连接上管理端之后,即占用一个TCP连接线程池。在TCP连接线程池未用满时,客户端与管理端建立的连接会一直保持,不会断开,这样有利于管理端可以随时管理客户端。

当TCP连接线程池用满时,管理端会进行清理,断开一些客户端的连接。当客户端到了向管理端报告状态的时间点之后,客户端会再次连接管理端,使得管理端能够比较及时的获取客户端的状态和相关数据。

在“日志保存”区域中可设置自动保存事件中心日志及其保存目录,默认将其保存在管理端程序目录下的“Logs”文件夹。

(2)【流量控制】选项卡

在该选项卡下可以设定管理端监测客户端的上传、下载速度,当超过设定阀值时,可采取相应措施,如关机、重启、报警等。客户端网络速度是平均速度,非瞬时速度,计算方式为:假设客户端向管理端上传数据的周期为1分钟,假设在这1分钟之内,共计发送了600KB数据,那么上传速度为600KB/60秒=10KB/秒。

(3)【攻击监测】选项卡

该选项卡可用于监测网络内的攻击情况,触发阀值后的措施与【流量控制】选项卡中采取的措施相同。

(4)【报警设置】选项卡

在其中勾选“播放声音”复选框并单击后面的按钮,即可选择声音来源,但目前只支持wav格式的声音文件。这样,ARP防火墙管理端在收到报警信息时,就会播放此声音。

(5)【升级控制】选项卡

当有新版本发布时,可通过管理端来控制客户端进行自动升级。从官方网站下载升级包之后,在“升级包路径”文本框中设置路径即可。若客户端下除“默认组”外,还建立有多个组,可在本界面的“可选组”列表框中选择相应的组,并将其添加到“批准进行升级的组”列表框中。如果客户端数量较多,建议分批次进行升级,以免给网络和ARP防火墙管理端带来比较大的负载。

【提示】

管理端及客户端程序均会对升级包的完整性、可靠性进行校验,只有官方才能签发升级包,任何人均无法伪造。提供下载的升级包一般命名为*。rar,例如“v3。3。rar”,解压后会得到两个文件:一个是v3。3。zip,这个ZIP压缩包就是在升级界面中需要指定路径的升级包文件。而且这个文件的名字不可更改,否则将会导致升级失败。另一个是v3。3。zip。asc,这个是ZIP压缩包文件的数字签名,此文件必须跟zip文件在同一目录下。

所有设置完成后,返回到ARP防火墙管理端界面中。在左侧列表中选择“所有客户端”→“组A”选项,即可在右侧显示出添加的IP地址,并且可以查看“组A”的各种状态信息,如在线状态、连接状态、对外ARP攻击和对外IP攻击等情况。在左侧列表的下半部分,显示的是“组A”的客户端状态统计。

第三章 DNS欺骗攻击与防范

DNS是目前大部分网络应用的基础,对它的攻击将影响整个Inter的正常运转。DNS欺骗攻击是攻击者常用的手法,它具有隐蔽性强、打击面广、攻击效果明显的特点。

本节将针对DNS欺骗进行,并在此基础上介绍DNS欺骗攻击的过程以及其相应的防范措施,这对于提高DNS的安全性和抗攻击性具有积极的作用。

10。3。1认识DNS欺骗

DNS是域名系统(DomainNameSystem)的缩写,是一种组织域层次结构的计算机和网络服务命名系统。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与此名称相关的IP地址信息。

用户在使用网络服务时喜欢在浏览器的地址栏中输入使用主机名和域名组成的名称,因为这样的名称更容易被用户记住。但是,计算机在网络上是使用IP地址来通信的。为了能够实现网络计算机之间通信,DNS服务器所提供的服务就是将用户所使用的计算机或服务名称映射为IP地址。

DNS服务器进行名字解释的时候依赖的是一个数据文件,每个域名都有一个独立的数据文件,这个文件包括了该域名所有的名称,名称对应的类型和对应的类型数据。

当客户端希望解析DNS域名为IP地址时,就会向DNS服务器发送一个查询,然后服务器会将对应的作为回复。从客户端的角度来看,看到的只有两个数据包:查询和响应。DNS规定的名称类型有近20个。

要进行DNS查询,可利用Windows系统自带的工具nslookup,使用它来可以查询DNS中的各种数据。

(1)利用命令行方式查询

Nslookup这种运行方式主要用来查询域名对应的IP地址,也就是查询DNS的A类型记录。通过A类型记录黑客可以查询该域名的主页所存放的服务器。比如,若要查看。hao123。的IP,可在命令提示符窗口中输入要查询的IP地址或域名,并回车即可。查询的结果中包括A类型记录和CNAME类型记录。

(2)交互式方式

要查询DNS中除A类型外的其他类型的数据,可利用交互模式来查询,在查询过程中使用“settype”命令设置相应的查询类型即可。

DNS欺骗是一种中间人攻击形式,它是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息。当用户尝试浏览网页,例如IP地址为AAA。AAA。AA。A,网址为。hao123。,而实际上登录的确实IP地址BBB。BBB。BB。B上的。hao123。。用户上网就只能看到攻击者的主页,而不是用户想要打开的网站的主页了。

这个网址是攻击者用以窃取网上的账号、密码等重要信息的假冒网址。DNS欺骗其实就是冒名顶替、招摇撞骗罢了。

网络攻击者通常通过如下几种方法进行DNS欺骗:

●缓存感染

黑客会熟练的使用DNS请求,将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户,从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上,然后黑客从这些服务器上获取用户信息。

●DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话,通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。

●DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

10。3。2DNS欺骗攻击

黑客执行DNS欺骗攻击的方法有很多,这里我们将使用一种称为DNSID欺骗的技术。首先,对目标设备进行ARP缓存中毒攻击以重新路由通过攻击主机的目标设备的通信,这样就能够拦截DNS查询请求,即可发送欺骗性的数据包。

这样做的目的是为了让目标网络的用户访问我们制造的恶意网址而不是他们试图访问的网址。

下面使用EttercapNG工具来演示执行DNS欺骗攻击的方法。

EttercapNG工具包含windows和Linux两个版本,这里是在windows系统中安装EttercapNG。对于DNS欺骗,我们需要在CMD命令提示符窗口中执行。

首先,在计算机中下载并安装EttercapNG工具,安装完成后,在使用它操作之前,需要进行一些配置。EttercapNG的核心是数据包嗅探器,主要利用不同的插件来执行不同的攻击。

dns_spoof插件是用于本实例中进行DNS欺骗的工具,所以,需要修改与该插件相关的配置文件。在Windows系统中,该文件位于C:ProgramFilesEttercapNGshareetter。dns中,这个文件包含用户想要欺骗的DNS记录。

如果希望所有试图打开//hao123。网站的用户被定向到本地网络的主机上,需要在这个文件中加入了一些内容。方法是:从网上下载一个Notepad软件并运行,在其主窗口中选择【文件】→【打开】菜单项,即可打开“etter。dns”文件。

在文件的最后加入语句,这些信息就是告诉dns_spoof插件,当它发现针对yahoo。或。yahoo。的DNS查询请求时,就发送IP地址192。168。1。25作为响应。在实际情况下,192。168。1。25会运行某种web服务器软件向用户展现假冒网站。

在修改好配置文件后,单击工具栏上的【保存】按钮,保存文件。打开“命令提示符”窗口,即可进入EttercapNG的安装目录中,此时运行命令“Ettercap。exe–T–q–Pdns_spoof–Marp////”。该命令中各个字符串的含义如下:

●…T:指定文本界面的使用。

●…q:以静音模式运行命令,这样捕捉的数据包不会输出到屏幕。

●…Pdns_spoof:指定dns_spoof插件的使用。

●…Marp:发起中间人ARP中毒攻击以拦截主机间的数据包。

●////:指定整个网络作为攻击的目标。

运行此命令将启动两个阶段的攻击,先是对网络设备的ARP缓存中毒攻击,然后是发送假的DNS查询响应信息。当任何用户试图打开。hao123。网址时,都会被重新定向到设定的恶意网站。

10。3。3防范DNS欺骗

为了保护DNS服务器不受攻击,用户应采取一些防范措施:

●使用较新的DNS软件,因为它们中有些可以支持控制访问方式记录DNS信息,域名解析服务器只对那些合法的请求做出响应。内部的请求可以不受限制的访问区域信息,外部的请求仅能访问那些公开的信息。

●正确配置区域传输。即只允许相互信任的DNS服务器之间才允许传输解析数据。

●直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。但需要记住自己要访问的IP地址。

●保护DNS服务器所存储的信息。部分注册信息的登录方式仍然采用一些比较过时的方法,如采用电子邮件的方式就可以升级DNS注册信息,这些过时的方法需要添加安全措施,例如采用加密的口令,或者采用安全的浏览器平台工具来提供管理域代码记录的方式。

●配合使用防火墙。使用防火墙可使得DNS服务器位于防火墙的保护之内,只开放相应的服务端口和协议。

●系统管理员也可以采用分离DNS的方式,内部的系统与外部系统分别访问不同的DNS系统,外部的计算机仅能访问公共的记录。

第四章 专家课堂(常见问题与解答)

点拨1:如何查看本机已经受到ARP攻击的影响了?

解答:正常情况下,如果没有将本机的IP地址(如192。168。0。7)与MAC地址进行绑定,则在动态的情况下,在CMD命令提示符窗口中输入命令“arp–a”,会在PC上看到如下提示:

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bdynamic(动态)

即网关的MAC地址为正确的MAC地址(一般为路由器LAN口的MAC地址),如果这个不是正确的MAC地址,则说明本已经受到ARP攻击的影响了。

点拨2:如何查询DNS服务器工作是否正常?

解答:要查询DNS服务器的工作是否正常,要先知道自己计算机使用的DNS地址是多少了,并且查询他的运行情况。

步骤01在命令提示符下输入“ipconfig/all”命令,即可查询网络参数。

步骤02在查询结果中可看到显示“DNSSERVERS”地方,这个就是DNS服务器地址,DNS服务器地址是192。168。0。1。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,可以更换一个其他的DNS服务器地址即可解决问题。

步骤03如果在DNS服务器处显示的是内部网络地址,说明本机的DNS解析工作是交给局域网内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。

解决DNS服务器上的DNS服务故障,一般来说问题也能够解决。

第一章 网络中只留下一个影子

在正式进行各种“黑客行为”之前,黑客会采取各种手段,侦察对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。但黑客在访问每台主机时,都会留下IP地址记录,这样当用户或管理员感觉网络流量有异常时,就会从系统日志记录中查找攻击者的信息,作为日后警告攻击者的凭据。黑客们都非常地狡猾,他们会采取多种方法来隐藏IP地址,使用户无法找到它们的踪迹。

11。1。1通过代理服务器隐藏IP地址

代理服务器是介于浏览器和Web服务器之间的另一台服务器。当使用代理服务器访问站点时会先向代理服务器发出请求,代理服务器便会取回浏览器所需要的信息,并传送给用户的浏览器。这意味着是通过代理服务器作为中间人而进行间接的主机访问,这样,被访问的主机所记录的IP就是代理服务器的IP,而不是我们自身的IP信息。寻找代理IP的途径有很多种,如使用“代理猎手”这种类似的工具进行搜索,或使用网上免费的代理IP。

1.使用“代理猎手”搜索代理

“代理猎手”是一款集搜索与验证于一身,支持多网址段、多端口自动查询,支持用户设置最大连接数(可以做到不影响其他网络程序),可以快速查找网络上的免费Proxy的软件。

下面介绍使用“代理猎手”搜索代理的具体操作方法。

(1)添加搜索任务

在使用“代理猎手”搜索代理之前,要首先添加搜索任务,其具体操作步骤如下:

步骤01将下载的“代理猎手”软件压缩包进行解压并安装,然后启动该软件,即可进入其主界面中,选择【搜
返回目录 上一页 下一页 回到顶部 0 0
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!