反黑风暴-第34章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



步骤04选择【路由】选项卡，这里的可信路由检测功能可检测到攻击者转发的数据包，做出拦截并启动主动防御，从而保障数据安全。用户可根据需要在“可信路由”选项区域中选择要检测的选项，另外，还可手动添加除网关外的可信路由，但网关IP/MAC默认认为是可信路由，如果除了默认网关外，没有其他路由，就不需要手动添加了。

步骤05切换到【防御】选项卡，在“主动防御”区域中选择“警戒”选项，这样平时不向网关发送本机正确的MAC地址，状态为“警戒－待命”。当检测到本机正在受到ARP攻击时，状态切换为“警戒－启动防御”，开始向网关发送本机正确的MAC地址，以保证网络不会中断。持续10秒没有检测到攻击时，状态从“警戒－启动防御”切换回“警戒－待命”，停止发包。

步骤06切换到【攻击拦截】选项卡，在“ARP抑制”区域中勾选“抑制发送ARP”复选框，这样当本机发送ARP数据包的速度超过阀值时，ARP防火墙会启动拦截程序。一般情况下，本机发送ARP的速度不应该超过10个/秒。

步骤07再选中“一并拦截发关的ARPReply”复选框，这样如果拦截本机发送的ARPReply，其他机器将无法获取你的MAC地址，将无法主动与你的机器取得联系，但你的机器可主动与其他机器联系。

3．管理端参数配置

在设置好客户端参数配置后，还需要设置管理端参数配置。选择【工具】→【管理端参数配置】菜单项，即可打开【管理端参数配置】对话框。其中包括【常规】、【流量控制】、【攻击监测】、【报警设置】、【升级控制】选项卡，下面分别对这5个选项卡进行设置。

（1）【常规】选项卡

在“网络参数”区域中可以自定义管理端监听的TCP端口，新设置的端口在下次运行时才生效，默认端口为9001。“TCP连接线程池”默认的设置是200，用户可以根据具体情况进行调准，一般建议不要超过500。但TCP连接线程池并非越大越好，因为线程池越大，管理端程序占用的系统资源就会越多。

客户端连接上管理端之后，即占用一个TCP连接线程池。在TCP连接线程池未用满时，客户端与管理端建立的连接会一直保持，不会断开，这样有利于管理端可以随时管理客户端。

当TCP连接线程池用满时，管理端会进行清理，断开一些客户端的连接。当客户端到了向管理端报告状态的时间点之后，客户端会再次连接管理端，使得管理端能够比较及时的获取客户端的状态和相关数据。

在“日志保存”区域中可设置自动保存事件中心日志及其保存目录，默认将其保存在管理端程序目录下的“Logs”文件夹。

（2）【流量控制】选项卡

在该选项卡下可以设定管理端监测客户端的上传、下载速度，当超过设定阀值时，可采取相应措施，如关机、重启、报警等。客户端网络速度是平均速度，非瞬时速度，计算方式为：假设客户端向管理端上传数据的周期为1分钟，假设在这1分钟之内，共计发送了600KB数据，那么上传速度为600KB/60秒=10KB/秒。

（3）【攻击监测】选项卡

该选项卡可用于监测网络内的攻击情况，触发阀值后的措施与【流量控制】选项卡中采取的措施相同。

（4）【报警设置】选项卡

在其中勾选“播放声音”复选框并单击后面的按钮，即可选择声音来源，但目前只支持wav格式的声音文件。这样，ARP防火墙管理端在收到报警信息时，就会播放此声音。

（5）【升级控制】选项卡

当有新版本发布时，可通过管理端来控制客户端进行自动升级。从官方网站下载升级包之后，在“升级包路径”文本框中设置路径即可。若客户端下除“默认组”外，还建立有多个组，可在本界面的“可选组”列表框中选择相应的组，并将其添加到“批准进行升级的组”列表框中。如果客户端数量较多，建议分批次进行升级，以免给网络和ARP防火墙管理端带来比较大的负载。

【提示】

管理端及客户端程序均会对升级包的完整性、可靠性进行校验，只有官方才能签发升级包，任何人均无法伪造。提供下载的升级包一般命名为*。rar，例如“v3。3。rar”，解压后会得到两个文件：一个是v3。3。zip，这个ZIP压缩包就是在升级界面中需要指定路径的升级包文件。而且这个文件的名字不可更改，否则将会导致升级失败。另一个是v3。3。zip。asc，这个是ZIP压缩包文件的数字签名，此文件必须跟zip文件在同一目录下。

所有设置完成后，返回到ARP防火墙管理端界面中。在左侧列表中选择“所有客户端”→“组A”选项，即可在右侧显示出添加的IP地址，并且可以查看“组A”的各种状态信息，如在线状态、连接状态、对外ARP攻击和对外IP攻击等情况。在左侧列表的下半部分，显示的是“组A”的客户端状态统计。

第三章　DNS欺骗攻击与防范

DNS是目前大部分网络应用的基础，对它的攻击将影响整个Inter的正常运转。DNS欺骗攻击是攻击者常用的手法，它具有隐蔽性强、打击面广、攻击效果明显的特点。

本节将针对DNS欺骗进行，并在此基础上介绍DNS欺骗攻击的过程以及其相应的防范措施，这对于提高DNS的安全性和抗攻击性具有积极的作用。

10。3。1认识DNS欺骗

DNS是域名系统（DomainNameSystem）的缩写，是一种组织域层次结构的计算机和网络服务命名系统。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的IP地址信息。

用户在使用网络服务时喜欢在浏览器的地址栏中输入使用主机名和域名组成的名称，因为这样的名称更容易被用户记住。但是，计算机在网络上是使用IP地址来通信的。为了能够实现网络计算机之间通信，DNS服务器所提供的服务就是将用户所使用的计算机或服务名称映射为IP地址。

DNS服务器进行名字解释的时候依赖的是一个数据文件，每个域名都有一个独立的数据文件，这个文件包括了该域名所有的名称，名称对应的类型和对应的类型数据。

当客户端希望解析DNS域名为IP地址时，就会向DNS服务器发送一个查询，然后服务器会将对应的作为回复。从客户端的角度来看，看到的只有两个数据包：查询和响应。DNS规定的名称类型有近20个。

要进行DNS查询，可利用Windows系统自带的工具nslookup，使用它来可以查询DNS中的各种数据。

（1）利用命令行方式查询

Nslookup这种运行方式主要用来查询域名对应的IP地址，也就是查询DNS的A类型记录。通过A类型记录黑客可以查询该域名的主页所存放的服务器。比如，若要查看。hao123。的IP，可在命令提示符窗口中输入要查询的IP地址或域名，并回车即可。查询的结果中包括A类型记录和CNAME类型记录。

（2）交互式方式

要查询DNS中除A类型外的其他类型的数据，可利用交互模式来查询，在查询过程中使用“settype”命令设置相应的查询类型即可。

DNS欺骗是一种中间人攻击形式，它是攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息。当用户尝试浏览网页，例如IP地址为AAA。AAA。AA。A，网址为。hao123。，而实际上登录的确实IP地址BBB。BBB。BB。B上的。hao123。。用户上网就只能看到攻击者的主页，而不是用户想要打开的网站的主页了。

这个网址是攻击者用以窃取网上的账号、密码等重要信息的假冒网址。DNS欺骗其实就是冒名顶替、招摇撞骗罢了。

网络攻击者通常通过如下几种方法进行DNS欺骗：

●缓存感染

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

●DNS信息劫持

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

●DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

10。3。2DNS欺骗攻击

黑客执行DNS欺骗攻击的方法有很多，这里我们将使用一种称为DNSID欺骗的技术。首先，对目标设备进行ARP缓存中毒攻击以重新路由通过攻击主机的目标设备的通信，这样就能够拦截DNS查询请求，即可发送欺骗性的数据包。

这样做的目的是为了让目标网络的用户访问我们制造的恶意网址而不是他们试图访问的网址。

下面使用EttercapNG工具来演示执行DNS欺骗攻击的方法。

EttercapNG工具包含windows和Linux两个版本，这里是在windows系统中安装EttercapNG。对于DNS欺骗，我们需要在CMD命令提示符窗口中执行。

首先，在计算机中下载并安装EttercapNG工具，安装完成后，在使用它操作之前，需要进行一些配置。EttercapNG的核心是数据包嗅探器，主要利用不同的插件来执行不同的攻击。

dns_spoof插件是用于本实例中进行DNS欺骗的工具，所以，需要修改与该插件相关的配置文件。在Windows系统中，该文件位于C：ProgramFilesEttercapNGshareetter。dns中，这个文件包含用户想要欺骗的DNS记录。

如果希望所有试图打开//hao123。网站的用户被定向到本地网络的主机上，需要在这个文件中加入了一些内容。方法是：从网上下载一个Notepad软件并运行，在其主窗口中选择【文件】→【打开】菜单项，即可打开“etter。dns”文件。

在文件的最后加入语句，这些信息就是告诉dns_spoof插件，当它发现针对yahoo。或。yahoo。的DNS查询请求时，就发送IP地址192。168。1。25作为响应。在实际情况下，192。168。1。25会运行某种web服务器软件向用户展现假冒网站。

在修改好配置文件后，单击工具栏上的【保存】按钮，保存文件。打开“命令提示符”窗口，即可进入EttercapNG的安装目录中，此时运行命令“Ettercap。exe–T–q–Pdns_spoof–Marp////”。该命令中各个字符串的含义如下：

●…T：指定文本界面的使用。

●…q：以静音模式运行命令，这样捕捉的数据包不会输出到屏幕。

●…Pdns_spoof：指定dns_spoof插件的使用。

●…Marp：发起中间人ARP中毒攻击以拦截主机间的数据包。

●////：指定整个网络作为攻击的目标。

运行此命令将启动两个阶段的攻击，先是对网络设备的ARP缓存中毒攻击，然后是发送假的DNS查询响应信息。当任何用户试图打开。hao123。网址时，都会被重新定向到设定的恶意网站。

10。3。3防范DNS欺骗

为了保护DNS服务器不受攻击，用户应采取一些防范措施：

●使用较新的DNS软件，因为它们中有些可以支持控制访问方式记录DNS信息，域名解析服务器只