【網絡與系統安全實驗】欺騙攻擊及防禦技術

【網絡與系統安全實驗】欺騙攻擊及防禦技術

概述

在Internet上，計算機之間相互進行的交流建立在兩個前提之下：
1、認證（Authentication）
認證是網絡上的計算機用於相互間進行識別的過程，經過認證的過程，獲准相互交流的計算機之間就會建立起相互信任的關係。
2、信任（Trust）
信任和認證具有逆反關係，即如果計算機之間存在高度的信任關係，則交流時就不會要求嚴格的認證。而反之，如果計算機之間沒有很好的信任關係，則會進行嚴格的認證。

欺騙，實質上就是一種冒充身份通過認證騙取信任的攻擊方式。攻擊者針對認證機制的缺陷，將自己僞裝成可信任方，從而與受害者進行交流，最終攫取信息或是展開進一步攻擊。

目前比較流行的欺騙攻擊主要有：
1、IP欺騙：使用其他計算機的IP來騙取連接，獲得信息或者得到特權；
2、ARP欺騙：利用ARP協議的缺陷，把自己僞裝成“中間人”，效果明顯，威力驚人；
3、電子郵件欺騙：電子郵件發送方地址的欺騙；
4、DNS欺騙：域名與IP地址轉換過程中實現的欺騙；
5、Web欺騙：創造某個萬維網網站的複製影像，從而達到欺騙網站用戶目的的攻擊

IP欺騙及防禦技術

基本的IP欺騙

最基本的IP欺騙技術有三種：
1、基本地址變化
2、使用源站選路截取數據包
3、利用Unix機器上的信任關係

基本地址變化
IP欺騙包括把一臺計算機僞裝成別人機器的IP地址的這種情況，所以IP欺騙最基本的方法就是搞清楚一個網絡的配置，然後改變自己的IP地址。這樣做就可以使所有發送的數據包都帶有假冒的源地址。

攻擊者使用假冒的IP地址向一臺機器發送數據包，但沒有收到任何返回的數據包，這被稱之爲盲目飛行攻擊(flyingblind attack)，或者叫做單向攻擊(oneway attack)。因爲只能向受害者發送數據包，而不會收到任何應答包。
利用這種方法進行欺騙攻擊有一些限制，比如說TCP連接沒法建立；但是，對於UDP這種面向無連接的傳輸協議就不會存在建立連接的問題，因此所有單獨的UDP數據包都會被髮送到受害者的系統中。

基本地址變化方法沒法接收返回的信息流。爲了得到從目的主機返回源地址主機的數據流，有兩個方法：
1、攻擊者插入到正常情況下數據流經過的通路上；
2、保證數據包會經過一條給定的路徑，而且作爲一次欺騙，保證它經過攻擊者的機器。

源站選路（使用源站選路截取數據包）。
這就需要使用源路由，它被包含在TCP/IP協議組中。源路由可使信息包的發送者將此數據包要經過的路徑寫在數據包裏。
某些路由器對源路由包的反應是使用其指定的路由，並使用其反向路由來傳送應答數據。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數據。

它包括兩種類型的源路由：
1、寬鬆的源站選擇（LSR）：發送端指明數據流必須經過的IP地址清單，但是也可以經過除這些地址以外的一些地址。
2、嚴格的源路由選擇（SRS）：發送端指明IP數據包必須經過的確切地址。如果沒有經過這一確切路徑，數據包會被丟棄，並返回一個ICMP報文。

源站選路給攻擊者帶來了很大的便利。攻擊者可以使用假冒地址A向受害者B發送數據包，並指定了寬鬆的源站選路或者嚴格路由選擇(如果確定能經過所填入的每個路由的話)，並把自己的IP地址X填入地址清單中。當B在應答的時候，也應用同樣的源路由，因此，數據包返回被假冒主機A的過程中必然會經過攻擊者X。 這樣攻擊者不再是盲目飛行了，因爲它能獲得完整的會話信息。

在Unix/Linux世界中，利用信任關係可以使機器之間的切換變得更加容易，特別是在進行系統管理的時候。
單位裏經常指定一個管理員管理幾十個區域或者甚至上百臺機器，管理員一般都會使用信任關係和UNIX的r命令從一個系統方便的切換到另一個系統。r命令允許一個人登錄遠程機器而不必提供口令。
取代詢問用戶名和口令，遠程機器基本上使用IP地址來進行驗證，也就是說將會認可來自可信IP地址的任何人。
從便利的角度看，信任的關係是非常有效的，但是從安全的角度來看，是不可取的。
如果攻擊者獲得了可信任網絡裏的任何一臺的機器，他就能登錄信任該IP的任何機器上。
下面是經常使用的一些r*命令：
rlogin：remote login，遠程登錄；
rsh：remote shell，遠程shell；
rcp：remote copy, 遠程拷貝。
這種方法一度被認爲是IP欺騙最主要的方法。 但是，這種欺騙方法只能在Unix環境下使用，而且比較陳舊。

IP欺騙的高級應用——TCP會話劫持

會話劫持就是接管一個現存動態會話的過程，換句話說，攻擊者通過會話劫持可以替代原來的合法用戶，同時能夠監視並掌握會話內容。此時，攻擊者可以對受害者的回覆進行記錄，並在接下來的時間裏對其進行響應，展開進一步的欺騙和攻擊。
在一般的欺騙攻擊中攻擊者並不是積極主動地使一個用戶下線來實現他針對受害目標的攻擊，而是僅僅裝作是合法用戶。此時，被冒充的用戶可能並不在線上，而且它在整個攻擊中不扮演任何角色，因此攻擊者不會對它發動進攻。但是在會話劫持中，爲了接管整個會話過程，攻擊者需要積極攻擊使被冒充用戶下線。

TCP會話劫持過程
1、發現攻擊目標
對於尋找合適的目標有兩個關鍵的問題。首先，通常攻擊者希望這個目標是一個正常TCP會話連接（例如Telnet和FTP等）的服務器。其次，能否檢測數據流也是一個比較重要的問題，因爲在攻擊的時候需要猜測序列號。對於交換網絡環境，嗅探其他機器的數據流就相對來說有些困難，就必須使用ARP欺騙。
2、確認動態會話
與大多數攻擊不同，會話劫持攻擊適合在網絡流通量達到高峯時纔會發生的。首先，有很多供選擇的會話；其次，網絡流通量越大則被發現的可能就越小。
3、猜測序列號
TCP區分正確數據包和錯誤數據包僅通過它們的SEQ/ACK序列號。序列號卻是隨着時間的變化而改變的。因此，攻擊者必須成功猜測出序列號。通過嗅探或者ARP欺騙，先發現目標機正在使用的序列號，再根據序列號機制，可以猜測出下一對SEQ/ACK序列號。同時，攻擊者若以某種方法擾亂客戶主機的SEQ/ACK，服務器將不再相信客戶主機正確的數據包，從而可以僞裝爲客戶主機，使用正確的SEQ/ACK序列號，現在攻擊主機就可以與服務器進行連接，這樣就搶劫一個會話連接。
4、使客戶主機下線
當攻擊者獲得了序列號後，爲了徹底接管這個會話，他就必須使客戶主機下線。使客戶主機下線最簡單的方式就是對其進行拒絕服務攻擊，從而使其不再繼續響應。服務器會繼續發送響應給客戶主機，但是因爲攻擊者已經掌握了客戶主機，所以該機器就不再繼續響應。
5、接管會話
既然攻擊者已經獲得了所需要的一切信息，那麼就可以持續向服務器發送數據包並且接管整個會話了。在會話劫持攻擊中，攻擊者通常會發送數據包在受害服務器上建立一個賬戶，甚至留下某些後門。通過這種方式，攻擊者就可以在任何時候輕鬆進入系統了。

TCP會話劫持的危害
就其實現原理而言，任何使用Internet進行通信的主機都有可能受到這種攻擊。會話劫持在理論上是非常複雜的， 但是現在產生了簡單適用的會話劫持攻擊軟件，技術門檻的降低導致了很多“少年攻擊者”的誕生。會話劫持攻擊的危害性大的一個最主要的原因就是它並不依賴於操作系統。另一個原因就是它可以被用來進行積極的攻擊，通過攻擊行爲可以獲得進入系統的可能。

實現TCP會話劫持的工具
1、Juggernaut
Juggernaut是由Mike Schiffman開發的自由軟件，這個軟件是開創性的，是最先出現的會話攻擊程序之一。它運行在Linux操作系統的終端機上，攻擊者能夠窺探網絡中所有的會話，並且劫持其中任何一個，攻擊者可以像真正用戶那樣向服務器提交命令。
2、Hunt
由Pavel Krauz製作的Hunt，是一個集嗅探、截取和會話劫持功能與一身的強大工具。它可以在無論共享式網絡還是交換式網絡中工作，不僅能夠在混雜模式和ARP欺騙模式下進行嗅探，還具有中斷和劫持動態會話的能力。

IP欺騙攻擊的防禦

防範地址變化欺騙

沒有辦法阻止有人向另一方發送消息時不用自己的而使用你的地址。但是，採取一些措施可以有效保護自己免受這種攻擊的欺騙。
1、限制用戶修改網絡配置
爲了阻止攻擊者使用一臺機器發起欺騙攻擊，首先需限制那些有權訪問機器配置信息的人員。這麼做就能防止員工執行欺騙。
2、入口過濾
大多數路由器有內置的欺騙過濾器。過濾器的最基本形式是，不允許任何從外面進入網絡的數據包使用單位的內部網絡地址作爲源地址。因此，如果一個來自外網的數據包，聲稱來源於本單位的網絡內部，就可以非常肯定它是假冒的數據包，應該丟棄它。這種類型的過濾可以保護單位的網絡不成爲欺騙攻擊的受害者。
3、出口過濾
爲了執行出口過濾，路由器必須檢查數據包，確信源地址是來自本單位局域網的一個地址。如果不是那樣，這個數據包應該被丟棄，因爲這說明有人正使用假冒地址向另一個網絡發起攻擊。離開本單位的任何合法數據包須有一個源地址，並且它的網絡部分與本單位的內部網絡相匹配。

防範源路由欺騙

保護自己或者單位免受源路由欺騙攻擊的最好方法是設置路由器禁止使用源路由。事實上人們很少使用源路由做合法的事情。因爲這個原因，所以阻塞這種類型的流量進入或者離開網絡通常不會影響正常的業務。

防範信任關係欺騙

保護自己免受信任關係欺騙攻擊最容易的方法就是不使用信任關係。但是這並不是最佳的解決方案，因爲便利的應用依賴於信任關係。
但是能通過做一些事情使暴露達到最小：(1)限制擁有信任關係的人員。(2)不允許通過外部網絡使用信任關係。

防範會話劫持攻擊

會話劫持攻擊是非常危險的，因爲攻擊者能夠直接接管合法用戶的會話。在其他的攻擊中可以處理那些危險並且將它消除。但是在會話劫持中，消除這個會話也就意味着禁止了一個合法的連接，從本質上來說這麼做就背離了使用Internet進行連接的目的。
沒有有效的辦法可以從根本上防範會話劫持攻擊，可以通過進行加密、使用安全協議、限制保護措施的方法儘量縮小會話攻擊所帶來危害。
1、進行加密
如果攻擊者不能讀取傳輸數據，那麼進行會話劫持攻擊也是十分困難的。因此，任何用來傳輸敏感數據的關鍵連接都必須進行加密。
2、使用安全協議
無論何時當用戶連入到一個遠端的機器上，特別是當從事敏感工作或是管理員操作時，都應當使用安全協議。一般來說，有像SSH（Secure Shell）這樣的協議或是安全的Telnet都可以使系統免受會話劫持攻擊。此外，從客戶端到服務器的VPN（Virtual Private Network）也是很好的選擇。
3、限制保護措施
允許從網絡上傳輸到用戶單位內部網絡的信息越少，那麼用戶將會越安全，這是個最小化會話劫持攻擊的方法。攻擊者越難進入系統，那麼系統就越不容易受到會話劫持攻擊。在理想情況下，應該阻止儘可能多的外部連接和連向防火牆的連接。

ARP欺騙及防禦技術

ARP背景知識介紹

ARP（Address Resolution Protocol）地址解析協議用於將計算機的網絡地址（IP地址32位）轉化爲物理地址（MAC地址48位）[RFC826]，ARP協議是屬於鏈路層的協議。在以太網中，數據幀從一個主機到達局域網內的另一臺主機是根據48位的以太網地址（硬件地址）來確定接口的，而不是根據32位的IP地址。內核（如驅動）必須知道目的端硬件地址才能發送數據。

ARP協議有兩種數據包
1、ARP請求包：ARP工作時，送出一個含有目的IP地址的以太網廣播數據包，這也就是ARP請求包。它表示：我想與目的IP通信，請告訴我此IP的MAC地址。ARP請求包格式如下：arp who-has 192.168.1.1 tell 192.168.1.2
2、ARP應答包：當目標主機收到ARP請求包，發現請求解析的IP地址與本機IP地址相同，就會返回一個ARP應答包。它表示：我的主機就是此IP，我的MAC地址是某某某。ARP應答包的格式如下：arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00

ARP欺騙攻擊原理與危害

ARP欺騙攻擊是利用ARP協議本身的缺陷進行的一種非法攻擊，目的是爲了在全交換環境下實現數據監聽。通常這種攻擊方式可能被病毒、木馬或者有特殊目的攻擊者使用。主機在實現ARP緩存表的機制中存在一個不完善的地方，當主機收到一個ARP的應答包後，它並不會去驗證自己是否發送過這個ARP請求，而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。

ARP欺騙過程
1、主機B(192.168.1.3)向網關C發送ARP應答包說：我是192.168.1.2，我的MAC地址是03-03-03-03-03-03
2、主機B同時向主機A發送ARP應答包說：我是192.168.1.1，我的MAC地址是03-03-03-03-03-03。
3、A發給C的數據就會被髮送到B，同時獲得C發給A的數據也會被髮送到B。 這樣，B就成了A與C之間的“中間人”。

ARP欺騙攻擊在局域網內非常奏效，其危害有：
1、致使同網段的其他用戶無法正常上網（頻繁斷網或者網速慢）。
2、使用ARP欺騙可以嗅探到交換式局域網內所有數據包，從而得到敏感信息。
3、ARP欺騙攻擊可以對信息進行篡改，例如，可以在你訪問的所有網頁中加入廣告。
4、用ARP欺騙攻擊可以控制局域網內任何主機，起到“網管”的作用，例如，讓某臺主機不能上網。

ARP欺騙攻擊實例

使用工具：Arp cheat and sniffer V2.1，國內開源軟件，是一款arp sniffer工具，可以通過arp欺騙嗅探目標主機TCP、UDP和ICMP協議數據包。
攻擊環境：在一個交換式局域網內
受害者IP爲210.77.21.53，MAC爲00-0D-60-36-BD-05；
網關IP爲210.77.21.254，MAC爲00-09-44-44-77-8A；
攻擊者IP爲210.77.21.68，MAC爲00-07-E9-7D-73-E5。
攻擊目的：攻擊者想得知受害者經常登陸的FTP用戶名和密碼。
工具參數：
-si 源ip
-di 目的ip
-sp 源端口
-dp 目的端口
-w 嗅探方式，1代表單向嗅探[si->di]，0代表雙向嗅探[si<->di]
-p 嗅探協議[TCP,UDP,ICMP]大寫
-m 最大記錄文件，以M爲單位
-o 文件輸出
-hex 十六進制輸出到文件
-unecho 不回顯
-unfilter 不過慮0字節數據包
-low 粗略嗅探，丟包率高，cpu利用率低
-timeout 嗅探超時,除非網絡狀況比較差，否則請不要調高,默認爲120秒
-sniffsmtp 嗅探smtp
-sniffpop 嗅探pop
-sniffpost 嗅探post
-sniffftp 嗅探ftp
-snifftelnet 嗅探telnet，以上5個嗅探不受參數si,sp,di,dp,w,p影響.
-sniffpacket 規則嗅探數據包,受參數si,sp,di,dp,w,p影響
-sniffall 開啓所有嗅探
-onlycheat 只欺騙
-cheatsniff 欺騙並且嗅探
-reset 欺騙後恢復
-g 網關ip
-c 欺騙者ip、mac
-t 受騙者ip
-time 欺騙次數
使用舉例：

arpsf -p TCP -dp 25,110 -o f:\1.txt -m 1 –sniffpacket
//嗅探指定規則數據包並保存到文件
arpsf -sniffall -cheatsniff -t 127.0.0.1 -g 127.0.0.254
//欺騙並且嗅探127.0.0.1與外界的通訊，輸出到屏幕
arpsf -onlycheat -t 127.0.0.1 -c 127.0.0.2002211445544 -time 100 –reset
//對目標欺騙一百次,欺騙後恢復
arpsf -cheatsniff -t 192.168.0.54 -g 192.168.0.254 - sniffpacket -p TCP -dp 80,25,23,110 -o d:\siff.txt -w0 -m 1
//嗅探192.168.0.54與外網的tcp連接情況並指定目的端口 80,23,25,110,嗅探方式是雙向嗅探，最大記錄文件是1M， 輸出到d盤sniff.txt文件中。
//其中192.168.0.254是網關的地址。也可以改成同網段中其他的地址，那就是網內嗅探了。

ARP欺騙攻擊的檢測與防禦

如何檢測局域網中存在ARP欺騙攻擊
1、網絡頻繁掉線
2、網速突然變慢
3、使用ARP –a命令發現網關的MAC地址與真實的網關MAC地址不相同
4、使用sniffer軟件發現局域網內存在大量的ARP reply包

如何發現正在進行ARP攻擊的主機
1、如果你知道正確的網關MAC地址，通過ARP –a命令看到的列出的網關MAC與正確的MAC地址不同，那就是攻擊主機的MAC。
2、使用Sniffer軟件抓包發現大量的以網關的IP地址發送的ARP reply包，包中指定的MAC就是攻擊主機的MAC地址。
3、使用ARP保護程序發現攻擊主機的MAC
4、MAC地址綁定，使網絡中每一臺計算機的IP地址與硬件地址一一對應，不可更改。
5、使用靜態ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進行。
6、使用ARP服務器，通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。
7、使用ARP欺騙防護軟件，如ARP防火牆。
8、發現正在進行ARP欺騙的主機並將其隔離。

ARP欺騙攻擊的防範（在Windows下使用靜態的ARP表 ）
假設我們事先已知網關192.168.1.254的MAC地址爲：00-0f-7a-02-00-4b，查看主機當前的ARP表，命令爲arp –a，可以查看到當前的ARP表中的記錄（動態），把網關的arp記錄設置成靜態，命令爲arp -s192.168.1.254 00-0f-7a-02-00-4b，再次用arp –a命令查看ARP表，發現網關的ARP記錄已經設置成靜態。

電子郵件欺騙及防禦技術

電子郵件欺騙的原理及實現方法

攻擊者使用電子郵件欺騙有三個目的：
第一，隱藏自己的身份。
第二，如果攻擊者想冒充別人，他能假冒那個人的電子郵件。
第三，電子郵件欺騙能被看作是社會工程的一種表現形式。

執行電子郵件欺騙有三種基本方法，每一種有不同難度級別，執行不同層次的隱蔽。它們分別是：
利用相似的電子郵件地址
修改郵件客戶軟件設置
遠程登錄到25號端口

電子郵件欺騙的防禦

做爲互聯網用戶，必須時刻樹立風險意識，不要隨意打開一個不可信任的郵件。
此外，下面介紹幾種防範方法分別從這幾個方面入手：
1、郵件接收者
用戶需要合理配置郵件客戶端，使每次總能顯示出完整的電子郵件地址，而不是僅僅顯示別名，完整的電子郵件地址能提供一些跡象表明正在發生一些不平常的事情。用戶應該注意檢驗發件人字段，不要被相似的發信地址所矇蔽。
2、郵件發送者
如果你使用foxmail或者outlook之類的郵件客戶端，你必須保護好這些郵件客戶端，防止他人對客戶端的設置進行修改。
3、郵件服務器
採用的SMTP身份驗證機制。原來使用SMTP協議發送郵件的時候並不需要任何驗證，身份欺騙極易實現。現在將POP協議收取郵件需要用戶名/密碼驗證的思想移至到SMTP協議，發送郵件也需要類似的驗證。現在通常的做法是使用與接收郵件相同的用戶名和密碼來發送郵件。採用這種方法之後，雖然SMTP協議安全性的問題仍然無法從根本上得到解決，但是電子郵件欺騙已經變得不像過去那麼容易了。
4、郵件加密
PGP (Pretty Good Privacy) 是一個可以讓您的電子郵件擁有保密功能的程序。藉此你可以將你的郵件加密 ，一旦加密後，郵件看起來是一堆無意義的亂碼。PGP提供了極強的保護功能，即使是最先進的解碼分析技術也無法解讀加密後的文字。PGP 加密與解密不像其它傳統加密的方式，而是以公鑰密碼學爲基礎的。舉例來說，當你要傳送一封保密信或檔案給某人時，必須先取得那人的公鑰(Public Key)，然後利用這個公鑰將信件加密。當某人收到您加密的信件後，他必須利用相應的私鑰(Secret Key)來解密。因此，除非其它人擁有收信者的私鑰，否則無法解開發信人所加密的信件。同時，收信人在使用私鑰解密時，還必須輸入通行碼，如此又對加密後的郵件多了一層保護。

DNS欺騙及防禦技術

DNS工作原理

DNS的全稱是Domain Name Server，即域名服務器，當一臺主機發送一個請求要求解析某個域名時，它會首先把解析請求發到自己的DNS服務器上。DNS的功能就是把域名轉換成IP地址。DNS服務器裏有一個“DNS緩存表”，裏面存儲了此DNS服務器所管轄域內主機的域名和IP地址的對應關係。
例如，客戶主機需要訪問www.dhs.com時，首先要知道www.dhs.com的IP地址。客戶主機獲得www.dhs.com IP地址的唯 一方法就是向所在網絡設置的DNS服務器進行查詢。
查詢過程分四步進行，見下圖。

客戶主機軟件(例如Web瀏覽器)需要對www.dhs.com進行解析，它向本地DNS服務器(nipc.com域)發送域名解析請求，要求回覆www.dhs.com的IP地址；由於本地DNS服務器的數據庫中沒有www.dhs.com的記錄，同時緩存中也沒有記錄，所以，它會依據DNS協議機器配置向網絡中的其他DNS服務器提交請求。這個查詢請求逐級遞交，直到dhs.com域的真正權威DNS服務器收到請求；dhs.com域DNS服務器將向nipc.com 域DNS服務器返回IP查詢結果(假定爲1.2.3.4)； nipc.com域的本地DNS服務器最終將查詢結果返回給客戶主機瀏覽器，並將這一結果存儲到其DNS緩存當中，以便以後使用。這樣，客戶主機下次訪問www.dhs.com的時候，就可以不需要再次轉發查詢請求，而直接 從緩存中提取記錄向客戶端返回IP地址了。
經過上面幾步，客戶主機獲得了它所期待的網站的IP地址，這樣整個域名解析過程就結束了。

DNS欺騙的原理及實現步驟

當客戶主機向本地DNS服務器查詢域名的時候，如果服務器的緩存中已經有相應記錄，DNS服務器就不會再向其他服務器進行查詢，而直接將這條記錄返回給用戶。而入侵者欲實現DNS欺騙，關鍵的條件就是在DNS服務器的本地Cache中緩存一條僞造的解析記錄。

在上面圖示中，若dhs.com域DNS服務器返回的是經過黑客篡改的信息，比如將www.dhs.com指向另一個IP地址5.6.7.8，nipc.com域DNS服務器將會接受結果，並將錯誤的信息存儲在本地Cache中。有了對DNS服務器進行欺騙的可能，攻擊者怎樣僞造DNS應答信息就成了問題的焦點。
目前有兩種可能情況下的實現辦法：
攻擊者可以控制本地的域名服務器
攻擊者無法控制任何DNS服務器

DNS欺騙的侷限性及防禦

DNS欺騙由於以下兩條而在實際操作中受到限制：
攻擊者不能替換緩存中已經存在的記錄
DNS服務器存在緩存（Cache）刷新時間問題

在配置DNS服務器的時候注意：
1、使用最新版本DNS服務器軟件並裝補丁；
2、關閉DNS服務器的遞歸功能：DNS 服務器利用緩存中的記錄信息回答查詢請求或是 DNS 服務器通過查詢其它服務器獲得查詢信息並將它發送給客戶機，這兩種查詢方式稱爲遞歸查詢，這種查詢方式容易導致DNS欺騙。關閉後可採用迭代式查詢方式。
3、限制區域傳輸範圍，限制域名服務器做出響應的地址、限制域名服務器做出響應的遞歸請求地址、限制發出請求的地址；
4、限制動態更新；採用分層的DNS體系結構。

Web欺騙及防禦技術

Web欺騙的概念

Web欺騙是一種電子信息欺騙，攻擊者創造了一個完整的令人信服的Web世界，但實際上它卻是一個虛假的複製。虛假的Web看起來十分逼真，它擁有相同的網頁和鏈接。然而攻擊者控制着這個虛假的Web站點，這樣受害者的瀏覽器和Web之間的所有網絡通信就完全被攻擊者截獲。由於攻擊者可以觀察或者修改任何從受害者到Web服務器的信息，同樣地，也控制着從Web服務器發至受害者的返回數據，這樣攻擊者就有發起攻擊的可能性。攻擊者能夠監視被攻擊者的網絡信息，記錄他們訪問的網頁和內容。當被攻擊者填完一個表單併發送後，這些數據將被傳送到Web服務器，Web服務器將返回必要的信息，但不幸的是，攻擊者完全可以截獲並使用這些信息。在得到必要的數據後，攻擊者可以通過修改受害者和Web服務器兩方任何一方數據，來進行破壞活動。攻擊者可以修改受害者的確認數據，攻擊者還可以修改Web服務器返回的數據。

Web欺騙的工作原理

Web欺騙能夠成功的關鍵是在受害者和真實Web服務器之間插入攻擊者的Web服務器，這種攻擊常被稱爲“中間人攻擊(man-in-the-middle)”。
爲了建立這樣的Web服務器，攻擊者要完成以下工作：
1、攻擊者改寫Web頁中的所有URL地址，使它們指向攻擊者的Web服務器不是真正的Web服務器。例如，http://www.dhs.com將變爲http://www.hacker.net/。
2、當用戶單擊改寫過的http://www.dhs.com/連接，將進入的是http://www.hacker.net/，再由http://www.hacker.net/向http://www.dhs.com/發出請求並獲得真正的文檔，這樣攻擊者就可以改寫文檔中的所有鏈接，最後經過http://www.hacker.net/返回給用戶的瀏覽器。

Web欺騙的防禦

1、配置網絡瀏覽器使它總能顯示目的URL，並且習慣查看它。
2、檢查源代碼，如果發生了URL重定向，就一定會發現。不幸的是，檢查用戶連接的每一個頁面的源代碼是不切實際的想法。
3、使用反網絡釣魚軟件。

小結

本章講述了各種形式的欺騙攻擊技術，包括IP欺騙、ARP欺騙、電子郵件欺騙、DNS欺騙和Web欺騙，所有這些攻擊技術都是得到廣泛應用的，當然也因此造成了許多麻煩。理解它們的實現原理有助於防範這些欺騙攻擊活動。
這些基本的攻擊技術也經常和其他一些攻擊相結合，試圖造成更大的混亂。
因此本章還介紹了對應以上各種攻擊的防範方法。