如何介定网络欺诈?

显示全部楼层 · 2007-2-26 21:00:11

微软提交117起诉讼试图找出网络欺诈间关联http://it.sohu.com/20050401/n224968000.shtml关于网络欺诈术的研究 2006年第2期(1月下总第88期) -------------------------------------------------------------------------------- 李秉键（嘉应学院电子信息工程系，广东梅州514015）
【摘要】文章介绍了网络安全技术中的网络欺诈术的原理及作用，对几种欺诈技术进行了分析，并提出了防欺诈所需要注意的事项。【关键词】网络安全；网络欺诈；入侵
【中图分类号】 TP309
【文献标识码】 A
【文章编号】 1008-1151(2006)02-0087-02
网络欺诈术其实就是利用入侵者对信息系统的利欲，根据信息网络系统固有的弱点，采取适当的技术，将信息网络系统伪装成有价值、可以被入侵者认为是具有可攻击、可窃取的资源，从而能够误导入侵者进入这些错误的资源。这种技术能够显著的增加入侵者的工作力度，从而使入侵者不知道自己的入侵是否成功。更重要的是它还可以使防护者能够及时采取如其检测技术来追踪入侵者的来源，和及时发现系统中可能存在的严重的系统漏洞并及时修补。网络欺诈的作用主要有以下几种：扰乱入侵者的入侵意图，使其按照你的意思进行入侵选择；能够迅速检测到入侵者并可以及时的发现入侵者的技术手段和入侵意图；能够大量的消耗入侵者的系统能够资源，使之感到入侵的困难。一、网络欺诈技术（一）诱饵技术该技术是将少量的有吸引力的“目标”即我们通常所说的的诱饵放在入侵者容易发现的地方，目的是通过这种方法将入侵者的的注意力和技术吸引到我们所放置的诱饵上，从而保护我们真正的有价值的资源。随着网络技术的发展人们又发现并使用了分布式诱饵技术，即把诱饵分布到等多的闲置 IP 和网络接口卡上，用来增大网络欺诈的中的成功率。网络欺诈一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。综合这些技术方法，最早采用的网络欺诈是 Honey Pot 技术，它将少量的有吸引力的目标（简称为 Honey Pot ）放置在入侵者很容易发现的地方，以诱使入侵者上当。这种技术的目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集中到 Honey Pot 而不是其它真正有价值的正常系统和资源中。 Honey Pot 技术还可以做到一旦入侵企图被检测到时，迅速地将其切换。但是，对稍高级的网络入侵， Honey Pot 技术就作用甚微了。因此，分布式 Honey Pot 技术便应运而生，它将欺诈（ Honey Pot ）散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺诈，从而增大了入侵者遭遇欺诈的可能性。它具有两个直接的效果，一是将欺诈分布到更广范围的 IP 地址和端口空间中，二是增大了欺诈在整个网络中的百分比，使得欺诈比安全弱点被入侵者扫描器发现的可能性增大。尽管如此，分布式 Honey Pot 技术仍有局限性，这体现在三个方面：一是它对穷尽整个空间搜索的网络扫描无效；二是只提供了相对较低的欺诈质量；三是只相对使整个搜索空间的安全弱点减少。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到网络系统中，处于观察而非主动扫描阶段时，真正的网络服务对入侵者已经透明，那么这种欺诈将失去作用。（二）空间欺诈技术该技术是利用计算机系统具有多个 IP 地址和网络接口属性，通过增加入侵者搜索 IP 地址空间来增加其工作量，从而达到网络安全防护的目的。现在已有研究机构能做到通过 16 台计算机组成的网络系统，实现具有上万个地址空间范围的欺诈。从空间欺诈技术运用效果看，将虚假的、不重要的信息资源放置在这些 IP 地址上，将极大地增加入侵者的工作量，增加入侵时间，消耗入侵者的资源，使真实的网络服务被探测到的概率大大降低。欺诈空间技术就是通过增加搜索空间来显著地增加入侵者的工作量，从而达到安全防护的目的。利用计算机系统的多宿主能力（multi－homed capability），在只有一块以太网卡的计算机上就能实现具有众多 IP 地址的主机，而且每个 IP 地址还具有它们自己的 MAC 地址。这项技术可用于建立填充一大段地址空间的欺诈，且花费极低。实际上，现在已有研究机构能将超过 4000 个 IP 地址绑定在一台运行 Linux 的 PC 上。这意味着利用 16 台计算机组成的网络系统，就可做到覆盖整个B类地址空间的欺诈。尽管看起来存在许许多多不同的欺诈，但实际上在一台计算机上就可实现。从效果上看，将网络服务放置在所有这些 IP 地址上将毫无疑问地增加了入侵者的工作量，因为他们需要决定哪些服务是真正的，哪些服务是伪造的，特别是这样的4万个以上 IP 地址都放置了伪造网络服务的系统。而且，在这种情况下，欺诈服务相对更容易被扫描器发现，通过诱使入侵者上当，增加了入侵时间，从而大量消耗入侵者的资源，使真正的网络服务被探测到的可能性大大减小。当入侵者的扫描器访问到网络系统的外部路由器并探测到一欺诈服务时，还可将扫描器所有的网络流量重定向到欺诈上，使得接下来的远程访问变成这个欺诈的继续。当然，采用这种欺诈时网络流量和服务的切换（重定向）必须严格保密，因为一旦暴露就将招致攻击，从而导致入侵者很容易将任意已知有效的服务和这种用于测试入侵者的扫描探测及其响应的欺诈区分开来。（三）ARP 欺诈技术这种技术对网络安全管理员们提出了更加实际的挑战，因为他真正的让我们感到一个黑客要进攻你的主机并不是你给主机打过足够的补丁就可以避免的。像这样的网络欺诈技术是要求一个安全管理员必须有相当的网络底知识和网络布线技术才有可能避免的。在 TCP 环境下，一个 IP 包要走到哪里，怎么走是由路由表来定义的，而当这个 IP 包到达网络后那台主机来响应这必须有 Mac 地址来确定的，因此可以这样说，只有当 IP 包中的 Mac 地址和网络中的主机的 Mac 地址相同时机器才会响应这个 IP 包。所以，在每台主机的内存中，都有一个arp-->mac的转换表。通常是动态的转换表（注意在路由中，该 arp 表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是*48位的 mac 地址而决定的。可以用这样的办法来欺诈主机，假定我们已经把网络中的真实 IP的的主机搞定, 那我们就可以借用他的IP让自己的机器来正常的访问网络了，有人也许会说这其实是IP欺诈，是冒用了IP，但决不是 IP 欺诈， IP 欺诈的原理比这要复杂的多，实现的机理也完全不一样。这样的欺诈是很危险的，如何来避免这样的欺诈呢? 1．不要把你的网络安全信任关系建立在 ip 基础上或 mac 基础上，（ rarp 同样存在欺诈的问题），理想的关系应该建立在 ip+mac 基础上。 2．设置静态的mac-->ip 对应表，不要让主机刷新你设定好的转换表。 3．除非很有必要，否则停止使用 ARP，将 ARP 做为永久条目保存在对应表中。 4．使用ARP 服务器。通过该服务器查找自己的 ARP 转换表来响应其他机器的ARP 广播。确保这台 ARP 服务器不被黑。 5．使用 "proxy" 代理 ip 的传输。 6．使用硬件屏蔽主机。设置好你的路由，确保 ip 地址能到达合法的路径。（静态配置路由 ARP 条目），注意，使用交换集线器和网桥无法阻止ARP欺诈。 7．管理员定期用响应的ip包中获得一个rarp 请求，然后检查 ARP 响应的真实性。 8．管理员定期轮询，检查主机上的ARP缓存。
9．使用防火墙连续监控网络。注意有使用SNMP 的情况下， ARP 的欺诈有可能导致陷阱包丢失。（四）ICMP路由欺诈技术首先我们应该知道，微软的 Windows98和NT系统都保持着一张已知的路由器列表，列表中位于第一项的路由器是默认路由器，如果默认路由器关闭，则位于列表第二项的路由器成为缺省路由器。缺省路由向发送者报告另一条到特定主机的更短路由，就是ICMP重定向。攻击者可利用 ICMP 重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了窃听。通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听。在一些网络协议中，IP源路径选项允许IP数据报告自己选择一条通往目的主机的路径。攻击者试图与防火墙后面的一个不可到达的主机A连接，只需在送出的ICMP 报文中设置IP源路径选项，使报文有一个目的地址指向防火墙，而最终地址是主机 A。当报文到达防火墙时被允许通过，因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径域并被发送到内部网上，报文就这样到达了不可到达的主机A。避免 ICMP重定向欺诈的最简单方法是将主机配置成不处理 ICMP重定向消息，在Linux下可以利用 fire?鄄wall 明确指定屏蔽ICMP 重定向包。另一种方法是验证 ICMP 的重定向消息。例如检查 ICMP 重定向消息是否来自当前正在使用的路由器。这要检查重定向消息发送者的 IP 地址并效验该 IP地址与 ARP高速缓存中保留的硬件地址是否匹配。ICMP 重定向消息应包含转发IP数据报的头信息。报头虽然可用于检验其有效性，但也有可能被窥探仪加以伪造。无论如何，这种检查可增加你对重定向消息有效性的信心，并且由于无须查阅路由表及 ARP 高速缓存，所以做起来比其他检查容易一些。二、实施网络欺诈的需要注意的事项（一）网络流量仿真产生仿真流量的目的是使流量分析不能检测到欺诈。在欺诈系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺诈系统与真实系统十分相似，因为所有的访问连接都被复制了。第二种方法是从远程产生伪造流量，使入侵者可以发现和利用。（二）网络的动态配置真实网络是随时间而改变的，如果欺诈是静态的，那么在入侵者长期监视的情况下就会导致欺诈无效。因此，需要动态配置欺诈网络以模拟正常的网络行为，使欺诈网络也象真实网络那样随时间而改变。为使之有效，欺诈特性也应该能尽可能地反映出真实系统的特性。例如，如果办公室的计算机在下班之后关机，那么欺诈计算机也应该在同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑，否则入侵者将很可能发现欺诈。（三）多重地址转换（ multiple address translation ）地址的多次转换能将欺诈网络和真实网络分离开来，这样就可利用真实的计算机替换低可信度的欺诈，增加了间接性和隐蔽性。其基本的概念就是重定向代理服务（通过改写代理服务器程序实现），由代理服务进行地址转换，使相同的源和目的地址象真实系统那样被维护在欺诈系统中。从m.n.o.p进入到a.b.c.g接口的访问，将经过一系列的地址转换———由 a.f.c.g 发送到 10.n.o.p 再到 10.g.c.f，最后将数据包欺诈形式从 m.n.o.p 转换到真实机器上的a.b.c.g。并且还可将欺诈服务绑定在与提供真实服务主机相同类型和配置的主机上，从而显著地提高欺诈的真实性。还可以尝试动态多重地址转换。（四）创建组织信息欺诈如果某个组织提供有关个人和系统信息的访问，那么欺诈也必须以某种方式反映出这些信息。例如，如果组织的 DNS 服务器包含了个人系统拥有者及其位置的详细信息，那么就需要在欺诈的DNS列表中具有伪造的拥有者及其位置，否则欺诈很容易被发现。而且，伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。三、小结任何一种安全技术都会有和他相对的技术，网络欺诈技术也不例外，在防卫中有网络欺诈技术，而在攻击技术中也有网络欺诈技术。运用网络欺诈术使攻击者感觉到他所攻击的目标是一个真实的目标或者说他根本无法辨别那个目标是自己要真正进攻的，让他确信自己的努力是按照他的意愿进行，从而使防护者能够及时采取如其检测技术来追踪入侵者的来源，和及时发现系统中可能存在的严重的系统漏洞并及时修补，提高网络安全防护的能力。面对日益提高的网络攻击技术，任何一种网络欺诈技术都是需要作相应提高才能和攻击技术