结合社会工程学的内网钓鱼安全问题
2014-07-03何宇容致平陈俊臣
何宇 容致平 陈俊臣
摘要:内网的优势在于其内部的机器并不直接暴露在互联网中,外网的机器不能直接连接内网的机器,由于信任关系,内网包含的信息更多、更敏感,因此内网中的信息是很多网络黑客觊觎的目标。但是因内部网络起到了一层保护作用,导致人们对内网安全重视不足,防御机制普遍薄弱。通过分析内网中ARP欺骗、DNS欺骗与技术型社会工程学攻击,以案例分析的方式,阐述一种内网中较主动的信息窃取方式——内网钓鱼,最后提出相应防御措施。
关键词:内网;信息窃取;DNS欺骗;ARP欺骗;社会工程学
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)12-2718-03
Phishing Combines Social Engineering Within the LAN
HE Yu, RONG Zhi-ping, CHEN Jun-chen
(Guangdong University of Foreign Studies, Guangzhou 51006, China)
Abstract:The advantage of LAN(local area network) is that the machines in it are not directly exposed to the Internet, a machine outside the LAN can not directly connect to the LAN's machines.Because of the relationship of trust, information contained within the LAN is more sensitive, which is what many hackers desire. However, due to the protection of the LAN, it results in insufficient attention to internal network security and weak defense mechanisms . Through the analysis of network ARP spoofing, DNS spoofing and technology-based social engineering attack,a case study approach to explain a more proactive approach to steal information in the LAN - phishing within the network, and finally present serval solutions against such attacks.
Key words:LAN; Information theft; DNS spoofing; ARP spoofing; social engineering
随着互联网的迅速发展,每个人都可以方便的接入互联网,包括企业或个人都可以自由地往互联网上传或下载资料,信息被窃取的可能性大大增加,因此信息安全与保密显得更加重要和紧迫。APT(Advanced Persistent Threat高级持续威胁)攻击是具有极强针对性,对特定目标进行持续的信息搜集、窃取和攻击的综合型攻击方式,是企业或个人的信息安全与保密的最大威胁。利用APT攻击进入内网后,需要进行主动的信息搜集、窃取,传统的嗅探技术不仅效率低、不稳定,而且随着防御技术的发展,实施起来也越来越难,我们通过研究分析,阐述一种高效的且主动的内网信息窃取方案——内网钓鱼攻击,并通过案例分析论述这个技术。
1 钓鱼攻击现状
随着互联网技术及应用的飞速发展和日益普及,每天都有大量的网页被浏览,大量的链接被点击,大量的信息通过网络传播,可以说互联网使我们的生活变得越来越简单快捷,但同时也使我们的个人信息被暴露在网络上越来越严重,不断催生各种网络犯罪事件。截至2013年12月,中国反钓鱼网站联盟累计认定并处理钓鱼网站168835个,单是2013年12月份就有5681个钓鱼网站被联盟处理。与此同时,根据反钓鱼网站联盟近几年的数据,钓鱼网站的数量一直呈逐步上升的趋势,其中2012年处理的钓鱼网站26672个,2013年是66296个,比2012年增加了39624个。在大数据时代的冲击下,防范钓鱼网站显得尤为重要。下表是根据反钓鱼网站联盟的数据做出的钓鱼网站月处理情况分布图1所示。
2 主动信息窃取技术分析
2.1 ARP欺骗
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。在局域网中主机之间通过物理地址来相互确认身份,早期的ARP设计并未考虑太多安全性的问题。
常见的ARP攻击有针对共享网络的嗅探技术和针对交换网络的ARP欺骗(包括欺骗网关和欺骗特定主机)。欺骗网关技术是攻击主机通过伪造同一网段内主机的IP地址,欺骗网关使其认为网段内的所有或特定的主机IP地址对应的MAC地址是自己,从而使网关把数据转发给自己。伪装网关技术是攻击主机通过欺骗网段内所有主机自己是网关,从而所有终端发出的报文都会经过攻击者主机。
2.2 DNS欺骗
DNS(域名系统)在互联网中是一个非常重要的协议。它属于TCP/IP,是一个分层结构的分布式模块,它包含域名的相关信息。它负责在网络上映射域名到他们各自的IP上。这里重点讨论的是内网的DNS服务器,即如何主动攻击内外网的DNS,以达到攻击的目的。常见的攻击方式有3种:
一是篡改本机hosts文件,通过植入木马或病毒修改受害者的本机hosts文件,使对于的域名映射到攻击者特定的IP地址下;endprint
二是欺骗DNS服务器,在内网中搭建攻击者自己的DNS服务器,通过返回假的映射地址给真正的DNS服务器,覆盖原地址的高速存储池,以后其他请求夺回返回假的IP地址;
三是麻痹客户机,当主机A请求DNS服务器解析域名D对应的IP地址时,会随带一个随机ID,DNS服务器解析后附带回来,以便主机A验证其有效性,通过嗅探截获到这个随机ID,伪造假的IP地址,在DNS服务器返回响应之前发送给主机A,即可麻痹主机A。
2.3 社会工程学
社会工程学是利用人性的弱点,通过发散式的信息搜集行为与人与人之间的直接交流,进而实施欺骗、诈骗,从而达到获取所需信息等一系列目的。这里阐述的社会工程学不同于人肉搜索,这里指的是技术型社会工程学,即结合黑客技术的信息窃取方式。该文论述的场景是在内网中,结合社会工程学,伪造内网的web系统,构造登陆等页面,进而实现盗取内网用户内部系统账号密码信息的目的。
3 内网钓鱼案例分析
3.1 实验环境
为了让案例更具说明性与说服性,案例的内网和互联网环境进行抽象和简化处理,案例涉及到的主机配置见表1,网络环境如图2所示。
案例涉及的软件与工具包括:Ettercap嗅探工具和SET社会工程学工具包。
3.2 案例分析
正常情况下,A用户需要访问外网的网站服务器,从用户在浏览器中输入域名并按下回车键后,到用户浏览到他想要看到的网页这个过程里,正常分为以下几个步骤:第一步,浏览器会检查缓存中有没有这个域名对应的解析过的IP地址,如果缓存中有,这个解析过程就将结束。第二步,如果本地解析时找不到域名所对应的IP地址,操作系统会把这个域名发送给本机设置的LDNS,也就是本地区的域名服务器(数据包会经过网络拓扑图中的①②③)。如果LDNS仍然没有命中,就直接到Root Server域名服务器请求解析,获得域名对应的IP地址。第三步,浏览器就向该IP地址所对应的服务器发出了HTTP请求,此时的数据包需要通过网关,网关再路由数据包(数据包会经过网络拓扑图中的①②④⑤)。WEB服务器接收到请求后,进行相关文档的检索并以HTTP规定的格式送回所要求的文件或其他相关信息,再由用户计算机上的浏览器负责解释和显示。
在APT前期攻击得手之后,因入侵者进入了内网,可对同网段的主机进行内网钓鱼攻击。内网钓鱼的核心技术是结合技术型社会工程学以内网钓鱼,内网钓鱼攻击的攻击过程往往分为以下三个步骤:
第一步,现在C主机为攻击者,使用Ettercap软件对A主机进行ARP欺骗攻击。首先我们以客户端的名义向网关发送ARP响应数据报,不过其中将源MAC地址改为我们自己主机的MAC地址;同时以网关的名义向客户端主机发送ARP响应数据报,同样将源MAC地址改为我们自己主机的MAC地址。这样一来,就会导致用户A访问外网的数据包先发送到用户C,用户C再将此数据包转发给网关,网关也会将理应发送给用户A的数据包先发送给用户C,用户C再将数据包发回给用户A。(数据流向为网络拓扑图中的①②⑦)
会造成这种情况的原因是:经过ARP欺骗攻击之后,在网关看来,客户端的MAC地址就是我们主机的MAC地址;客户端也认为网关的MAC地址为我们主机的MAC地址。由于在局域网内数据报的传送是建立在MAC地址之上了,所以网关和客户端之间的数据流通必须先通过本地主机。这样用户C就能在A用户毫不察觉的情况下获取到用户A的上网数据了。
第二步,ARP欺骗成功后,攻击者就开始监视网关和客户端主机之间的数据报,嗅探到对方发出的DNS请求数据包,我们必须提取有客户端发送来的DNS查询数据报的ID信息,因为客户端是通过它来进行匹配认证的,这就是一个我们可以利用的DNS漏洞。分析数据包取得ID和端口号后,向目标发送自己构造好的一个DNS返回包,提前将自己构造的DNS响应数据报发送到客户端(用户A的DNS请求包由交换机直接发送给攻击者C,而攻击C构造的DNS返回包会经过网络拓扑图中的⑦①被用户A接收)。
利用Ettercap自带的一个DNS欺骗攻击的插件来完成上面所述的工作。对方收到DNS应答包后,发现ID和端口号全部正确,即把返回数据包中的域名和对应的IP地址保存进DNS缓存表中,这样客户端会先收到我们发送的DNS响应数据报并访问我们自定义的网站,虽然客户端也会收到DNS服务器的响应报文,而后来的当真实的DNS应答包返回时则被丢弃。
第三步,经过APT攻击之前的踩点,可以探测到目标域下面都有什么域名。一般的大企业或是机构的网络下,都会有自己开发的网站系统。这类网站运行在内部网络之中,提供给局域网内部用户使用,并不会向外网开放。由于此类的网站运行在内网,因此从网站的开发到网站的运维,安全防范措施相对来说会比较薄弱。
一般选取内部网站做为钓鱼的目标,利用工具软件SET,在内网伪造一个钓鱼网站。通过第二步的DNS欺骗攻击,已经可以随意对用户所要访问的域名进行恶意解析。将内部网站的域名解析到钓鱼网站的IP地址上,让内网的用户来访问伪造的钓鱼网站,实现偷取用户隐私信息的目的(数据包会经过网络拓扑图中的①②④⑥)。由于攻击发生在内部网络上,少了第三方安全认证机构的审查,所以钓鱼攻击的效率相当高。
4 防御措施
上述案例描述的是内网中一种组合型的信息窃取方式,可行性和效率都非常高。然而并不是不能防御,只要使攻击环节中的任一一环失效,即可有效防御这种攻击。
4.1 DNS欺骗的防范
1) 增加DNS服务器冗余:为了避免存在单点故障的危险,保证网络和数据的稳定性和抗突发事件的能力,一般会对关键设备或数据进行备份。
2) 优化DNS服务器设置。
3) 对DNS数据包进行监测。endprint
4.2 ARP欺骗的防范
1) 使用静态ARP表
静态ARP表是防止ARP欺骗的较好方法。因为静态ARP表中的IP/MAC地址不会动态更新,这样执行欺骗行为的ARP应答就会被忽略。网络管理员可以在关键设备如网关、防火墙和边界路由器等设置静态的ARP。
2) 使用ARP服务器
在内部网络中设置ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,而禁止其他系统响应ARP请求。
4.3 社会工程学的防范
1) 了解社会工程学攻击,增强防范意识。对于用户而言,了解社会工程学攻击的原理、手段、案例及危害,从而增强安全意识进行自我保护是最基本的防范手段。
2) 制定系统的安全方案及政策。系统的安全方案及政策包括如何设置账户、如何批准访问及如何改变密码的批准程序等问题,账户及密码的设置和获取必须经过加密处理。还有要重视密码管理,应该规定最短密码长度、复杂性、更换周期,以及不允许使用姓名、生日或身份证号码等容易被攻击者获得的信息。
4 结束语
内网并不像多数人想象中的那么安全,面对APT这类型的攻击,内网中的信息更容易被窃取,而且更加隐蔽和高效。尽管可以通过一些技术手段降低信息泄露的风险,但是这类信息窃取技术往往会结合社会工程学,甚至利用人性的弱点以达到目的。因此,仅凭技术手段是不能完全避免这类攻击,所以,我们还需要通过加强安全意识和提高威胁认知,以便更好的保障企业或个人信息的保密性和安全性。
参考文献:
[1] 唐秀存,王国欣.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007,4:40-42.
[2] 王伟.DNS欺骗攻击及其防护研究[J].软件导刊,2012,3:138-140.
[3] 方刚.对网站被挂马的分析与防范[J].实验室研究与探索,2010,7:71-74.
[4] 谢希仁.计算机网络 [M].5版,北京:电子工业出版社,2007,6:224-228.
[5] David Kennedy,Jim OGorman.Metasploist渗透测试指南[M].诸葛建伟,等,译.北京:电子工业出版社,2013.
[6] Dafydd Stuttard,Marcus Pinto.黑客攻防技术宝典web实战篇[M].石华耀,傅志红,译.北京:人民邮电出版社,2012,3.
[7] William Stallings.网络安全基础: 应用于标准[M].3版. 白国强,译.北京:清华大学出版社, 2007.8
[8] 熊华, 郭世泽.网络安全——取证与蜜罐[M].北京:人民邮电出版社,2003.endprint
4.2 ARP欺骗的防范
1) 使用静态ARP表
静态ARP表是防止ARP欺骗的较好方法。因为静态ARP表中的IP/MAC地址不会动态更新,这样执行欺骗行为的ARP应答就会被忽略。网络管理员可以在关键设备如网关、防火墙和边界路由器等设置静态的ARP。
2) 使用ARP服务器
在内部网络中设置ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,而禁止其他系统响应ARP请求。
4.3 社会工程学的防范
1) 了解社会工程学攻击,增强防范意识。对于用户而言,了解社会工程学攻击的原理、手段、案例及危害,从而增强安全意识进行自我保护是最基本的防范手段。
2) 制定系统的安全方案及政策。系统的安全方案及政策包括如何设置账户、如何批准访问及如何改变密码的批准程序等问题,账户及密码的设置和获取必须经过加密处理。还有要重视密码管理,应该规定最短密码长度、复杂性、更换周期,以及不允许使用姓名、生日或身份证号码等容易被攻击者获得的信息。
4 结束语
内网并不像多数人想象中的那么安全,面对APT这类型的攻击,内网中的信息更容易被窃取,而且更加隐蔽和高效。尽管可以通过一些技术手段降低信息泄露的风险,但是这类信息窃取技术往往会结合社会工程学,甚至利用人性的弱点以达到目的。因此,仅凭技术手段是不能完全避免这类攻击,所以,我们还需要通过加强安全意识和提高威胁认知,以便更好的保障企业或个人信息的保密性和安全性。
参考文献:
[1] 唐秀存,王国欣.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007,4:40-42.
[2] 王伟.DNS欺骗攻击及其防护研究[J].软件导刊,2012,3:138-140.
[3] 方刚.对网站被挂马的分析与防范[J].实验室研究与探索,2010,7:71-74.
[4] 谢希仁.计算机网络 [M].5版,北京:电子工业出版社,2007,6:224-228.
[5] David Kennedy,Jim OGorman.Metasploist渗透测试指南[M].诸葛建伟,等,译.北京:电子工业出版社,2013.
[6] Dafydd Stuttard,Marcus Pinto.黑客攻防技术宝典web实战篇[M].石华耀,傅志红,译.北京:人民邮电出版社,2012,3.
[7] William Stallings.网络安全基础: 应用于标准[M].3版. 白国强,译.北京:清华大学出版社, 2007.8
[8] 熊华, 郭世泽.网络安全——取证与蜜罐[M].北京:人民邮电出版社,2003.endprint
4.2 ARP欺骗的防范
1) 使用静态ARP表
静态ARP表是防止ARP欺骗的较好方法。因为静态ARP表中的IP/MAC地址不会动态更新,这样执行欺骗行为的ARP应答就会被忽略。网络管理员可以在关键设备如网关、防火墙和边界路由器等设置静态的ARP。
2) 使用ARP服务器
在内部网络中设置ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,而禁止其他系统响应ARP请求。
4.3 社会工程学的防范
1) 了解社会工程学攻击,增强防范意识。对于用户而言,了解社会工程学攻击的原理、手段、案例及危害,从而增强安全意识进行自我保护是最基本的防范手段。
2) 制定系统的安全方案及政策。系统的安全方案及政策包括如何设置账户、如何批准访问及如何改变密码的批准程序等问题,账户及密码的设置和获取必须经过加密处理。还有要重视密码管理,应该规定最短密码长度、复杂性、更换周期,以及不允许使用姓名、生日或身份证号码等容易被攻击者获得的信息。
4 结束语
内网并不像多数人想象中的那么安全,面对APT这类型的攻击,内网中的信息更容易被窃取,而且更加隐蔽和高效。尽管可以通过一些技术手段降低信息泄露的风险,但是这类信息窃取技术往往会结合社会工程学,甚至利用人性的弱点以达到目的。因此,仅凭技术手段是不能完全避免这类攻击,所以,我们还需要通过加强安全意识和提高威胁认知,以便更好的保障企业或个人信息的保密性和安全性。
参考文献:
[1] 唐秀存,王国欣.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007,4:40-42.
[2] 王伟.DNS欺骗攻击及其防护研究[J].软件导刊,2012,3:138-140.
[3] 方刚.对网站被挂马的分析与防范[J].实验室研究与探索,2010,7:71-74.
[4] 谢希仁.计算机网络 [M].5版,北京:电子工业出版社,2007,6:224-228.
[5] David Kennedy,Jim OGorman.Metasploist渗透测试指南[M].诸葛建伟,等,译.北京:电子工业出版社,2013.
[6] Dafydd Stuttard,Marcus Pinto.黑客攻防技术宝典web实战篇[M].石华耀,傅志红,译.北京:人民邮电出版社,2012,3.
[7] William Stallings.网络安全基础: 应用于标准[M].3版. 白国强,译.北京:清华大学出版社, 2007.8
[8] 熊华, 郭世泽.网络安全——取证与蜜罐[M].北京:人民邮电出版社,2003.endprint
