標(biāo)題: 網(wǎng) 絡(luò) 欺 騙 技 術(shù) [打印本頁] 作者: 雜七雜八 時間: 2011-1-12 21:02 標(biāo)題: 網(wǎng) 絡(luò) 欺 騙 技 術(shù) 什么是網(wǎng)絡(luò)欺騙? [3 P$ I f) ?: u6 K4 P% ], c m6 V+ R+ U& t9 p
計算機(jī)系統(tǒng)及網(wǎng)絡(luò)的信息安全將是新世紀(jì)中各國面臨的重大挑戰(zhàn)之一。在我國,這一問題已引起各方面的高度重視,一些典型技術(shù)及相關(guān)產(chǎn)品如密碼與加密、認(rèn)證與訪問控制、入侵檢測與響應(yīng)、安全分析與模擬和災(zāi)難恢復(fù)都處于如火如荼的研究和開發(fā)之中。近年來,在與入侵者周旋的過程中,另一種有效的信息安全技術(shù)正漸漸地進(jìn)入了人們的視野,那就是網(wǎng)絡(luò)欺騙。 " H/ _1 A( {4 h" t* z$ H" B) J5 W 7 @ x1 X& t0 [網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價值的、可利用的安全弱點,并具有一些可攻擊竊取的資源(當(dāng)然這些資源是偽造的或不重要的),并將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵復(fù)雜度以及不確定性,從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且,它允許防護(hù)者跟蹤入侵者的行為,在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。" s M/ N* c" c ]6 f; k# p9 c
% p a! W# {& \& }: U從原理上講,每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點,而且這些弱點都可能被入侵者所利用。網(wǎng)絡(luò)欺騙主要有以下三個作用:% w. C, k. |1 G
8 j( h* a& F+ h$ T+ N# A
影響入侵者使之按照你的意志進(jìn)行選擇;( H4 Y+ Y y7 H# i
7 p' N$ K! f j- M7 N網(wǎng)絡(luò)動態(tài)配置/ C' q4 i9 |, ?2 I* o: p W+ y
1 J/ J/ @; u) }( g1 x, K) L4 r) R' o真實網(wǎng)絡(luò)是隨時間而改變的,如果欺騙是靜態(tài)的,那么在入侵者長期監(jiān)視的情況下就會導(dǎo)致欺騙無效。因此,需要動態(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為,使欺騙網(wǎng)絡(luò)也象真實網(wǎng)絡(luò)那樣隨時間而改變。為使之有效,欺騙特性也應(yīng)該能盡可能地反映出真實系統(tǒng)的特性。例如,如果辦公室的計算機(jī)在下班之后關(guān)機(jī),那么欺騙計算機(jī)也應(yīng)該在同一時刻關(guān)機(jī)。其它的如假期、周末和特殊時刻也必須考慮,否則入侵者將很可能發(fā)現(xiàn)欺騙。0 x9 e1 w# |; K
7 h L0 @3 w# F
多重地址轉(zhuǎn)換(multiple address translation)5 U# i3 ~- E* J) ~/ v& U
j- e9 R6 D* v地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實網(wǎng)絡(luò)分離開來,這樣就可利用真實的計算機(jī)替換低可信度的欺騙,增加了間接性和隱蔽性。其基本的概念就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn)),由代理服務(wù)進(jìn)行地址轉(zhuǎn)換,使相同的源和目的地址象真實系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。右圖中,從m.n.o.p進(jìn)入到a.b.c.g接口的訪問,將經(jīng)過一系列的地址轉(zhuǎn)換——由a.f.c.g發(fā)送到10.n.o.p再到10.g.c.f,最后將數(shù)據(jù)包欺騙形式從m.n.o.p轉(zhuǎn)換到真實機(jī)器上的a.b.c.g。并且還可將欺騙服務(wù)綁定在與提供真實服務(wù)主機(jī)相同類型和配置的主機(jī)上,從而顯著地提高欺騙的真實性。還可以嘗試動態(tài)多重地址轉(zhuǎn)換。, F1 p: n" k3 K+ `$ m
% V* O1 E6 V8 c _0 q5 p! L M9 U
創(chuàng)建組織信息欺騙 0 k' u, F* K8 Q, Q. J' n% n! Y$ S) C3 V+ O
如果某個組織提供有關(guān)個人和系統(tǒng)信息的訪問,那么欺騙也必須以某種方式反映出這些信息。例如,如果組織的DNS服務(wù)器包含了個人系統(tǒng)擁有者及其位置的詳細(xì)信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發(fā)現(xiàn)。而且,偽造的人和位置也需要有偽造的信息如薪水、預(yù)算和個人記錄等等。7 s* V) \0 M! u F' l! n; O