关于网络劫持的方法和防范措施小诺已经介绍了很多,下面是往期的网络劫持知识补充。
1、蜜罐代理
蜜罐其实并不是一种技术,而是一种思想,一种引诱大坏蛋攻击的“陷阱”就是“蜜罐”。
亲们可能还理解不了,小诺给亲们举个例子:
在电影《无间道》中(小诺刷了好几遍最爱看的电影( # ▽ # )警方发现自己这边有内鬼但是并不知道是谁,于是假装传递有内鬼信息的文件,华仔饰演的内鬼由于摸不清这个文件的真实性,所以就上了当,冒险去拿了这个文件。
在这段小事例中,这个伪造的内鬼信息文件就是一个“蜜罐”。
蜜罐技术常常被安全机制用来防御坏蛋入侵,比如用蜜罐获取到更多的攻击者信息,比如攻击者的IP,就可以对攻击来源打上标记,这样一来就可以直接防御来自被标记的攻击,御敌于“国门”之外,大大减轻安全压力。
而随着思想的不断进化,一些投机的坏蛋动了坏心思。
例如在VPN上的应用。
由于VPN需要用户名密码以及各种认证,中途被劫持几乎是不可能的。
坏蛋抓住了亲们纯真的心里,将目光转到代理上面。的确,加密后的数据中途确实难以劫持,但最终仍然是要在服务端还原出真实内容的。如果一时大意,连接了某个免费的VPN,或许就登上了黑客的贼船了呢。
相比HTTP代理只影响部分功能,VPN将整个系统的流量都通过穿越过去了。而这一切应用程序并不知晓,仍然将一些重要的数据往外发送,这种引诱亲们的陷阱(蜜罐)就这样静悄悄的劫持了亲们的网络。
防范措施:勿贪心,八荣八耻谨记心头!
2、WiFi热点钓鱼
此入侵方法适用于大型商场、学校、KFC等大型公共场合。
相信亲们对公共无线WiFi都有所了解,在大型场合下的无线网络采用了分布在各处的无线设备分享热点,以此来覆盖整个大型场合,以达到网络信号无死角的目的。
那么为什么这么多网络设备在终端上只显示一个热点呢?
因为这么多的热点使用的都是同一个SSID(热点名),在连接时系统会自动选择信号最强的网络设备连接,此时一些网络工程师为了加强用户体验,将连接热点认证方式统一,即不管走到哪个角落都是可以连接的。
亲们可以仔细揣摩这些特征,就可以发现其中大有文章可做哦。
倘若一些坏蛋开一个同名同认证的热点,只要在信号上压倒附近的正统网络设备,那么钓上附近的鱼儿是妥妥的哦。
防范措施:因为是底层的缺陷,这种劫持通常很难防护。从理论上说,热点通常是固定着的,因此亲们可以事先记录下每个热点的位置,然后根据 WiFi 定位时刻监控热点位置,如果某个热点信号出现在远离事先的地方,很可能是钓鱼热点发出的假信号。
但在现实中,要同时追踪那么多设备并不容易。除非所有的无线设备,都自带监控附近热点的功能,那样可以节省大量追踪成本。不过在安全性高的场合,还是使用『接入认证』,连接时要求输入用户名和密码来准入。
3、PPPoE钓鱼
PPPoE,亲们经常在拨号时看到这词。Point-Point Protocol over Ethernet,故名思议,就是点对点的协议:亲们发送账号密码认证给终端(BRAS),并得到上网 IP、网关地址、会话等。而且协议是基于以太网的,哪怕线路不是,也得想办法把数据封装进去。
当然,现在基本通过路由器自动拨号了。但他们的协议都是一样的 —— PPPoE,一种极不安全的协议。
类似 DHCP 协议,PPPoE 也是通过广播来探寻有哪些可用的终端,意味着整个区域内的亲们都能收到,同时探寻包一直往上冒泡,直到被城域网的终端们收到,然后开始纷纷回应。
此时如果区域内有亲私自开启一个 PPPoE 终端服务,显然是最先被收到的。真正的回应包仍在路上传递着,亲们却已经开始和坏蛋协商认证了。
PPPoE 使用的是一种隧道方式,将任何数据都封装在其栈下,因此捕捉到用户任意一个包,即可得到 PPPoE 栈上的会话 ID。然后冒充终端,向亲们发送一个『断开连接』的指令,亲们就乖乖下线了。使用这种方法,分分钟就能让整个区域内亲们重新拨一次号,于是可以快速钓鱼了。
(坏蛋获取数据包方式:MAC 欺骗,通过不停伪造终端服务器的 MAC 地址,就可以将区域内亲们的数据包统统吸过来了)
防范措施:由于 PPPoE 的安全严重依赖物理层,所以尽量不要装以太网接入的宽带。当然,亲们也可以严格限制 PPPoE 搜寻回复包,就像 DHCP 那样只允许特定接口的方法防范。