仿冒防御技术在IPv6环境下的研究

2022-09-12

1 phishing简介

P h i s h i n g中文翻译为“网络钓鱼”, 是“F i s h i n g”和“P h o n e”的综合体。它是社会工程和计算机技术相结合的产物, 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动, 诱骗访问者提供一些个人信息, 如信用卡号、账户用和口令、社保编号等内容, 受骗者往往会泄露自己的财务数据。

1.1 phishing常用的攻击方法

在网上银行业务流程“用户——网上银行——银行数据库”三个环节中, 突破后两者很困难, 于是, 薄弱的用户端便成了Phishers攻击的主要对象。Phishing主要是用诱骗的方式, 利用垃圾电子邮件, 引导收件人连接到仿冒网页, 这些网页通常会伪装成真正的银行或电子商务网页, 令登录者信以为真, 输入银行卡号码和密码。

伪装电子邮件发件人地址。一些未经设置的email服务器并不会验证用户信息是否真实, 发件人名称 (发件人地址, From地址) 属于数据 (正文) 的一部分, 可以随意伪装。邮件并不是根据发件人名称中包含的信息进行发送的, 于是钓鱼者将发件人名称写成知名网站, 用这样的邮件服务器给受害者发送一封伪造了发件人地址的信件。受害者看到的发信人地址来自正规的网站, 根本不会怀疑。而对于普通用户要想辨别邮件来源的真假却是相当困难。

利用IE允许“URL伪装”的安全漏洞攻击者一般会向被攻击者发送一封主题为“XX网络银行关于加强账户安全的通告”的邮件, 攻击者利用H T M L语言里U R L标记的特性把链接写成“http://abbank.com.cn/account/index.asp”, 然而这个链接实际上是把他们引向“http://abcbank.com.cn/account/index.asp”这个网页。而所谓的更改密码页面, 伪造得与真正的银行页面完全一致, 但是它的“更改密码”功能却是把账号和密码发送到了幕后的“攻击者”手上。然后“攻击者”登录上真正的网络银行修改受害者设置的密码, 并把银行账户里的存款转移掉。

搜索入侵。攻击者已经不满足于仅靠Web页面“钓鱼”, 他们还看上了强大的搜索引擎工具。入侵者通过在搜索引擎上查询某些特定的字符, 可以发现甚至直接进入存在该漏洞的计算机, 以前黑客利用Google发现了许多存在Unicode漏洞的计算机。例如Google的桌面搜索工具Deskt叩Search存在一个信息泄漏的漏洞, 入侵者能通过脚本程序欺骗DcsktoPSearch提供用户信息, 最常见的就是泄漏磁盘数据。利用这个漏洞提供的信息, 攻击者可以伪造相关信件并建立欺骗性的电子商务网站, 让用户误以为是大公司发给自己的信函而受欺骗。一些攻击者用假的日令验证得以窃取用户信息, 另一些则欺骗用户点击一些商品信息而被种植木马程序。

1.2 phishing造成的危害

Phishing造成的损失是巨大的, 比如, 金钱丢失、泄漏个人敏感资料、让攻击者监控计算机、损害品牌及企业的声誉、影响消费者对网上交易的信心和电子商贸的发展。

2 IPv6环境下的防仿冒技术

2.1 当前应用的Phishing防御措施

商务网站和网上银行加强自身安全防御。面对Phishing的频频进攻, 各大公司及政府相关机构均采取了相应对策, 完善原有系统、建立相关网站、教育客户。网上银行可将网上支付、转账等业务设置为须持卡人亲自去银行申请才‘能使用, 或推出新一代保安编码器来加强网上银行的安全性。银行在发出的电子邮件里启用数字电子签名, 让“验明正身”更加简单, 一旦网络仿冒者试图伪造一个数字签名, 收件人就会收到一条警告信息。网上银行和其它组织也要积极地分析自己网站的访问日志, 以确保网站没有被拷贝成鹰品网站。公司要定期对DNS进行扫描, 以检查是否存在一个与公司己注册的相类似域名。

强身份认证。强身份认证可以有效防范网络仿冒攻击, 双因子强身份认证及一次性口令是防止网络仿冒经济有效的方法, 能预防人们上Phishing的。目前, 一些国家的金融管理部门与警方合作, 共同推出为网上银行交易进行双因子身份认证的安全防卫方法。采用了双因子身份认证后, 其中的时间同步加密系统在每一次使用时都会产生一次性口令, 并在短时间内失效, 即使人们不慎登入Phishing网站, 但由于Phishing网站后台没有相应的软件, 其根本无法到达输入银行卡号和密码的那一个页面。

网络侦测。监测那些phishing网站、犯罪软件和恶意程序等, 一旦发现欺诈性网站, 马上通知为这些网站提供服务器空间, 将该网站直接封杀。实时检测网上犯罪的技术, 监视域名、公告板以及垃圾邮件等。当有人注册与自己公司类似的品牌时, 该服务便会发出警告, 目的是确认该网站是否会通过网络仿冒的方式冒充自己的公司。侦测技术能够防患于未然, 使受害者的数量大幅度减少。

2.2 新开发的防御仿冒技术

邮件签名技术。使用公钥加密系统对电子邮件进行数字签名。数字签名能够查对信息内容的完整性—也就是说鉴别信息内容在传输过程中是否被改动。儿乎所有流行的的电子邮件服务都支持签名和电子邮件签名确认。本文提出采用创建个人的公共/私人密钥对:上载公共密钥到公共密钥管理器, 这样可以确保从使用者那里收到的电子邮件的真实性;使电子邮件能够在默认情况下被自动签名;仔细验证所有的收到的电子邮件的数字签名, 留意没有签名的和无效的信息, 查出这些电子邮件的真正来源。一封邮件或者一条消息的签名, 本质上是一个复杂的单项的哈希值, 具有发送者的私钥, 消息长度, 日期和时间。电子邮件接收者使用公钥配合发送者的地址来核实这个哈希值, 保证了电子邮件的内容不被任何的中间的电子邮件服务器改动。通常, 在创建一个公钥/私钥对时没有限制。对任意的电子邮件地址, 可能会选择上载公钥到一个互联网密钥管理服务器上。因此, 一个仿冒者也可以使用假冒的地址发送电子邮件, 而且可以把自己的公钥上载到服务器, 利用自己的密钥对来进行数字签名。所以采用邮件签名技术配合IP地址核对技术, 共同来防止电子邮件欺骗和带来的假网址造成的网址欺骗。

网址甄别。最基础的网站授权是WEB页面提供者的身份鉴别。目前, 浏览器使用标示网页的U R L来鉴别W E B提供商。自从U R L包含了域名, 网页的使用者通常可以鉴别网页的拥有者。但是, URL中并没有要求明确说明网页提供者的身份, 而且, URL中包含了很多不相关的信息, 比如说协议、文件和计算机的细节信息。况且, URL是以文本形式呈现的, 也就是说使用者必须理解它再使用它。流行的浏览器是预先配置的, 经过了很多的官方认证, 但是这些认证并没有很好的发挥作用, 比如说, 使用URL或者SSL认证并不是很安全。因此, 需要一种更加直接和安全的鉴别网页的安全手段, 并不是简单的在可信区域使用URL或者SSL。当进入一个欺骗网站的时候, 使用者很可能注意到日志不见了或者日志不正确。日志可以鉴别内容提供者, 比URL的功能要强一些。人们对日志也很熟悉, 而且日志受到现今的法律的保护。很多组织的站点已经在他们的WEB页面中使用了日志, 用来确保安全性。

摘要：随着新一代网络技术的广泛应用, IPv6协议将在网络中显出其巨大的优势, 然而IPv6协议的应用必然带来各方面的问题, 尤其是网络的安全问题。本文介绍了当前流行的网络钓鱼攻击 (phishing) 方法、攻击行为以及其造成的影响, 提出采用客户端、服务器端、组织级三层配置的安全防御体系来防范网络仿冒攻击。

关键词：IPv6,网络技术,网络钓鱼,仿冒