fbpx
维基百科

欺騙攻擊

九月 27, 2023

信息安全网络安全中的欺騙攻擊(spoofing attack)是指人員或是程式用假的数据,成功地讓其他程式誤認自身的身份,以獲取原來身份沒有的不當權限[1]

網際網路 编辑

欺騙和TCP/IP 编辑

主条目:IP地址欺骗ARP欺騙

TCP/IP中的許多協定都沒有針對訊息來源或是目的地的身份验证機制,若應用程式沒有額外的機制來識別訊息的來源端或是接收端,都可能會被欺騙攻擊。在计算机网络中,IP地址欺骗和ARP欺騙特別容易用在中间人攻击中,對主機進行仄擊。利用TCP/IP協定的欺騙攻擊,可以用有深度包检测防火墙來防治,另外一個作法是應用程式要驗證識別訊息來源端或是接收端的身份。

域名欺骗 编辑

域名欺骗(Domain name spoofing)一般是描述用假的(或是讓人容易誤認的)網際網路域名來進行的钓鱼式攻击[2][3]。目的是讓未提防的使用者進入名稱相近,但網站內容和使用者所認為的不同的網站,或是讓使用者打開其實不是特定電子郵件地址寄出的郵件[4]。網站欺骗和電子郵件欺騙相當常見,而所有以名稱解析英语Name resolution (computer systems)為基礎的服務都會受到影響。

HTTP參照位址欺騙 编辑

主條目:HTTP參照位址欺騙英语Referer spoofing

有些網站,特別是色情的付費網站英语paysite,只允許從特定的核可(登入)頁面存取資料。這是用檢查超文本传输协议請求的HTTP參照位址header來達成。不過HTTP參照位址header有可能改變(這稱為是HTTP參照位址欺騙英语Referer spoofing),讓使用者存取免授權的資訊。

文件共享網絡中毒 编辑

主條目:欺騙 (反盜版措施)英语spoofing (anti-piracy measure)

欺騙攻擊的手法也可用在反盜版上,例如著作權所有者,刻意的在檔案分享網站中加入無法使用的作品。

電子郵件地址欺騙 编辑

主條目:電子郵件欺騙英语Email spoofing

电子邮件上的寄件人資訊(From:欄位)很容易就可以假造。像垃圾電郵就常用這種技巧,隱藏郵件的真實寄件人,造成垃圾電郵退件時,退件到其他郵件地址的backscatter英语backscatter (e-mail)。電子郵件地址欺騙可以配合Telnet進入郵件伺服器實現[5]

地理位置定位欺騙 编辑

地理位置定位英语Geolocation(Geolocation)欺騙是指用戶應用科技,讓其設備在網路上顯示的地理位置和其實際的位置不同。[6]最常見的地理位置定位欺騙是透過虛擬私人網路(VPN)或是域名系统代理,讓用戶看似置身在其他的國家、其他州或是其他區域。根據GlobalWebIndex的研究,全世界VPN的用戶中,有49%主要是用VPN來存取該區域受限的娛樂內容[7]。這種地理位置定位欺騙也稱為是geo海盜(geo-piracy),因為其利用地理位置定位欺騙技術來非法存取有版權的資料。另一個地理位置定位欺騙的例子是加州的線上撲克玩家用此一技術和紐澤西州的玩家玩線上撲克,這違反了這兩州的法律[8]。經由鑑識地理定位證據證明了地理定位欺騙,玩家沒收的獎金超過90,000美元。

電信 编辑

Caller ID欺騙 编辑

主條目:Caller ID欺騙英语Caller ID spoofing

電信網路多半會提供caller ID英语caller ID資訊,會包括每一通電話的來電號碼,有時也會包括姓名。不過有些技術(特別是VoIP網路)允許來電者修改Caller ID資訊,因此可以顯示不正確的來電者和來電號碼。若網路之間的網關允許這些修改後的資訊,就會將假的資訊傳出去。欺騙電話可能朲自其他國家,因此收信方的法律可能制裁不到,因此造成法律管理Caller ID欺騙甚至是信任骗局上的限制[9][與來源不符]

GPS欺騙 编辑

 
對海軍艦艇進行的GPS欺騙

GPS欺騙是刻意廣播假的GPS信號,而其結構像是正常的GPS信號,以欺騙GPS接收端。或是廣播其他地方的GPS訊號,或是其他時間收到的GPS訊號。其中的信號可以經過調整,讓GPS接收器估計自己在實際位置以外的位置,或是在一個以前曾經在的位置。

语音欺騙 编辑

現今的社會上,資訊科技的角色越來越重要,也有不同的認證方式來限制資訊的存取,其中也包括了語音生物識別。使用說話者識別系統的例子包括有網路銀行系統,電話客服中心的客戶識別,以及利用黑名單的可能罪犯識別[10]

有關合成語音以及為語音建模的技術發展的非常快,已可以生成幾乎類似真人的聲音。這類的服務稱為语音合成(TTS)或風格遷移英语Neural Style Transfer服務。前者是創造新的人物,後者則是要模仿其他的人,讓語言識別系統誤認。

有許多的科學家正在發展演算法來識別機器合成的人聲以及真實的人聲。另一方面,這種演算法也需要徹底測試,以確定系統的功能正常[11]

參考資料 编辑

  1. ^ Jindal, K.; Dalal, S.; Sharma, K. K. Analyzing Spoofing Attacks in Wireless Networks. 2014 Fourth International Conference on Advanced Computing Communication Technologies. February 2014: 398–402 [2021-11-24]. ISBN 978-1-4799-4910-6. S2CID 15611849. doi:10.1109/ACCT.2014.46. (原始内容于2021-11-24). 
  2. ^ Canadian banks hit by two-year domain name spoofing scam. Finextra. 9 January 2020 [2021-11-25]. (原始内容于2021-11-06). 
  3. ^ Domain spoofing. Barracuda Networks. [2021-11-25]. (原始内容于2021-11-04). 
  4. ^ Tara Seals. Mass Spoofing Campaign Abuses Walmart Brand. threatpost. August 6, 2019 [2021-11-25]. (原始内容于2021-11-06). 
  5. ^ Gantz, John; Rochester, Jack B. Pirates of the Digital Millennium. Upper Saddle River, NJ 07458: Prentice Hall. 2005. ISBN 0-13-146315-2. 
  6. ^ Günther, Christoph. A Survey of Spoofing and Counter-Measures: A Survey of Spoofing and Counter-Measures. Navigation. 2014-09, 61 (3) [2022-10-02]. doi:10.1002/navi.65. (原始内容于2022-10-06) (英语). 
  7. ^ VPNs Are Primarily Used to Access Entertainment. GlobalWebIndex Blog. 2018-07-06 [2019-04-12]. (原始内容于2019-04-12) (英国英语). 
  8. ^ Hintze, Haley. California Online Poker Pro Forfeits Over $90,000 for Geolocation-Evading New Jersey Play. Flushdraw.net. 2019-03-09 [2019-04-12]. (原始内容于2019-04-12) (英国英语). 
  9. ^ Schneier, Bruce. Caller ID Spoofing. schneier.com. 3 March 2006 [16 January 2011]. (原始内容于2019-07-12). 
  10. ^ Shchemelinin, Vadim; Topchina, Mariia; Simonchik, Konstantin. Ronzhin, Andrey; Potapova, Rodmonga; Delic, Vlado , 编. Vulnerability of Voice Verification Systems to Spoofing Attacks by TTS Voices Based on Automatically Labeled Telephone Speech. Speech and Computer. Lecture Notes in Computer Science (Cham: Springer International Publishing). 2014, 8773: 475–481 [2021-11-25]. ISBN 978-3-319-11581-8. doi:10.1007/978-3-319-11581-8_59. (原始内容于2021-07-09) (英语). 
  11. ^ Sinitca, Aleksandr M.; Efimchik, Nikita V.; Shalugin, Evgeniy D.; Toropov, Vladimir A.; Simonchik, Konstantin. Voice Antispoofing System Vulnerabilities Research. 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus) (St. Petersburg and Moscow, Russia: IEEE). January 2020: 505–508 [2021-11-25]. ISBN 978-1-7281-5761-0. S2CID 214595791. doi:10.1109/EIConRus49466.2020.9039393. (原始内容于2021-11-25). 

相關條目 编辑

  • 域名欺骗:用假的或是容易讓人誤解的域名進行的欺騙攻擊。
    • DNS欺骗
    • 電子郵件欺騙英语Email spoofing
    • IP地址欺骗
    • IDN欺騙:網址和知名網站網址類似,但其中混用其他語言中和英文字母外觀類似的字母,讓使用者信任,進入對應網頁,連結,也稱為「字母欺騙」(script spoofing)。
    • 網頁欺騙英语Website spoofing
  • LAND攻击,用欺騙的網路封包
  • MAC欺骗
  • 钓鱼式攻击(大部份是透過電話或是電子郵件)
  • 串流密碼攻擊英语Stream cipher attacks
  • ARP欺騙
  • 反電子欺騙
  • 伪造登录英语login spoofing

九月 27, 2023
欺騙攻擊, 信息安全和网络安全中的, spoofing, attack, 是指人員或是程式用假的数据, 成功地讓其他程式誤認自身的身份, 以獲取原來身份沒有的不當權限, 目录, 網際網路, 欺騙和tcp, 域名欺骗, http參照位址欺騙, 文件共享網絡中毒, 電子郵件地址欺騙, 地理位置定位欺騙, 電信, caller, id欺騙, gps欺騙, 语音欺騙, 參考資料, 相關條目網際網路, 编辑欺騙和tcp, 编辑, 主条目, ip地址欺骗和arp欺騙, ip中的許多協定都沒有針對訊息來源或是目的地的身份验证機制. 信息安全和网络安全中的欺騙攻擊 spoofing attack 是指人員或是程式用假的数据 成功地讓其他程式誤認自身的身份 以獲取原來身份沒有的不當權限 1 目录 1 網際網路 1 1 欺騙和TCP IP 1 2 域名欺骗 1 3 HTTP參照位址欺騙 1 4 文件共享網絡中毒 1 5 電子郵件地址欺騙 1 6 地理位置定位欺騙 2 電信 2 1 Caller ID欺騙 3 GPS欺騙 4 语音欺騙 5 參考資料 6 相關條目網際網路 编辑欺騙和TCP IP 编辑 主条目 IP地址欺骗和ARP欺騙 TCP IP中的許多協定都沒有針對訊息來源或是目的地的身份验证機制 若應用程式沒有額外的機制來識別訊息的來源端或是接收端 都可能會被欺騙攻擊 在计算机网络中 IP地址欺骗和ARP欺騙特別容易用在中间人攻击中 對主機進行仄擊 利用TCP IP協定的欺騙攻擊 可以用有深度包检测的防火墙來防治 另外一個作法是應用程式要驗證識別訊息來源端或是接收端的身份 域名欺骗 编辑 域名欺骗 Domain name spoofing 一般是描述用假的 或是讓人容易誤認的 網際網路域名來進行的钓鱼式攻击 2 3 目的是讓未提防的使用者進入名稱相近 但網站內容和使用者所認為的不同的網站 或是讓使用者打開其實不是特定電子郵件地址寄出的郵件 4 網站欺骗和電子郵件欺騙相當常見 而所有以名稱解析 英语 Name resolution computer systems 為基礎的服務都會受到影響 HTTP參照位址欺騙 编辑 主條目 HTTP參照位址欺騙 英语 Referer spoofing 有些網站 特別是色情的付費網站 英语 paysite 只允許從特定的核可 登入 頁面存取資料 這是用檢查超文本传输协议請求的HTTP參照位址header來達成 不過HTTP參照位址header有可能改變 這稱為是HTTP參照位址欺騙 英语 Referer spoofing 讓使用者存取免授權的資訊 文件共享網絡中毒 编辑 主條目 欺騙 反盜版措施 英语 spoofing anti piracy measure 欺騙攻擊的手法也可用在反盜版上 例如著作權所有者 刻意的在檔案分享網站中加入無法使用的作品 電子郵件地址欺騙 编辑 主條目 電子郵件欺騙 英语 Email spoofing 电子邮件上的寄件人資訊 From 欄位 很容易就可以假造 像垃圾電郵就常用這種技巧 隱藏郵件的真實寄件人 造成垃圾電郵退件時 退件到其他郵件地址的backscatter 英语 backscatter e mail 電子郵件地址欺騙可以配合Telnet進入郵件伺服器實現 5 地理位置定位欺騙 编辑 地理位置定位 英语 Geolocation Geolocation 欺騙是指用戶應用科技 讓其設備在網路上顯示的地理位置和其實際的位置不同 6 最常見的地理位置定位欺騙是透過虛擬私人網路 VPN 或是域名系统代理 讓用戶看似置身在其他的國家 其他州或是其他區域 根據GlobalWebIndex的研究 全世界VPN的用戶中 有49 主要是用VPN來存取該區域受限的娛樂內容 7 這種地理位置定位欺騙也稱為是geo海盜 geo piracy 因為其利用地理位置定位欺騙技術來非法存取有版權的資料 另一個地理位置定位欺騙的例子是加州的線上撲克玩家用此一技術和紐澤西州的玩家玩線上撲克 這違反了這兩州的法律 8 經由鑑識地理定位證據證明了地理定位欺騙 玩家沒收的獎金超過90 000美元 電信 编辑Caller ID欺騙 编辑 主條目 Caller ID欺騙 英语 Caller ID spoofing 電信網路多半會提供caller ID 英语 caller ID 資訊 會包括每一通電話的來電號碼 有時也會包括姓名 不過有些技術 特別是VoIP網路 允許來電者修改Caller ID資訊 因此可以顯示不正確的來電者和來電號碼 若網路之間的網關允許這些修改後的資訊 就會將假的資訊傳出去 欺騙電話可能朲自其他國家 因此收信方的法律可能制裁不到 因此造成法律管理Caller ID欺騙甚至是信任骗局上的限制 9 與來源不符 GPS欺騙 编辑 nbsp 對海軍艦艇進行的GPS欺騙GPS欺騙是刻意廣播假的GPS信號 而其結構像是正常的GPS信號 以欺騙GPS接收端 或是廣播其他地方的GPS訊號 或是其他時間收到的GPS訊號 其中的信號可以經過調整 讓GPS接收器估計自己在實際位置以外的位置 或是在一個以前曾經在的位置 语音欺騙 编辑現今的社會上 資訊科技的角色越來越重要 也有不同的認證方式來限制資訊的存取 其中也包括了語音生物識別 使用說話者識別系統的例子包括有網路銀行系統 電話客服中心的客戶識別 以及利用黑名單的可能罪犯識別 10 有關合成語音以及為語音建模的技術發展的非常快 已可以生成幾乎類似真人的聲音 這類的服務稱為语音合成 TTS 或風格遷移 英语 Neural Style Transfer 服務 前者是創造新的人物 後者則是要模仿其他的人 讓語言識別系統誤認 有許多的科學家正在發展演算法來識別機器合成的人聲以及真實的人聲 另一方面 這種演算法也需要徹底測試 以確定系統的功能正常 11 參考資料 编辑 Jindal K Dalal S Sharma K K Analyzing Spoofing Attacks in Wireless Networks 2014 Fourth International Conference on Advanced Computing Communication Technologies February 2014 398 402 2021 11 24 ISBN 978 1 4799 4910 6 S2CID 15611849 doi 10 1109 ACCT 2014 46 原始内容存档于2021 11 24 Canadian banks hit by two year domain name spoofing scam Finextra 9 January 2020 2021 11 25 原始内容存档于2021 11 06 Domain spoofing Barracuda Networks 2021 11 25 原始内容存档于2021 11 04 Tara Seals Mass Spoofing Campaign Abuses Walmart Brand threatpost August 6 2019 2021 11 25 原始内容存档于2021 11 06 Gantz John Rochester Jack B Pirates of the Digital Millennium Upper Saddle River NJ 07458 Prentice Hall 2005 ISBN 0 13 146315 2 Gunther Christoph A Survey of Spoofing and Counter Measures A Survey of Spoofing and Counter Measures Navigation 2014 09 61 3 2022 10 02 doi 10 1002 navi 65 原始内容存档于2022 10 06 英语 VPNs Are Primarily Used to Access Entertainment GlobalWebIndex Blog 2018 07 06 2019 04 12 原始内容存档于2019 04 12 英国英语 Hintze Haley California Online Poker Pro Forfeits Over 90 000 for Geolocation Evading New Jersey Play Flushdraw net 2019 03 09 2019 04 12 原始内容存档于2019 04 12 英国英语 Schneier Bruce Caller ID Spoofing schneier com 3 March 2006 16 January 2011 原始内容存档于2019 07 12 Shchemelinin Vadim Topchina Mariia Simonchik Konstantin Ronzhin Andrey Potapova Rodmonga Delic Vlado 编 Vulnerability of Voice Verification Systems to Spoofing Attacks by TTS Voices Based on Automatically Labeled Telephone Speech Speech and Computer Lecture Notes in Computer Science Cham Springer International Publishing 2014 8773 475 481 2021 11 25 ISBN 978 3 319 11581 8 doi 10 1007 978 3 319 11581 8 59 原始内容存档于2021 07 09 英语 Sinitca Aleksandr M Efimchik Nikita V Shalugin Evgeniy D Toropov Vladimir A Simonchik Konstantin Voice Antispoofing System Vulnerabilities Research 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering EIConRus St Petersburg and Moscow Russia IEEE January 2020 505 508 2021 11 25 ISBN 978 1 7281 5761 0 S2CID 214595791 doi 10 1109 EIConRus49466 2020 9039393 原始内容存档于2021 11 25 相關條目 编辑域名欺骗 用假的或是容易讓人誤解的域名進行的欺騙攻擊 DNS欺骗 電子郵件欺騙 英语 Email spoofing IP地址欺骗 IDN欺騙 網址和知名網站網址類似 但其中混用其他語言中和英文字母外觀類似的字母 讓使用者信任 進入對應網頁 連結 也稱為 字母欺騙 script spoofing 網頁欺騙 英语 Website spoofing LAND攻击 用欺騙的網路封包 MAC欺骗 钓鱼式攻击 大部份是透過電話或是電子郵件 串流密碼攻擊 英语 Stream cipher attacks ARP欺騙 反電子欺騙 伪造登录 英语 login spoofing 取自 https zh wikipedia org w index php title 欺騙攻擊 amp oldid 74608751, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。