网络安全中的“欺骗行为”指的是什么？

“欺骗”是一种全新的犯罪手段，它结合了古老的欺骗策略与现代技术。所谓“欺骗”，其实就是一种欺诈行为——有人或某机构伪造发送者的身份，伪装成可信的来源、企业、同事或其他值得信赖的实体，以此来获取个人信息、骗取钱财、传播恶意软件或窃取数据。

欺骗的类型：

• IP欺骗
• ARP欺骗
• 电子邮件欺骗
• 网站欺骗攻击
• DNS欺骗

IP欺骗：

IP是一种网络协议，它允许你通过互联网发送和接收消息。每个电子邮件的邮件头中都会包含发件人的IP地址（即源地址）。通过修改源地址，黑客和诈骗者可以伪装自己的身份，从而让邮件看起来像是来自可靠的来源。IP欺骗可以分为两类。

• 中间人攻击：正如其名称所暗示的那样，消息的原始发送者与目标接收者之间的通信会被截获。然后，消息的内容会在双方都不知道的情况下被修改。攻击者会在数据包中插入自己的消息。
• 拒绝服务攻击：在这种技术中，发送者和接收者的消息包会被截获，同时源地址也会被伪造。这样一来，连接就被控制了。结果，接收者会收到超过其带宽或资源处理能力的消息包。这会使得受害者的系统不堪重负，最终导致系统崩溃。

缺点/缺陷:

在中间人攻击中，就连接收方也无法知道连接是从哪里开始的。这完全是一种“盲目攻击”。要成功实施这种攻击，攻击者需要拥有丰富的经验，并且必须清楚了解目标对攻击行为的反应。

预防措施：

禁用那些由源地址指向本地主机的网络数据包，以及所有具有与本地主机相同源地址的外部传入数据包，是避免这种攻击的两种常见策略。

ARP欺骗：

ARP欺骗是一种黑客手段，它会导致网络流量被重定向到黑客控制的地址。这种攻击方式涉及到在有线及无线局域网中窃取局域网地址。其目的就是向以太网局域网发送虚假的ARP通信数据包，从而改变或完全阻断网络流量。

ARP的基本功能就是将IP地址与MAC地址进行匹配。攻击者会向本地网络发送被伪造的消息。在这种情况下，响应消息会将用户的MAC地址与其IP地址关联起来。这样一来，攻击者就能获取受害机器上的所有信息了。

预防措施：

为了避免ARP欺骗，可以采取多种方法。静态ARP条目、加密技术、VPN以及数据包嗅探等方法都是可行的解决方案。每种方法都有其优缺点。

• 静态ARP条目：这需要为网络上的每台机器在每台计算机上创建相应的ARP条目。由于这些设备可以忽略ARP响应，因此将静态的IP地址和MAC地址与这些设备进行关联，有助于防止欺骗行为的发生。不过遗憾的是，这种方法只能防御一些最基础的攻击。
• 加密：像HTTPS和SSH这样的协议也有助于降低ARP欺骗成功的可能性。当流量被加密后，攻击者就需要付出额外的努力来让目标浏览器的程序接受无效的证书。不过，如果数据不符合这些标准的话，那么数据仍然会处于易受攻击的状态。
• VPN：虚拟专用网络对于个人来说，使用VPN可能是一种合理的保护方式，但对于大型企业来说则不太适用。如果只有一个人进行可能不安全的数据传输，比如通过机场的公共Wi-Fi网络进行数据传输，那么VPN可以加密所有在客户端和服务器之间传输的数据。由于攻击者只能看到加密后的数据，因此这种方式有助于保护他们的安全。
• 数据包过滤器：通过网络传输的每个数据包都会经过这些过滤器的检查。这些过滤器能够检测并阻止恶意传输行为，同时也能识别出那些具有可疑IP地址的传输行为。

关于使用ARP欺骗进行中间人攻击的详细信息，请参阅“使用ARP欺骗的中间人攻击”。

电子邮件欺骗：

在互联网上，最常见的身份盗窃方式就是电子邮件欺骗。这些骗子会向多个地址发送电子邮件，并伪装成银行、公司或执法机构的代表。他们使用的邮件中通常会包含官方标志和标题。这些邮件中还包含了指向危险或欺诈性网站的链接，以及含有恶意软件的附件。

攻击者还可能利用社会工程学手段，诱使目标自愿透露信息。人们经常会在电子邮件中看到伪造的银行或数字钱包网站链接。当受害者不小心点击了这些链接后，他们会被引导到虚假的网站，从而需要输入自己的个人信息。而这些信息随后会被转发给那个使用假邮箱的攻击者。

手动检测方法：

• 虽然显示的名字看起来是真实的，但如果它与“发件人”地址不匹配的话，那就说明存在电子邮件欺骗的行为了。
• 如果“回复地址”与原始发件人的地址或域名不一致的话，那么这封邮件很可能是伪造的。
• 如果收到一些不可信的消息（比如要求提供敏感信息或包含不希望看到的附件），那么应该谨慎处理这些消息，或者立即将其报告给您的IT部门。即使这些邮件看起来来自可信的来源，也仍然需要加以注意。

预防措施：

还应实施额外的验证措施，例如发送方政策框架、域名标识邮件、基于域名的消息认证与报告机制，以及安全/多用途互联网邮件扩展标准。

网站欺骗攻击：

攻击者利用网站/URL伪装技术来窃取用户的凭证和其他信息。他们通过创建与真实可信网站极为相似的虚假网站来实现这一目的。这种做法通常发生在那些在线流量较大的网站上。Facebook的被克隆就是一个典型的例子。

DNS欺骗：

每台机器都有唯一的IP地址。这个IP地址与您用来访问网站的“www”地址不同。当您在浏览器中输入一个网址并按下回车键时，域名系统会立即找到对应的IP地址，并将您重定向到该地址所指向的网站。黑客已经发现了一种方法，可以侵入这一系统，将您的网络流量引导到有害的网站上。这种现象被称为DNS欺骗。

预防措施：

• DNSSEC，即域名系统安全扩展协议，是目前最广泛使用的防止DNS欺骗的解决方案。它通过增加身份验证和验证环节来保障DNS数据的安全性。不过，验证DNS记录是否未被篡改需要一定的时间，这自然会减慢DNS的响应速度。
• 请使用SSL/TLS加密技术，以最小化或降低因DNS欺骗而导致网站被黑客攻击的风险。这样，用户就能判断出该服务器是否真实存在，是否属于该网站的合法所有者。
• 只应信任以“HTTPS”开头的URL，因为这表明该网站是合法的。如果“HTTPS”的标志看起来不稳定或不可靠，那么就需要警惕DNS欺骗攻击的风险了。
• 预防DNS攻击的安全策略或主动应对方式，就是进行持续的监控。必须密切关注DNS数据的变化，并及时发现任何异常行为。例如，如果发现某个新的外部主机出现，那么很可能它就是攻击者的一部分。

欺骗是当今广告商最常用的策略。对他们来说，实施这种策略其实相当简单，因为存在多种实现方式。以上只是一些欺骗行为的例子而已。采取一些预防措施的话，就能让我们的企业更加安全。