网络安全应急响应：网络欺骗安全事件检测

微信公众号：计算机与网络安全

1、DNS欺骗检测

防范DNS欺骗只要防范ARP欺骗就可以了本机ip地址怎么查 。通过利用ARP欺骗手段，能够实现交换环境下的网络监听。发起arpspoof的主机向目标主机发送伪造的ARP应答包，骗取目标系统更新ARP表，将目标系统的网关的mac地址修改为发起arpspoof的主机mac地址，使数据分组都经由发起arpspoof的主机，这样即使系统连接在交换机上，也不会影响对数据分组的攫取，由此就轻松地通过交换机实现了网络监听。

检测方法：

1）借助检测IP地址和mac地址对应的工具，如arpwatch，安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到图1所示的提示本机ip地址怎么查 。

图1 日志文件

从提示中可以看出arpwatch检测到了网关mac地址发生了改变本机ip地址怎么查 。

2）借助于一些入侵检测系统，如snort，也可以起到的一定的检测作用本机ip地址怎么查 。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。

3）使用antisniff工具，也可以远程检测出交换环境下处于SNIFFER状态的机器本机ip地址怎么查 。

2、Web欺骗检测

防范Web欺骗也只要防范ARP欺骗即可，检测方法与DNS欺骗检测相同本机ip地址怎么查 。

3、电子邮件欺骗检测规范及案例

利用电子信息技术进行欺诈与盗取的现象呈现上升趋势，电子邮件假冒和欺骗是一个很大的安全漏洞，形式很多本机ip地址怎么查 。

检测方法：

根据使用邮件客户端软件的不同，需要做一些操作来显示头文件本机ip地址怎么查 。在大部分程序中，只要单击“文件/属性”，就可以看到头文件。

大部分人不会需要看到邮件的头文件，所以电子邮件软件开发商就将其设计到不明显的地方本机ip地址怎么查 。以微软的Outlook Express为例，如图2所示，在Outlook Express中只要单击“文件（File）”然后选择“属性（Properties）”再点“详细信息”最后点“邮件来源”，就可以在一个对话框中看到头文件的信息。

图2 Outlook Express中的邮件来源界面

这个页面显示了邮件的一些基本信息，例如邮件的标题、发送者和发送接收的日期和时间本机ip地址怎么查 。其中发信地址和回信地址都是可以伪造的地址。大部分重要的痕迹就是在这里发现的。在这个例子中，第二行显示了邮件最初是从哪台机器发送的，但pc的名字“cnns”是可以轻易修改的（修改发信者主机的主机名）；其后的IP地址有可能是邮件服务器的IP，也有可能是代理的IP或匿名转发邮件服务器的IP。

通过DNS查找邮件服务器的IP和邮件基本信息里的IP地址是否一致本机ip地址怎么查 。

有些主机名可能就是黑客在网上使用的昵称，所以有时通过邮件头查找主机名在网上查相关的黑客昵称也是可以查到黑客的，这也是确定邮件欺骗的一种方法本机ip地址怎么查 。

- The end -

网络安全资料列表