中國人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版）２ＱＱ２±差壘塑盥Ｑ：壘２ＱＱ２』業(yè)嬰?。≯遥纾瑁閴嫛贳岳锩怂龋?！蔓里望ｂ！適量ｇ翊！Ｙ墮也！￡望畦Ｙ（墨?。椋≯用耍樘?！盟ｈⅡＱ！籃Ｙ）！墨差魚２塑墨叢望魚至基于系

中國人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版）

２ＱＱ２±差壘塑盥Ｑ：壘２ＱＱ２

』業(yè)嬰！！垡ｇｈｉ墜￡墼里盟巳！！蔓里望ｂ！適量ｇ翊！Ｙ墮也！￡望畦Ｙ（墨?。?！塾盟ｉ趟！盟ｈⅡＱ！籃Ｙ）

！墨差魚２塑墨叢望魚至

基于系統(tǒng)工程的網(wǎng)絡(luò)釣魚分類研究

鞏

榮。

王斌君

（中國人民公安大學(xué)，北京１０００３８）

摘要網(wǎng)絡(luò)釣魚主要是指利用互聯(lián)網(wǎng)進(jìn)行的一種欺詐行為。在社會(huì)工程學(xué)的基礎(chǔ)上，按照從客戶端網(wǎng)絡(luò)請(qǐng)求到

服務(wù)器端響應(yīng)步步深入的順序，對(duì)網(wǎng)絡(luò)釣魚攻擊進(jìn)行了系統(tǒng)化分析，對(duì)網(wǎng)絡(luò)釣魚的攻擊方式進(jìn)行了分類研究，為認(rèn)清林林總總的網(wǎng)絡(luò)釣魚本質(zhì)和進(jìn)一步防范網(wǎng)絡(luò)釣魚奠定基礎(chǔ)。關(guān)鍵詞釣魚；社會(huì)工程學(xué)；詐騙；漏洞中圖分類號(hào)ＴＰ３９３．０８

０引言

“網(wǎng)絡(luò)釣魚”（Ｐｈｉｓｈｉｎｇ）一詞是“Ｐｈｏｎｅ”和“Ｆｉｓｈｉｎｇ”的綜合體，起源于１９９６年。鑒于最早的黑客是用電話線作案，所以用“Ｐｈ＇，來取代“ｆ’’’就形成了Ｐｈｉｓｈｉｎｇ一詞。網(wǎng)絡(luò)釣魚是指釣魚者利用社會(huì)工程學(xué)原理和網(wǎng)絡(luò)技術(shù)對(duì)受害者進(jìn)行欺騙，盜取受害者賬戶、口令等敏感信息的一種網(wǎng)絡(luò)欺詐行為［１】。

網(wǎng)絡(luò)釣魚問世以來，數(shù)量和危害的程度劇增，已經(jīng)成為近期最具威脅的網(wǎng)絡(luò)安全事件之一。據(jù)ＡＰＷＧ報(bào)告中數(shù)據(jù)顯示，２００８年７月份該組織提交的獨(dú)立ｐｈｉｓｈｉｎｇ報(bào)告總數(shù)達(dá)到２８１５１起【１１；據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告顯示，２００８年上半年國家互聯(lián)網(wǎng)應(yīng)急中心（ＣＮＣＥＲＴ）共接到網(wǎng)絡(luò)仿冒事件報(bào)告６４５件，成功處理了２３７件【ｌｏ］。

網(wǎng)絡(luò)釣魚雖有社會(huì)工程學(xué)的影子，但采用信息技術(shù)手段之后，其隱蔽性更強(qiáng)，危害性更大。目前，網(wǎng)絡(luò)釣魚已將一般社會(huì)工程學(xué)欺騙由“愿者上鉤”發(fā)展到“主動(dòng)出擊”，通過建立一個(gè)釣魚網(wǎng)站，再采用復(fù)雜的“相似網(wǎng)址”、“垃圾郵件”、“修改ＤＮＳ”、“修改路由”等技術(shù)手段和工具，“迫使”一般用戶到假冒的網(wǎng)站上實(shí)施欺騙。１網(wǎng)絡(luò)釣魚分類方法

分類是人們認(rèn)識(shí)復(fù)雜性事物的最有效途徑之一［９］，如生物學(xué)中的植物分類學(xué)、動(dòng)物分類學(xué)、學(xué)科專業(yè)中的分類目錄，標(biāo)準(zhǔn)化工作中的分類與代碼等。通過分類可以使人們更清晰地認(rèn)識(shí)事物，把握其本質(zhì)特征，以便對(duì)不同分類進(jìn)行更細(xì)致深入的研究。因此。采用分類方法對(duì)網(wǎng)絡(luò)釣魚技術(shù)進(jìn)行研究非常必要。

１．１常見的網(wǎng)絡(luò)釣魚分類方法

網(wǎng)絡(luò)釣魚的方法林林總總，欺騙手段不勝枚舉。為了對(duì)網(wǎng)絡(luò)釣魚有更加清晰的認(rèn)識(shí)，專家學(xué)者對(duì)網(wǎng)絡(luò)釣魚從不同角度進(jìn)行了分類。

倪天華等人［３］按照誘騙階段和信息獲取階段對(duì)網(wǎng)絡(luò)釣魚進(jìn)行分類。將網(wǎng)絡(luò)釣魚誘騙階段的表現(xiàn)形式分為欺詐郵件、即時(shí)通訊軟件、搜索引擎、惡意引導(dǎo)和惡意代碼植入等五種方式。將網(wǎng)絡(luò)釣魚獲取用戶敏感信息的技術(shù)手段分為假冒網(wǎng)站、虛假的彈出窗口和惡意代碼等三種方式。這種網(wǎng)絡(luò)釣魚的分類有助于人們理解和認(rèn)識(shí)網(wǎng)絡(luò)釣魚的表現(xiàn)形式和相關(guān)技術(shù)，以便采用相關(guān)的具體對(duì)策。但大都針對(duì)性太強(qiáng)，有一定的局限性。主要是對(duì)具體的釣魚技術(shù)提供某種防范措施，對(duì)網(wǎng)絡(luò)釣魚缺乏本質(zhì)和系統(tǒng)性的認(rèn)識(shí)。防范對(duì)策也不具有通用性。

另外，鄒永剛［２］提出了偽造郵件發(fā)件人地址、ＵＲＬ偽裝、跨站釣魚、搜索入侵、修改ＨＯＳＴＳ、與系統(tǒng)升級(jí)補(bǔ)丁或應(yīng)用程序捆綁、利用短信息和即時(shí)通信實(shí)現(xiàn)網(wǎng)絡(luò)仿冒攻擊等八種分類；郭敏哲Ｉｓ］提出了欺騙性網(wǎng)絡(luò)釣魚攻擊、基于ＤＮＳ的網(wǎng)絡(luò)釣魚攻擊、基于惡意軟件的網(wǎng)絡(luò)釣魚攻擊、內(nèi)容注入式網(wǎng)絡(luò)釣魚攻擊和中間人式網(wǎng)絡(luò)釣魚攻擊等五種分類；李青巖［１１］、孫維廣【１２１等人的研究工作，都是對(duì)具體的案例的分析。這種分類方法都只是對(duì)現(xiàn)有典型網(wǎng)絡(luò)釣魚攻擊的羅列，分類不完善。隨著網(wǎng)絡(luò)釣魚技術(shù)的發(fā)展、人們對(duì)網(wǎng)絡(luò)釣魚的深入認(rèn)識(shí)，這些分類就顯得不適用，必須完善和調(diào)整。１．２本文采用的分類方法

針對(duì)上述網(wǎng)絡(luò)釣魚分類方法的不足，本文分析了一般網(wǎng)絡(luò)請(qǐng)求的全過程（網(wǎng)絡(luò)釣魚的過程也遵循此過程），試圖提出一種超越網(wǎng)絡(luò)釣魚具體表現(xiàn)形式的分類方法，以便把握網(wǎng)絡(luò)釣魚的本質(zhì)，為今后研究反網(wǎng)絡(luò)釣魚的對(duì)策提供通用的方法

作者簡介

鞏榮（１９８５一），女，山西侯馬人，在讀研究生。主要研究方向?yàn)樾畔踩⒂?jì)算機(jī)犯罪偵查。

?９１

?

萬方數(shù)據(jù)

鞏榮

王斌君：基于系統(tǒng)工程的網(wǎng)絡(luò)釣魚分類研究

和思路，與各位讀者商榷。

本文的主體采用列舉式分類法［４］，按照網(wǎng)絡(luò)請(qǐng)求一響應(yīng)一服務(wù)全過程中各階段作為分類原則，即從客戶端、中間請(qǐng)求一響應(yīng)環(huán)節(jié)、服務(wù)器端，對(duì)釣魚技術(shù)進(jìn)行分類研究。

針對(duì)網(wǎng)絡(luò)釣魚核心的客戶端攻擊方式的復(fù)雜性，本文采用分面分類法［４］，將基于客戶端的網(wǎng)絡(luò)鏈接地址欺騙，按照ＵＲＬ實(shí)際地址欺騙方式和可見鏈接與實(shí)際鏈接對(duì)應(yīng)關(guān)系兩個(gè)分面分類討論后，再將各面內(nèi)類目相互組配，全面介紹了此類中出現(xiàn)的各種釣魚手段。２網(wǎng)絡(luò)釣魚系統(tǒng)化分析

為了對(duì)網(wǎng)絡(luò)釣魚的本質(zhì)進(jìn)行分類研究。需要系統(tǒng)化地了解互聯(lián)網(wǎng)中網(wǎng)絡(luò)請(qǐng)求的完整過程。網(wǎng)絡(luò)請(qǐng)求的過程如圖１所示。

圖１網(wǎng)絡(luò)請(qǐng)求的完整過程

這一過程顯示，網(wǎng)絡(luò)釣魚攻擊者在利用社會(huì)工程學(xué)誘騙用戶的基礎(chǔ)上，可能在圖１所示各個(gè)環(huán)節(jié)中利用網(wǎng)絡(luò)技術(shù)實(shí)施攻擊，實(shí)現(xiàn)欺騙的目的。下面結(jié)合社會(huì)工程學(xué)原理，按照從客戶端鏈接請(qǐng)求到服務(wù)器端響應(yīng)的順序，對(duì)現(xiàn)有和將來可能出現(xiàn)的網(wǎng)絡(luò)釣魚技術(shù)進(jìn)行介紹和分析。２．１社會(huì)工程學(xué)原理

網(wǎng)絡(luò)釣魚的本質(zhì)是利用互聯(lián)網(wǎng)，基于社會(huì)工程學(xué)原理，結(jié)合各種技術(shù)欺騙受害者，最終實(shí)現(xiàn)盜取重要敏感信息，獲得經(jīng)濟(jì)效益的目的。網(wǎng)絡(luò)釣魚如此猖獗的一個(gè)原因就是，攻擊者抓住了客戶端行為人的弱點(diǎn)，采用社會(huì)工程學(xué)原理欺騙用戶，再結(jié)合網(wǎng)絡(luò)技術(shù)，針對(duì)系統(tǒng)漏洞進(jìn)行攻擊，即可得手。

社會(huì)工程學(xué)陷阱通常是利用大眾疏于防范的小詭計(jì)，讓受害者掉入陷阱。該技巧通常以交談欺騙、假冒或口語用字等方式，從合法用戶中套取用戶系統(tǒng)密碼、名單等敏感信息?；谏鐣?huì)工程學(xué)進(jìn)行網(wǎng)絡(luò)釣魚欺騙分為主動(dòng)引誘和被動(dòng)等待兩種形式。

主動(dòng)引誘是指針對(duì)特定對(duì)象。利用社會(huì)工程學(xué)手段。主動(dòng)發(fā)起攻擊，搜集相關(guān)個(gè)人信息，引誘其受騙。典型的途徑有垃圾郵件、短信釣魚、語音釣魚［５】等。這種誘騙策略可能用于對(duì)客戶端網(wǎng)址鏈接的攻擊。

守株待兔是指釣魚者制造釣魚網(wǎng)站，利用社會(huì)工程學(xué)原理增加自身的吸引力，等待用戶上當(dāng)。此類犯罪活動(dòng)典型的途徑有利用搜索引擎，虛假廣告等。這種方式利用受害人貪婪和信任的心理，使得受害者一旦看到信息并相信其真實(shí)

?

９２

?

萬方數(shù)據(jù)

性。便會(huì)一步步進(jìn)入騙局。如在比較知名、大型的電子商務(wù)網(wǎng)站“易趣”、“淘寶”上發(fā)布虛假的商品銷售廣告，以所謂“超低價(jià)”、“免稅”、“慈善義賣”的名義出售各種產(chǎn)品，很多人在低價(jià)的誘惑下上當(dāng)受騙。再如利用一些搜索引擎的“競價(jià)排名”業(yè)務(wù)?；ㄥX把自己的釣魚網(wǎng)站排在搜索引擎的顯著位置，坐等用戶上鉤。這種誘騙策略可能用于對(duì)中間環(huán)節(jié)和服務(wù)器系統(tǒng)漏洞的攻擊。２．２攻擊技術(shù)分類研究２．２．１基于客戶端的攻擊

（１）基于ＷＥＢ頁面超鏈地址欺騙

無論網(wǎng)絡(luò)釣魚采用網(wǎng)頁、垃圾郵件、即時(shí)通信和短信等

方式，其本質(zhì)都是基于頁面超鏈地址欺騙將用戶引致惡意鏈接地址。

網(wǎng)絡(luò)鏈接大都是通過超文本標(biāo)示語言ＨＴＭＬ實(shí)現(xiàn)的。ＨＴＭＬ中超鏈的結(jié)構(gòu)為ａｈｒｅｆ＝“ＵＲＬ”）Ａｎｃｈｏｒｔｅｘｔ＜／ａ）。其中統(tǒng)一資源標(biāo)識(shí)符ＵＲＬ為用戶提供了訪問網(wǎng)絡(luò)資源必須的信息，是實(shí)際鏈接；而Ａｎｃｈｏｒｔｅｘｔ是顯示在用戶瀏覽器中的可見鏈接文本［６］，實(shí)際鏈接的內(nèi)容不顯示在上一級(jí)瀏覽器頁面中，用戶看到的是可見鏈接。釣魚者正是利用這一點(diǎn)，實(shí)施欺騙的。

①ＵＲＬ分面的分類

當(dāng)可見鏈接為純文本格式時(shí)。網(wǎng)絡(luò)釣魚攻擊的對(duì)象只能是實(shí)際鏈接ＵＲＬ。針對(duì)ＵＲＬ存在以下幾種典型的攻擊類型，即ＵＲＬ分面的分類。

１）虛假相似網(wǎng)址

虛假相似網(wǎng)址是使用易混的字母替換知名網(wǎng)站ＵＲＬ中的字母。網(wǎng)絡(luò)釣魚者注冊(cè)一個(gè)域名和真實(shí)網(wǎng)站域名十分相似的網(wǎng)址，其用戶界面也和真實(shí)網(wǎng)站頁面非常相似，一般的用戶被引導(dǎo)到這樣的虛擬網(wǎng)址上是難以察覺的。攻擊者也就是利用該網(wǎng)頁來誘導(dǎo)用戶輸入自己的個(gè)人身份信息，達(dá)到竊取的目的。例如：（ａｈｒｅｆ＝ｈｔｔｐ：／／ＷＷＷ．１ｃｂｃ．ｃｏｍ）中國工商銀行（／ａ），真實(shí)網(wǎng)站域名是ｗｗｗ．ｉｃｂｃ．ｃｏｍ，偽造網(wǎng)站域名是ｗｗｗ．１ｃｂｃ．ｃｏｍ，“ｉ”與“１”一字之差。域名服務(wù)器將解析到完全不同的ＩＰ地址上，而用戶很難辨別。

２）利用編碼策略

利用編碼策略是將字母編碼Ｕｎｉｃｏｄｅ或者ＡＳＣＩＩ碼，使得一般用戶看不懂。例如ａｈｒｅｆ＝ｈｔｔｐ：／／％３４％２Ｅ％３３％

３４％２Ｅ％３１％３９％３５％２Ｅ％３４％３１：％３４％３９％３０％３３／％

６Ｃ／％６９％６Ｅ％６４％６５％７８％２Ｅ％６８％７４％６Ｄ）淘寶客服（／ａ）看起來好像是指向淘寶客服的，實(shí)際上它指向解碼后的ｈｔｔｐ：／／４．３４．１９５．４１：３４／１／ｉｎｄｅｘ．ｈｔｍ釣魚網(wǎng)站。

３）利用ＵＲＬ中的特殊字符

ＵＲＬ中有些字符有特定的功能，有些字符根據(jù)位置而有特定的功能。如果字符不能照字面意思顯示，就會(huì)以轉(zhuǎn)義格式發(fā)送給ＷＥＢ服務(wù)器。

如：ＨＴＴＰ規(guī)定ＵＲＬ的完整格式是“Ｈｔｔｐ：／／Ｎａｍｅ：Ｐａｓｓｗｏｒｄ＠ＩＰ地址或主機(jī)名”。其中“ＩＰ地址或主機(jī)名”是必

鞏榮王斌君：基于系統(tǒng)工程的網(wǎng)絡(luò)釣魚分類研究

填項(xiàng)；＠標(biāo)志與其前面的“Ｎａｍｅ：Ｐａｓｓｗｏｒｄ”，屬于可選項(xiàng)。也就是說。在ＵＲＬ中真正起解析作用的網(wǎng)址是從＠標(biāo)志后面開始的，這就是欺騙原理。例如：（ａｈｒｅｆ＝ｈｔｔｐ：∥ｗｗｗ．ｉｃｂｃ．ｃｏｍ＠ｌｃｂｃ．ｃｏｒｎ）中國工商銀行（／ａ）似乎是鏈接到中國工商銀行上去的，但實(shí)際上它是鏈接到釣魚網(wǎng)站上去的。

４）利用ＩＰ地址

ＩＰ地址一般是四個(gè)字節(jié)，例如“１９２．１６８．０．１０”，這種形式比較抽象，難以記憶。所以采用全球統(tǒng)一的ＵＲＬ與之相對(duì)應(yīng)。網(wǎng)絡(luò)釣魚者正是利用了ＩＰ地址對(duì)一般用戶難以辨認(rèn)進(jìn)行欺騙的。例如：（ａｈｒｅｆ＝ｈｔｔｐ：∥６１．１３５．１３２．１３）淘寶客服（／ａ）或者（ａｈｒｅｆ＝ｈｔｔｐ：∥１０３２２９１３４１）淘寶客服（／ａ）似乎是鏈接到淘寶客服上去的，但實(shí)際上它是鏈接到６１．１３５．１３２．１３（１０３２２９１３４１是這個(gè)ＩＰ地址的十進(jìn)制形式）的釣魚網(wǎng)站上去了。

上述幾種針對(duì)ＵＲＬ的釣魚手段可以相結(jié)合，形成更復(fù)雜的欺騙。如（ａｈｒｅｆ＝ｈｔｔｐ：∥ｗｗｗ．％３４％２Ｅ％３３％３４％２Ｅ％３１％３９％３５＠１０３２２９１３４１）中國工商銀行（／ａ）。

②可見鏈接與實(shí)際鏈接對(duì)應(yīng)關(guān)系分面的分類

Ａｎｃｈｏｒ

ｔｅｘｔ顯示方式是ＵＲＬ或ＩＰ地址等形式時(shí)?？梢?/p>

根據(jù)可見鏈接地址與實(shí)際鏈接地址是否一致作為分類標(biāo)準(zhǔn)?？梢婃溄有畔⑴c實(shí)際鏈接信息不一致，必然是釣魚網(wǎng)址；可見鏈接信息與實(shí)際鏈接信息一致，也可能是網(wǎng)絡(luò)釣魚，但隱蔽性不強(qiáng)。

將兩個(gè)分面內(nèi)類目組配，形成各種各樣的攻擊，例如：可見鏈接地址Ａｎｃｈｏｒｔｅｘｔ與實(shí)際鏈接地址ＵＲＬ不一致。實(shí)際地址是釣魚網(wǎng)站。

０ａｈｒｅｆ＝ｈｔｔｐ：｝１

ｗｗｗ．１ｃｂｃ．ｃｏｍ、ｈｔｔｐｓ：ｆ｝Ⅷｗ．ｉｃｂｃ．

ｃｏｒｎ（／ａ）；

（ａｈｒｅｆ＝ｈｔｔｐ：∥ｗｗｗ．ｉｃｂｃ．ｃｏｒｎ＠１０３２２９１３４１）ｈｔｔｐｓ：∥ｗｗｗ．ｉｃｂｃ．ｃｏｍ＜／ａ）；

（ａｈｒｅｆ＝ｈｔｔｐ：∥ｉｃｂｃ．ｃｏｍ＠％３４％２Ｅ％３３％３４％２Ｅ％３１％３９）ｈｔｔｐｓ：∥ｗｗｗ．ｉｃｂｃ．ｔｏｍ（／ａ＞；

ｋａｈｒｅｆ＝ｈｔｔｐ：｝ｆｉｃｂｃ．ｃｏｒｎ＠６１．１３５．１３２．１３）ｈｔｔｐｓ：ｆ｝

ｗｗｗ．ｉｃｂｃ．ｃｏｍ（／ａ）。

可見鏈接Ａｎｃｈｏｒ

ｔｅｘｔ與實(shí)際鏈接ＵＲＬ一致，要么顯示的地址不可讀。要么顯示的地址與用戶期望的地址類似，用戶難以辨認(rèn)。最終上當(dāng)受騙，被引誘到釣魚網(wǎng)站。

（ａｈｒｅｆ＝ｈｔｔｐ：∥ＷＷＷ．１ｃｂｃ．ｃｏｍ）ｈｔｔｐｓ：∥ＷＷＷ．１ｃｂｃ．

ｔｏｍ（／ａ）；

ａ

ｈｒｅｆ＝ｈｔｔｐ：｝ｆＷＷＷ．ｉｅｂｅ．ｃｏｍ＠１０３２２９１３４１、ｈｔｔｐｓ：“

ｗｗｗ．ｉｅｂｅ．ｃｏｍ＠１０３２２９１３４１（／ａ）；

（ａｈｒｅｆ＝ｈｔｔｐ：∥ｉｅｂｃ．ｃｏｒｎ＠％３４％２Ｅ％３３％３４％２Ｅ％

３１％３９）ｈｔｔｐｓ：∥ｉｃｂｃ．ｃｏｒｎ＠％３４％２Ｅ％３３％３４％２Ｅ％３１％３９（／ａ）；

０ａｈｒｅｆ＝ｈｔｔｐ：ｆ｝ｉｃｂｃ．ｃｏｍ＠６１．１３５．１３２．１３、ｈｔｔｐｓ：“ｉｃｂｅ．ｃｏｒｎ＠６１．１３５．１３２．１３（／ａ）。

（２）基于客戶端漏洞的欺騙

萬方數(shù)據(jù)

基于客戶端漏洞，結(jié)合社會(huì)工程學(xué)原理，誘使用戶安裝惡意程序。惡意程序是指執(zhí)行用戶所未預(yù)想到的非法功能的軟件［７］。其導(dǎo)入途徑有：誘騙用戶點(diǎn)擊的鏈接圖片或假冒地址的同時(shí)執(zhí)行惡意腳本或下載惡意程序，誘騙用戶下載的程序中附帶惡意插件。對(duì)存在漏洞的合法站點(diǎn)進(jìn)行內(nèi)容注入彈出欺騙窗口等，其后果主要表現(xiàn)為跨站腳本欺騙。

所謂跨站腳本是攻擊者利用漏洞進(jìn)行惡意注入的一段腳本，當(dāng)用戶對(duì)此站點(diǎn)進(jìn)行訪問時(shí)，用戶的瀏覽器會(huì)自動(dòng)執(zhí)行先前注入的惡意代碼，彈出欺騙窗口，因?yàn)檫@些對(duì)話框是用戶在正常網(wǎng)站上經(jīng)常碰到的，自然不會(huì)引起懷疑，而一旦輸入機(jī)密信息。必然被釣魚者竊取。

跨站腳本欺騙有兩種主要的手段［８］。一是將惡意內(nèi)容隱藏于合法站點(diǎn)所存儲(chǔ)的數(shù)據(jù)中。例如商品拍賣廣告等；二是將惡意內(nèi)容嵌入到用戶點(diǎn)擊某一鏈接后所執(zhí)行的ＵＲＬ中，這些ＵＲＬ通常需要執(zhí)行數(shù)據(jù)庫檢索功能，例如郵件中的ＵＲＬ鏈接。

２．２．２基于中間環(huán)節(jié)的攻擊

釣魚者已不滿足于僅在系統(tǒng)客戶端進(jìn)行技術(shù)攻擊，他們還可針對(duì)中間請(qǐng)求一響應(yīng)環(huán)節(jié)實(shí)施攻擊，這種方式隱蔽性更強(qiáng)．危害更廣。

（１）基于路由攻擊

從理論上講，可以通過路由實(shí)施網(wǎng)絡(luò)釣魚。攻擊者可通過篡改數(shù)據(jù)包或者修改路由表中的部分信息，將本要到達(dá)目的地的數(shù)據(jù)包傳遞到釣魚網(wǎng)站。實(shí)現(xiàn)釣魚。其實(shí)現(xiàn)途徑有兩種：一是在數(shù)據(jù)發(fā)送的路徑上篡改數(shù)據(jù)的目的地址到釣魚網(wǎng)站，從而達(dá)到釣魚的目的。這種方式隱蔽性強(qiáng)，難以發(fā)現(xiàn)和控制；二是修改路由表，將應(yīng)該傳遞到正確地址的數(shù)據(jù)包傳遞到網(wǎng)絡(luò)釣魚的路由器中，將相關(guān)數(shù)據(jù)包傳遞給網(wǎng)絡(luò)釣魚網(wǎng)站。這種方法實(shí)施難度大。由于大量的通向正確地址的數(shù)據(jù)包都被路由到了網(wǎng)絡(luò)釣魚網(wǎng)站，正確的網(wǎng)站不能接受到數(shù)據(jù)。容易被發(fā)現(xiàn)。

（２）ＤＮＳ攻擊

ＤＮＳ攻擊也稱Ｐｈａｒｍｉｎｇ。是指干涉域名查詢過程的網(wǎng)絡(luò)釣魚攻擊［７‘?；冢模危悠垓_的網(wǎng)絡(luò)釣魚手段有：

①修改保存在客戶端主機(jī)的ｈｏｓｔｓ文件。ｈｏｓｔｓ文件是存在客戶端中記錄ＤＮＳ域名服務(wù)器中域名與ＩＰ地址對(duì)應(yīng)關(guān)系的緩存文件。其作用是避免每次訪問都必須查詢ＤＮＳ域名服務(wù)器，提高網(wǎng)絡(luò)請(qǐng)求的查詢效率。而攻擊者一旦利用黑客技術(shù)篡改ｈｏｓｔ緩存文件，用戶即使在瀏覽器輸入正確的網(wǎng)址，也于事無補(bǔ)，難逃被釣魚的命運(yùn)。

②修改ＤＮＳ服務(wù)系統(tǒng)配置的數(shù)據(jù)庫文件，將與正確網(wǎng)站的ＵＲＬ配對(duì)的ＩＰ地址改為網(wǎng)絡(luò)釣魚服務(wù)器的ＩＰ地址。每當(dāng)用戶查詢域名服務(wù)器時(shí)。將返回給用戶錯(cuò)誤的網(wǎng)址。

③修改ＤＮＳ緩存。ＤＮＳ緩存是常用的ＵＲＬ和ＩＰ地址對(duì)照表信息．通過攻擊ＤＮＳ緩存，將正確的ＵＲＬ與錯(cuò)誤的ＩＰ地址對(duì)應(yīng)起來，也將會(huì)使用戶訪問正確的ＵＲＬ時(shí)。被引入網(wǎng)絡(luò)釣魚網(wǎng)站。

?

９３

?

鞏榮

王斌君：基于系統(tǒng)工程的網(wǎng)絡(luò)釣魚分類研究

（３）ｃｏｏｋｉｅ攻擊

這種類型的攻擊技術(shù)很隱蔽．即使用戶在瀏覽器手動(dòng)輸入正確的地址，仍會(huì)在不知情中被引向釣魚網(wǎng)站。

Ｃｏｏｋｉｅｓ是ｗｅｂ服務(wù)器置于你硬盤上的一個(gè)非常小的文本文件，當(dāng)你瀏覽某網(wǎng)站時(shí)，記錄你的用戶ＩＤ、密碼、瀏覽過的網(wǎng)頁、停留的時(shí)間等信息。一旦歷史鏈接記錄被惡意程序篡改，將誘使用戶進(jìn)入釣魚者精心設(shè)計(jì)的假冒網(wǎng)站，實(shí)現(xiàn)釣

魚。

２．２．３基于服務(wù)器端的攻擊

釣魚者針對(duì)服務(wù)器的攻擊主要是基于服務(wù)器端的漏洞。攻擊者利用安全漏洞安裝惡意程序后，控制合法服務(wù)器。當(dāng)用戶請(qǐng)求服務(wù)時(shí)，將得到被控服務(wù)器返回的錯(cuò)誤信息，最終把用戶導(dǎo)向釣魚網(wǎng)站。釣魚者基于服務(wù)器端的攻擊手段目前不多，但不排除將來出現(xiàn)新的網(wǎng)絡(luò)釣魚方式。３結(jié)語

本文按照分類法的基本原理，對(duì)復(fù)雜的網(wǎng)絡(luò)釣魚攻擊方式進(jìn)行了系統(tǒng)化分類研究，對(duì)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚手段和理論上可能存在的網(wǎng)絡(luò)釣魚手段進(jìn)行了論述。以便大家對(duì)網(wǎng)絡(luò)釣魚有全面、系統(tǒng)地認(rèn)識(shí)。雖然網(wǎng)絡(luò)釣魚花樣層出不窮，技術(shù)會(huì)不斷翻新，甚至相互結(jié)合形成更復(fù)雜的攻擊手段，但是，通過本文對(duì)網(wǎng)絡(luò)釣魚攻擊本質(zhì)的分析，新的釣魚攻擊方式一定在本文提出的分類框架之內(nèi)。這種研究將為我們進(jìn)一步掌握其攻擊的本質(zhì)特征，建立相應(yīng)防范對(duì)策和體系奠定基礎(chǔ)。

參考文獻(xiàn)

［１］Ｔｈｅ

Ａｎｔｉ—Ｐｈｉｓｈｉｎｇ

Ｗｏｒｋｉｎｇ

Ｇｒｏｕｐ．Ｐｈｉｓｈｉｎｇ

Ａｃｔｉｖｉｔｙ

Ｔｒｅｎｄｓ

Ｒｅｐｏｒｔ

０２／２００８．ｈｔｔｐ：／／、ｖｗｗ．ａｎｔｉｐｈｉｓｈｉｎｇ．

?９４?

萬方數(shù)據(jù)

ｏｒｇ／ｒｅｓｏｕｒｃｅｓ．ｈｔｍｌ．

［２］鄒永剛．ＩＰｖ６環(huán)境下的網(wǎng)絡(luò)通信與仿冒一Ｐｈｉｓｈｉｎｇ一防御技術(shù)研究［Ｄ］．西北工業(yè)大學(xué)，２００７：４０—５０．

［３］倪天華，朱程榮．網(wǎng)絡(luò)釣魚防御方法研究［Ｊ］．計(jì)算機(jī)技

術(shù)與發(fā)展，２００８，１８（９）：１１５—１１７．

［４］俞君立，陳樹年．文獻(xiàn)分類學(xué)［Ｍ］．武漢：武漢大學(xué)出版

社，２００１：３２—６９．［５］

任傳倫，楊義先，馮朝輝．網(wǎng)絡(luò)釣魚攻擊的發(fā)展趨勢(shì)及法律對(duì)策考慮［Ｊ］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２００７：８６—

８７．

［６］

陳涓，郭傳雄．網(wǎng)絡(luò)釣魚攻擊的在線檢測(cè)及防治［Ｊ］．解放軍理工大學(xué)學(xué)報(bào)：自然科學(xué)版，２００７，８（２）：１３４—

１３５．

［７］Ｔｈｅ

ＵＳ

ＤｅｐａｒｔｍｅｎｔｏｆＨｏｍｅｌａｎｄＳｅｃｕｒｉｔｙ，ＳＲＩＩｎｔｅｒｎａ—

ｔｉｏｎａｌＩｄｅｎｔｉｔｙＴｈｅｆｔＴｅｃｈｎｏｌｏｇｙＣｏｕｎｃｉｌ．ｔｈｅ

Ａｎｔｉ—Ｐｈｉｓｈ－

ｉｎｇ

ＷｏｒｋｉｎｇＧｒｏｕｐ．ＴｈｅＣｒｉｍｅｗａｒｅＬａｎｄｓｃａｐｅ：Ｍａｌ—

ｗａｒｅ，Ｐｈｉｓｈｉｎｇ，Ｉｄｅｎｔｉｔｙ

Ｔｈｅｆｔ，ｈｔｔｐ：／／ｗｗｗ．ａｎｔｉｐｈｉｓｈ—

ｉｎｇ．ｏｒｇ／ｒｅｓｏｕｒｃｅｓ．ｈｔｍｌ．

［８］郭敏哲．基于瀏覽器的網(wǎng)絡(luò)釣魚檢測(cè)機(jī)制的研究與實(shí)

現(xiàn)［Ｄ］．北京林業(yè)大學(xué)，２００８：７—１３．［９］ＢｏｏｅｈＧ．Ｏｂｊｅｃｔ－Ｏｒｉｅｎｔｅｄ

Ｄｅｓｉｇｎｗｉｔｈ

Ａｐｐｌｉｃａｔｉｏｎｓ．Ｔｈｅ

Ｂｅｎｊａｍｉｎ／ｌｕｍｍｉｎｇｓ．，１９９１．

［１０］國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心．中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告。２００８．

［１１］

李青巖，李琳．網(wǎng)絡(luò)釣魚攻擊的趨勢(shì)及其防御策略［Ｊ］．福建電腦，２００８（１２）：４３．

［１２］

孔維廣．Ｐｈｉｓｈｉｎｇ攻擊的技術(shù)分析與防范措施［Ｊ］．武漢科技學(xué)院學(xué)報(bào)，２００６，１９（３）：６３—６５．

（責(zé)任編輯陳曉明）