防护网络欺骗攻击有什么技巧
防护网络欺骗攻击的技巧如下:
MAC地址绑定,使网络中每一台计算机的IP地址与硬件地址一一对应,不可更改。
使用静态ARP缓存,用手工方法更新缓存中的记录,使ARP欺骗无法进行。
使用ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
使用ARP欺骗防护软件,如ARP防火墙。
及时发现正在进行ARP欺骗的主机并将其隔离。
使用最新版本DNS服务器软件并及时安装补丁。
关闭DNS服务器的递归功能:DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其它服务器获得查询信息并将它发送给客户机,这两种查询方式称为递归查询,这种查询方式容易导致DNS欺骗。
限制区域传输范围:限制域名服务器做出响应的地址、限制域名服务器做出响应的递归请求地址、限制发出请求的地址。
限制动态更新。
采用分层的DNS体系结构。
配置网络浏览器使它总能显示目的URL,并且习惯查看它。
检查源代码,如果发生了URL重定向,就一定会发现。不过,检查用户连接的每一个页面的源代码对普通用户来说是不切实际的想法。
使用反网络钓鱼软件。
禁用JavaScript、ActiveX或者任何其他在本地执行的脚本语言。
确保应用有效和能适当地跟踪用户。无论是使用cookie还是会话ID,都应该确保要尽可能的长和随机。
培养用户注意浏览器地址线上显示的URL的好习惯。培养用户的安全意识和对开发人员的安全教育。
限制用户修改网络配置;
进行入口过滤,不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址;
进行出口过滤,离开本单位的任何合法数据包须有一个源地址,并且它的网络部分与本单位的内部网络相匹配。
进行加密,如果攻击者不能读取传输数据,那么进行会话劫持攻击也是十分困难的;
使用安全协议,像SSH(Secure Shell)这样的协议或是安全的Telnet都可以使系统免受会话劫持攻击;
限制保护措施,允许从网络上传输到用户单位内部网络的信息越少,那么用户将会越安全,这是个最小化会话劫持攻击的方法。