web安全实践（14）嗅探，arp欺骗，会话劫持与重放攻击（下）

《web安全实践（14）嗅探，arp欺骗，会话劫持与重放攻击（下）》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、Web安全实践（14）嗅探，arp欺骗，会话劫持与重放攻击（下）～教育资源库　　正文　　14.1什么是重放攻击　　所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。　　攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。从这个解释上理解，加密可以有效防止会话劫持，但是却防止不了重放攻击。重放攻击任何网络通讯过程中都可能发生。　　14.2重放攻击的类型　　l根据消息的：　　协议轮内攻击：一个协议轮内消息重放　　协议轮外攻击：一个协议不同轮次消息重放　　根据消息的去向：　　偏转攻击：改变消息的去向　　直接攻击：将消

2、息发送给意定接收方其中偏转攻击分为：　　反射攻击：将消息返回给发送者　　第三方攻击：将消息发给协议合法通信双方之外的任一方　　典型例子：　　14.3重放攻击与cookie　　我们监听http数据传输的截获的敏感数据大多数就是存放在cookie中的数据。其实在dash;应答　　现时──与当前事件有关的一次性随机数N（互不重复即可）　　基本做法──期望从B获得消息的A事先发给B一个现时N，并要求B应答的消息中包含N或f(N)，f是A、B预先约定的简单函数　　原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的　　时钟要求──无　　适用性──用于连接性的对话

3、　　14.5重放攻击演示　　本来是做了个演示的，但受到了相关人士的阻拦，这里就不发布了。如果你有相关的实例，可以贡献出来做个补充。　　系列文章：　　web安全实践（1）基于http的架构分析常用工具　　Web安全实践（2）基于http的web架构剖析　　web安全实践（3）再谈基于http的服务器架构剖析　　Web安全实践（4）c#简单http编程示例　　Web安全实践（5）web应用剖析之全局任务和自动化工具　　Web安全实践（6）web应用剖析之信息提炼　　Web安全实践（7）web服务器简介及常用攻击软件　　Web安全实践（8）攻击iis6.0　　Web安全实践（9）攻击

4、apache　　Web安全实践（10）攻击webl12下一页友情提醒：，特别！ogic　　Web安全实践（11）用户名枚举　　Web安全实践（12）密码探测　　Web安全实践（13）嗅探，arp欺骗，会话劫持与重放攻击（上）　　Web安全实践（15）CSRF（跨站请求伪造）-从校内的插入图片说起上一页12友情提醒：，特别！