了解你的敌人 网络钓鱼攻击的实现过程

核心提示： 从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，了解你的敌人 网络钓鱼攻击的实现过程(10)，并且同时以多个著名的组织结构为目标，同时数据也显示许多电子邮件用户被引诱访问假冒组织机构（如在线银行和商务网站）的钓鱼网站，攻击者并没有在蜜罐上安装 Ro

从这两个案例中的数据表明钓鱼者是非常活跃并且具有组织性的，在多个被攻陷的主机中快速地移动，并且同时以多个著名的组织结构为目标。同时数据也显示许多电子邮件用户被引诱访问假冒组织机构（如在线银行和商务网站）的钓鱼网站，网络钓鱼攻击已经给广大的互联网用户带来了安全风险。

第二种网络钓鱼技术－通过端口重定向钓鱼

在 2004 年 11 越，德国蜜网项目组部署了包含一个 Redhat Linux 7.3 蜜罐的经典 第二代蜜网。虽然安装的是相当旧的操作系统版本，攻击者也能够非常容易就能攻破，但它令人惊讶地经过了两个半月后才被首次成功攻陷－这和以上提及案例中讨论的蜜罐快速被攻陷的情况形成显著的反差。更多关于此趋势的信息可以在“了解你的敌人”系列文章中的“ 了解你的敌人：趋势分析 ”中可以找到。

在 2005 年 1 月 11 日 ，一个攻击者成功地攻陷了这台蜜罐，使用了针对 Redhat Linux 7.3 缺省安装存在的 OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability 的攻击脚本。此案例不寻常的是当攻击者获得被攻陷主机的访问权后，他并没有直接上传钓鱼网站内容。取而代之的是，攻击者在蜜罐上安装并配置了一个端口重定向服务。

这个端口重定向服务被设计成将发往该蜜罐网站服务器的 HTTP 请求以透明的方式重新路由到另外一个远程的网站服务器，这种方式潜在地使得对钓鱼网站内容更难追踪。攻击者下载并在蜜罐上安装了一个称为 redir 的工具，此工具是一个能够透明地将连入的 TCP 连接转发到一个远程的目标主机的端口 重定向器。在此次案例中，攻击者配置该工具将所有到蜜罐 TCP 80 端口（ HTTP ）的流量重定向到一个位于 中国 的远程网站服务器的 TCP 80 端口。有意思的是，攻击者并没有在蜜罐上安装 Rootkit 以隐藏他的存在，这也说明攻击者并没有把被攻陷的主机的价值看的很重，同时并不担心被检测到。