Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息，本网段的dhcp server回送dhcp offer消息，客户段再发送dhcp request消息，声明自己即将使用的ip地址，server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能，凡是不信任的端口（信任端口就是dhcp server使用的端口，需独立配置），都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。 在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping，这样所有端口都是非信任端口，都将丢弃dhcp offer报文，如果是使用三层交换机提供dhcp服务，就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住：接入层交换机需支持dhcp snooping功能；信任端口是在物理端口下配置（包括trunk级联端口） 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址，耗费dhcp server地址池，从个人达到拒绝服务攻击的目的。一般用两种方法，但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池，只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加，这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合，认证系统首先对MAC地址进行第一次认证，只有MAC地址是合法的，才允许DHCP Sever分配IP地址给终端，这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要，不希望用户自己设定ip地址来上网，也就是说限制用户只能动态获取地址才能上网，自己固定地址不能上网。这种就相对比较简单，不需要在接入层上做什么设置，也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法 这里必须还是先在三层交换机上启用ip dhcp snooping功能 同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip，而是自己设置ip，那么它就不会被dhcp snooping捕获到，当然所有的该ip地址发送的arp请求都会被网关拒绝掉的（因为源，目的mac和ip地址都是不合法的，自然被认为是非法的arp请求）。但是固定ip时是可以跟本局域网内其它机器通信的，只是不能通过arp协议学习到网关的mac地址。 注：以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况：一是伪造网关去欺骗网内其它主机；而是伪造其它主机去 欺骗网关。当然更严重的是两种情况同时存在，并开始数据转发功能，这就是一种中间 人攻击（双方欺骗），可以嗅探数据包（代理arp功能跟此类似，很多计费网关和一些透明防火墙就利用了代理arp功能）。从某种意义上说，arp欺骗就是一种代理arp。 神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关，这个acl就是限制该端口下不允许发送网关地址的arp通告报文，这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下： 13，14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然，如果知道某个具体端口是什么IP地址，那么就可以限制该端口只能发送该IP的arp通告是最好了，这就可以完全杜绝arp欺骗。但明显可操作性差。 另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac，同时在网关上静态绑定IP＋mac。不过这种办法不如前面办法好，它不能防止局域网内部的arp欺骗。 如果采取的是动态获取ip地址，神码交换机有个新特性，能完全控制arp欺骗。可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；管理复杂度低，交换机配置简单并且基本不需要变更；支持用户移动接入，交换机可以自动检测到用户接入位置并正确转发用户数据； ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip，需要ip＋mac＋端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多，先配置ip dhcp snooping 再配置ip arp inspection,此时，客户端就应该没办法伪造其它主机去伪造网关，因为这些伪造的arp reply报文在网关看来都是非法的，自然会拒绝。至于伪造网关的防治，大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文 数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥，将会影响性能，严重的将会是交换机崩溃，因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治，那就只能选择port-security了，虽然不能满足移动性的要求。 针对目前学校主干是cisco交换机，接入层品牌太杂，档次参差不齐，用户自动从cisco三层交换机上获取地址上网的情况，我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server，还得升级接入层交换机。

脸活体验证是人脸识别过程中重要的一环，主要区分真实的人脸与假脸图像，能够识别通过纸张打印，屏幕翻拍，3D模型等场景的欺骗行为。我们在算法设计阶段，尝试了不同的方法，包括SVM，LBP，深度学习等，针对单一场景或者摄像头，能够获得不错的效果，但是没有得到一个能够兼容多种摄像头的活体算法，我们将我们训练的其中一个模型开放出来，逆光等情况下效果不是很好，可以作为参考。 依赖 基于mobilenet-0.5 OpenCV 3.4.3以上 MTCNN人脸检测 凯拉斯，TF Python3 运行 python src / demo.py

自动侦测 管理员登记完或软件自动检测到所有合法的主机后，可在软件中作出设定，拒绝所有未登记的主机接入网络。一旦有未登记主机接入，软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录，并可采用声音、向指定主机发消息等多种方式报警，还可以根据管理员的设定，自动对该主机采取IP冲突、与关键主机隔离、与网络中所有其它主机隔离等控制措施。 限定主机IP 管理员可对每台主机指定一个IP或一段IP，当该主机采用超出范围的IP时，软件会判定其为“非法用户”，自动采用管理员事先指定的方式对其进行控制，并将其MAC、IP、主机名作记久记录备查。管理员可事先指定对非法用户实行IP冲突、与关键主机隔离、与其它所有主机隔离等管理方式。 [1] 限定连接时段 管理员可指定每台主机在每天中允许与网络连接的时段或不允许与网络连接的时段（可指定两个时段，如允许每天8:30-12:00和13:30-17:00与网络连接），并可指定每一用户是否被允许在每个周六、周日与网络连接。对违反规定的用户，软件判其为非法用户，自动记录并采用管理员事先指定的方式进行管理。管理方式同样可为IP冲突、与关键主机隔离、与其它所有主机隔离等。 该软件的主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性。管理员只需依据实际情况，设置各主机的权限及违反权限后的管理方式，即可实现某些具体的功能，如禁止某些主机在指定的时段访问外网或彻底禁止某些主机访问外网；保护网络中关键主机，只允许指定的主机访问等等。 [2]

GNSS-欺骗-检测 GNSS欺骗检测系统 这个开源项目是关于检测可以被 GPS/GLONASS 模拟器接收的“欺骗”GPS 和 GLONASS 信号。 #什么需要开始我需要从 GLONASS 或 GPS 模拟器接收信号的 GPS/GLONASS 接收器的 NMEA 数据转储。 在此 NMEA 日志中必须包含 $GPGSV 字符串。 因为我会分析卫星信号的电平并尝试检测“欺骗”。 我有 GPS 接收器，并且有从它转储 NMEA 的经验，所以我有真实的信号。 但是我没有转储我的 GPS 接收器可以从生成欺骗信号的 GPS 模拟器获得的欺骗信号，所以我无法制作图表和软件测试。 在一项相关工作中讨论过，如果我们有欺骗信号的 C/N0 值，我们就可以检测欺骗。 在 NMEA 规范中，C/N0 是卫星的 SNR 值。 也许我可以以编程方式生成欺骗信号，但我认为这不会是一个干净的实验。 如果将实

凯文·米特尼克的《欺骗的艺术》中文版, 社会工程学方面的，不用多介绍了吧 中文版的，网上多为英文版

欺骗者 espoofer是一个开源测试工具，可以绕过电子邮件系统中的SPF，DKIM和DMARC身份验证。 它可以帮助邮件服务器管理员和渗透测试人员检查目标电子邮件服务器和客户端是否容易受到电子邮件欺骗攻击或是否可以被滥用来发送欺骗电子邮件。 图1.我们在Gmail上的欺骗攻击案例（固定的） 为什么要建立这个工具？ 电子邮件欺骗对个人和组织都是一个巨大的威胁（ ， ）。 为了解决此问题，现代电子邮件服务和网站采用了SPF，DKIM和DMARC等身份验证协议来防止电子邮件伪造。 我们的最新研究表明，这些协议的实现遇到许多安全问题，可以利用这些安全问题绕过SPF / DKIM / DMARC保护。 图1说明了我们的一种欺骗攻击，它绕过了Gmail中的DKIM和DMARC。 有关更多技术细节，请参阅我们的《 或《 。 Black Hat USA 2020幻灯片（PDF）： USEN

ARP工具ARP欺骗_WinArpSpoof 0.5

MARS-ARP欺骗工具，并且包含了低版本的winpcap，已经测试过可用，如果已经装了高版本winpcap须先卸载

ARP欺骗检测工具此检测工具针对流行的局域网ARP欺骗，ARP欺骗检测工具可以有效的定位到发起ARP欺骗的主机。