3.3 典型的攻击方法_网络空间安全导论-QQ阅读男生武侠网

书名：网络空间安全导论
作者名：李剑杨军主编
本章字数：9730字
更新时间：2021-09-17 17:38:50

3.3 典型的攻击方法

现在网上的攻击方法多种多样，如图3.11所示为计算机病毒、木马、蠕虫等各种攻击。本节介绍一些典型的攻击方法。

图3.11 各种攻击方法

3.3.1 口令攻击

口令是网络信息系统的第一道防线。当前的网络信息系统大多都是通过口令来验证用户身份、实施访问控制的。当然，也有类似于现在手机上的短信认证、图形认证等功能，但是毕竟这些都是少数，大部分还是用口令认证的。如图3.12所示为登录QQ软件时，软件提示用户输入口令的截图。

图3.12 QQ软件输入口令

口令攻击是指黑客以口令为攻击目标，破解合法用户的口令，或避开口令验证过程，然后冒充合法用户潜入目标网络系统，夺取目标系统控制权的过程。如果口令攻击成功，黑客进入了目标网络系统，便能随心所欲地窃取、破坏和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。口令攻击的主要方法如下。

1.社会工程学(Social Engineering)攻击

社会工程学攻击即通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。例如，有人在国外建了一个冒充国内某家银行的网站，如图3.13所示。这个网站上的所有界面都和该银行真正的网站是一样的(黑客通过抓取真正银行网站网页的方式获取)。然后通过短信、邮件等各种方式让用户输入用户名和密码。这样攻击者就可以在这个假网站后台获取用户的用户名和密码了。

图3.13 伪造的银行登录界面

避免此类攻击的对策是加强用户意识。例如，登录中国建设银行时，我们要看清楚它的网站是“www.ccb.com”。但是有些攻击者往往会做一个假网站，并把网站名改为一个很相近的名称，如“www.cccb.com”“www.ccbb.com”等。

2.猜测攻击

首先，使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。

下面是中国人常用的最弱口令：

000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314、！@#$%^、名字+123。

其中的口令“！@#$%^”是按住〈Shift〉的同时再输入“123456”之后出现的口令。

下面是外国人常用的最弱口令：

password、123456、12345678、qwerty、abc123、monkey、letmein、1234567、trustno1、dragon、baseball、111111、iloveyou、master、sunshine、ashley、bailey、passw0rd、shadow、123123、654321、superman、qazwsx、michael、football。

看到以上弱口令以后，就要注意了，尽量不要使用上面的口令作为自己的口令。

3.字典攻击

如果人工猜测攻击不成功，攻击者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据报道，对于一个有10万个英文单词的集合来说，入侵者不到两分钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。如图3.14所示为LC软件，它可以对操作系统的口令进行字典式攻击。通过使用该工具，可以了解口令的安全性。

图3.14 字典攻击

针对这种攻击的防护措施主要是口令不要取那些在常规字典里能够查到的单词。

4.穷举攻击

如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。针对这种攻击的防护措施主要是设置的口令要足够长，并且复杂。例如，至少8位以上，数字+符号+大小写组合就行了。

5.混合攻击

混合攻击结合了字典攻击和穷举攻击，先进行字典攻击，再进行暴力攻击。

避免以上五类攻击的对策如下：

● 不用汉语拼音、英文单词。

● 不用生日、纪念日、有意义的字符串。

● 使用大小写字母、符号、数字的组合。

● 不要将口令写下来。

● 不要将口令存于计算机文件中。

● 不要在不同系统上使用同一口令。

● 为防止眼明手快的人窃取口令，在输入口令时应确认无人在身边。

● 定期改变口令，至少两个月左右要改变一次。

3.3.2 网络监听

世界上最早的监听器是中国在两千多年前发明的。战国时代的《墨子》一书中就记载了一种叫作“听瓮”的工具，如图3.15所示。这种工具是用陶制成的，大肚小口，把它埋在地下，并在瓮口蒙上一层薄薄的皮革，人伏在上面就可以听到城外方圆数十里的动静。特别是它可以埋在城里的城墙下，可以防止敌方通过挖洞的方式突破城墙的防护。

图3.15 听瓮

在网络空间环境中，网络监听是一种用来监视网络状态、数据流程以及网络上信息传输的管理工具。它可以将网络功能设定成监听模式，这样就可以截获网络上所传输的信息。也就是说，当攻击者登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听的方法可以有效地截获网络上的数据。这是攻击者优先使用的方法。但是网络监听仅能应用于连接同一网段的主机，且通常用来获取用户口令或密码。

网上有许多网络监听工具，例如Wireshark,Sniffer Pro, NetXray，tcpdump等。它们可以轻而易举地截取包括口令、账号等敏感信息。如图3.16所示为使用Sniffer Pro监听工具监听到的口令信息。

图3.16 Sniffer Pro监听到口令信息

针对网络嗅探攻击的防范措施，主要包括如下方法。

● 安装VPN网关，防止入侵者对网络信道进行嗅探。

● 对内部网络通信采取加密处理。

● 采用交换设备进行网络分段。

● 采取技术手段发现处于混杂模式的主机，即发掘“鼹鼠”。

3.3.3 缓冲区溢出攻击

缓冲区溢出是指用户向计算机缓冲区内填充的数据位数超过了缓冲区本身的容量时，溢出的数据覆盖了合法的数据。理想的情况是：检测程序会自行检查数据长度，并且不允许输入超过缓冲区长度的字符。然而，绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下巨大的隐患。操作系统中使用的缓冲区，又称为“堆栈”。在各个操作系统进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出的情况。

缓冲区溢出攻击则是利用软件的缓冲区溢出漏洞进行的攻击。缓冲区溢出漏洞是一种非常普遍而且非常危险的漏洞，它在操作系统和应用软件中广泛存在。利用缓冲区溢出攻击，能导致程序运行失败、系统关机、重新启动、内存异常、CPU运行异常等严重后果。

例如，图3.17中的一段程序定义了一个名为buffer，长度为16的字符数组。如果在将字符串str复制到buffer的时候，长度大于16，那么就会出现缓冲区溢出现象。

图3.17 缓冲区溢出程序

攻击者就是利用类似这样的缓冲区溢出来进一步攻击的。这里只是举一个小例子，说明一下什么是缓冲区溢出。实际上的缓冲区溢出攻击要复杂得多，感兴趣的读者可以查找相关资料。

2003年爆发的“冲击波”病毒就是一个利用缓冲区溢出漏洞进行攻击的例子。“冲击波”病毒正是利用了2003年7月21日公布的“DCOM/RPC接口中缓冲区溢出”漏洞来进行传播的。该病毒在当年8月爆发。病毒运行时会不停地利用IP扫描技术来查找网络上操作系统为Windows 2000或Windows XP的计算机，找到以后就利用DCOM/RPC缓冲区漏洞攻击该系统。一旦攻击成功，病毒将会被传播到对方计算机中并进行复制，使系统操作出现异常、不停地重启，甚至会导致系统崩溃。只要那时的计算机上有RPC服务，并且没有给系统打补丁，就都会存在RPC漏洞。感染“冲击波”病毒后，系统不断要求关机，如图3.18所示。

图3.18 “冲击波”病毒要求系统关机

据国家计算机病毒应急处理中心统计，在“冲击波”病毒出现24小时内，全球有140万个网络地址(相当于140万台以上计算机)被入侵。在“冲击波”病毒出现的4个工作日内，该中心收集到全国范围内的61000多个案例，受感染的计算机超过100万台，全国所有地区几乎都有案例报告。它给全球互联网所带来的直接损失，在几十亿美元左右。

缓冲区溢出攻击占了远程攻击的大多数，这种攻击可以使一个匿名的Internet用户获得一台主机的部分或全部控制权。如果能有效消除缓冲区溢出的漏洞，则很大一部分安全威胁可以得到有效缓解。下面总结的四种方法，可以保护缓冲区免受缓冲区溢出的攻击和影响。

（1）通过操作系统的检测使得缓冲区溢出不可执行，从而阻止攻击者植入攻击用的代码。

（2）强制编写正确的代码。

（3）利用编译器的边界检查实现缓冲区保护。这种方法使得缓冲区溢出的情况不大可能出现，从而完全消除了缓冲区溢出威胁，但是相对而言代价也比较大。

（4）在程序指针失效前进行完整性的检查。虽然这种方法不能使所有的缓冲区溢出失效，但可以阻止绝大多数的缓冲区溢出攻击。

3.3.4 拒绝服务攻击

1.拒绝服务攻击简介

拒绝服务攻击，英文名称是Denial of Service，简称DoS，即拒绝服务。DoS攻击即攻击者想办法让目标主机或系统拒绝提供服务或资源访问，这些资源包括CPU、磁盘空间、内存、进程、网络带宽等，从而阻止正常用户的访问。下面以SYN Flood攻击为例介绍DoS攻击。

SYN Flood是一种常见的DoS攻击方式。它是利用了TCP协议的缺陷，发送大量的伪造的TCP连接请求，使得被攻击方CPU满负荷或内存资源耗尽，最终导致被攻击方无法提供正常的服务。

要明白这种攻击原理，还要从TCP连接的建立说起。TCP和UDP不同，它提供一种基于连接的、可靠的字节流服务。想要双方通信就必须先建立一条TCP连接。这条连接的两端只有通信的双方。TCP连接的建立过程如图3.19所示。

图3.19 正常的三次握手过程

首先，请求端（发起方）会发送一个带有SYN标志位的报文，SYN（Synchronize）即同步报文。该报文中含有发送端的初始序号ISN（Initial Sequence Number）和发送端使用的端口号，其作用就是请求建立连接，也叫SYN请求。

第二步，应答方收到这个请求报文后，就会回一个SYN+ACK的报文，同时这个报文中也包含服务器的ISN以及对请求端的确认序号，这个确认序号的值是请求端的序号值+1，表示请求端的请求被接受。

第三步，发起方收到这个报文后，就会回应给应答方一个ACK报文，到此一个TCP连接就建立了。

上面也就是典型的TCP三次握手过程（Three-way Handshake）。问题就出现在这最后一次的确认里，如果由于请求端的某种异常（死机、掉线、有人故意而为），使得服务器没有收到请求端发送的回应ACK。那么第三次握手没有完成，服务器就会向请求端再次发送一个SYN+ACK报文，并等待一段时间后丢弃这个未完成的连接。这个时间长度称为SYN Timeout，一般来说这个时间是分钟的数量级（30s~2min）；一个用户出现异常导致服务器等待1min是没有什么问题的。如果有恶意攻击者采用这种方式，控制大量的肉鸡来模拟这种情况，服务器端会由于维护一个大量的半连接表而消耗大量的CPU和内存资源。服务器会对这个半连接表进行遍历，然后尝试发送SYN+ACK来继续TCP连接的建立。实际上如果客户的TCP协议栈不够强大，最后的结果就是服务器堆栈溢出崩溃。即使服务器端足够强大，服务器也会因为忙于处理攻击者的TCP连接请求而无瑕理会正常的客户的请求，此时从客户端来看，服务器就已经失去响应。如果这样的半连接是攻击者发起的，这时我们称服务器遭受了SYN Flood攻击。如图3.20所示为攻击者伪造SYN请求，形成了SYN Flood攻击。

图3.20 攻击者伪造SYN请求

由于攻击者大量占用了受害者的资源，正常用户就不能访问正常的服务了。如图3.21所示。

图3.21 正常用户不能访问

针对这种攻击的防护，主要是通过防火墙来实现的。具体来说防火墙如果发现大量的这种半连接，就可以禁止它们通行，并且把相关的IP列为黑名单。这样以后类似的攻击就不会发生了。如图3.22所示为防火墙防范SYN Flood攻击。

图3.22 防火墙防范SYN Flood攻击

2.分布式拒绝服务攻击简介

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击，是使用网络上两个或两个以上被攻陷的计算机作为“僵尸”向特定的目标发动“拒绝服务”式攻击。这种攻击是以DoS攻击为基础，但是效果要比DoS攻击强很多。DDoS按拒绝的对象可以分为带宽消耗型攻击和资源消耗型攻击，如图3.23所示。

图3.23 DDoS攻击的分类

DDoS攻击的基本步骤如下。

第1步：攻击者使用扫描工具扫描大量主机以寻找潜在入侵目标，如图3.24所示。

图3.24 扫描

第2步：攻击者设法入侵有安全漏洞的主机并获取控制权，这些主机将被用于放置后门、守护程序、攻击者程序等，如图3.25所示。

图3.25 获取控制权

第3步：攻击者在得到入侵计算机清单后，从中选出建立网络所需要的主机，放置已编译好的守护程序，并向被控制的计算机发送命令，如图3.26所示。

图3.26 放置已编译好的守护程序

第4步：攻击者发送控制命令给主机，准备启动对目标系统的攻击，如图3.27所示。

第5步：主机发送攻击信号给被控制计算机开始对目标系统发起攻击，如图3.28所示。

第6步：目标系统被无数个伪造的请求所淹没，从而无法对合法用户进行响应，DDoS攻击成功。如图3.29所示，正常用户无法访问。

以上为DDoS攻击的详细步骤。DDoS攻击的效果非常惊人。由于整个过程是自动化的，攻击者能够在5s内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机，并使某一台主机可能遭受到1000 MB/s数据量的猛烈攻击。这一数据量相当于1.04亿人同时拨打某公司的一个电话号码，那么正常用户想访问这部电话就访问不成了。

图3.27 发送控制命令

图3.28 攻击目标

3.拒绝服务攻击的防护

(1)定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客入侵的重灾区，因此对这些主机本身加强安全是非常重要的。

(2)骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，将攻击导向一些牺牲主机，这样可以保护真正的主机不瘫痪。

（3）用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源让黑客攻击，黑客在不断访问用户、夺取用户资源的同时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支持下去。

图3.29 正常用户无法访问

(4)充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。

（5）使用Express Forwarding可以过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以对封包Source IP和Routing Table做比较，并加以过滤。

（6）使用单播反向通路转发（Unicast Reverse Path Forwarding）检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址的方式来迷惑用户，很难查出它来自何处，因此，利用单播反向通路转发可减少假IP地址的出现，有助于提高网络安全性。

(7)过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定IP地址，而是Internet内部保留的区域性IP地址，所以应该把它们过滤掉。

(8)限制SYN/ICMP流量。用户应在路由器上设置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，就说明不是正常的网络访问，而是有黑客正在入侵。

3.3.5 SQL注入攻击

1. SQL注入攻击简介

SQL注入攻击是攻击者对数据库进行攻击的常用方法之一。随着B/S模式应用开发的广泛使用，采用这种模式编写的应用程序也越来越多。然而由于程序员之间的水平及经验也存在差距，很多程序员在编写代码的时候，没有对用户输入数据的合法性进行验证，使应用程序存在许多安全隐患。攻击者可以提交一段用SQL语言编写的数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入攻击（SQL Injection）。SQL注入攻击会导致的数据库安全风险包括刷库、拖库、撞库。

2. SQL注入攻击的原理

例如，某网站的登录验证的SQL查询代码如下：

当恶意攻击者填入

与

时，将导致原本的SQL字符串被填为

也就是实际上运行的SQL命令会变成下面这样的

因此，攻击者就可以达到没有账号密码，也可以登录网站的目的。所以SQL注入攻击俗称为攻击者的填空游戏。

3. SQL注入攻击的实现

目前的SQL注入攻击不用自己编写软件，网上有很多这样的工具，例如BSQL Hacker、Pangolin、Aqlmap、Havij、Enema等。如图3.30所示为SQL注入工具BSQL Hacker。

BSQL Hacker注入工具是由Portcullis实验室开发的一个SQL自动注入工具（支持SQL盲注）。它可以自动对Oracle和MySQL等数据库进行攻击，并自动提取数据库的数据和架构。

4. SQL注入攻击的危害

SQL注入攻击的危害是非常大的。根据媒体报道，2011年12月21日，有多家互联网站的用户数据库被黑客公开，超过5000万个用户账号和密码在网上流传。2011年12月21日，某专业网站数据库开始在网上被疯狂转发，包括600余万个明文的注册邮箱和密码泄露，大批受影响用户为此连夜修改密码。此后，178游戏网等5家网站的用户数据库又被相继公开，更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”，从而将2011年末的密码危机推向高峰。

5. SQL注入攻击的防护

SQL注入攻击属于数据库安全攻击方法之一，可以通过数据库安全防护技术实现有效防护，数据库安全防护方法与技术包括数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

图3.30 BSQL注入攻击工具

3.3.6 木马攻击

1.木马简介

传说希腊军队包围特洛伊城久攻不下，于是有人想到了做一只大木马，里面藏着一些士兵。然后假装撤退，将木马丢弃在特洛伊城下。等特洛伊人把木马拉进城后，晚上士兵出来打开城门，把希腊军队放进来攻破了特洛伊城。如图3.31所示为特洛伊木马原型图。

图3.31 特洛伊木马原型图

在网络安全界，木马是特洛伊木马的简称。木马程序可以直接侵入用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等，诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。

Windows下的木马包括Netbus、subseven、BO、冰河、网络神偷等。UNIX下的木马则包括Rhost ++、Login后门、rootkit等。

以冰河木马为例，其不同版本的文件图标如图3.32所示。以冰河木马6.0为例，其服务端大小为182KB，客户端大小为451KB。

图3.32 不同版本冰河木马的文件图标

完整的木马程序一般由两部分组成：一个是服务器端，另一个是客户端（也叫控制器端）。“中了木马”就是指安装了木马的服务器端程序。若你的计算机被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的计算机，为所欲为。这时你计算机上的各种文件、程序，以及正在使用的账号、密码就无安全可言了。这里注意受害者安装的是服务器端，攻击者用的是客户端，不能反了。如果反了就被别人控制了。如图3.33所示为冰河木马6.0版本的界面。它的功能非常强大，可以抓取或控制屏幕、发送密码、删除文件等。

图3.33 冰河木马6.0版

2.木马的种类

(1)破坏型。这类木马唯一的功能就是破坏并且删除文件，可以自动删除计算机中的Word、DLL、INI、EXE等重要文件。

(2)密码发送型。可以获取用户的许多密码并把它们发送到指定的邮箱。很多人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便。但许多木马软件可以寻找到这些文件，把它们发送到黑客手中。也有些木马软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

(3)远程访问型。如果有人运行了服务端程序，一旦攻击者知道了服务端的IP地址，就可以实现远程控制。这样可以观察受害者正在干什么，从而达到监视某个计算机操作的目的。

(4)键盘记录木马。这种木马程序只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。它会随着Windows的启动而启动，并提供在线和离线记录这样的选项，可以分别记录受害者在线和离线状态下敲击键盘时的按键。也就是说受害者按过什么按键，木马程序都能知道，从这些按键中很容易就会得到受害者的密码甚至是银行卡账号等有用信息。

(5)DoS攻击木马。随着DoS攻击越来越广泛，被用作DoS攻击的木马程序也越来越多。攻击者入侵一台计算机后，会向其植入DoS攻击木马程序，这台计算机日后就成为攻击者进行DoS攻击的得力助手了。所以，这种木马程序的危害不是体现在被感染的计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机。

3.木马的防范

(1)检测和寻找木马隐藏的位置。木马侵入系统后，需要找一个安全的地方选择适当的时机进行攻击，因此只有找到和掌握木马藏匿位置，才能最终清除木马。木马经常会集成到程序中，藏匿在系统中，伪装成普通文件或者添加到计算机操作系统的注册表中，还有的会嵌入在启动文件中，一旦计算机启动，这些木马程序也将运行。

(2)防范端口。检查计算机用到什么样的端口，正常运用的是哪些端口，而哪些端口不是正常开启的；了解计算机端口状态，哪些端口目前是连接的，特别注意这种开放是否正常；查看当前的数据交换情况，重点注意哪些数据交换比较频繁，是否属于正常数据交换。关闭一些不必要的端口，例如，7626端口会经常被冰河木马使用，可以考虑关闭它。

(3)删除可疑程序。对于非系统的程序，如果不是必要的，完全可以删除；如果不能确定，则可以利用一些查杀工具进行检测。

(4)安装防火墙。防火墙在计算机系统中起着不可替代的作用，它保障计算机的数据流通，保护着计算机的安全通道，对数据进行管控可以根据用户需要自定义，防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。

3.3.7 社会工程学攻击

社会工程学攻击是一种利用人的弱点，以顺从人的意愿、满足人的欲望的方式，让受害者上当受骗的方法。

社会工程学的基本攻击目标和其他攻击方法基本相同，目的都是为了获得目标系统的未授权访问路径或重要信息，从事网络入侵、信息盗取、身份盗取，或者仅仅是扰乱系统或网络，或是为了骗取受害人的钱财等。

下面是一个虚拟的社会工程学攻击的例子。某人在玩联众游戏的时候，突然有消息弹出声称“中奖”了。中奖信息可以在网站www.ourgame888.com上看到。打开这个网站如图3.34所示，它和真正的联众网站几乎没有任何区别，只是上面多了一个“有奖活动专区”。

图3.34 “中奖”网站

进入“有奖活动专区”，上面说明奖品为8000元现金和价值14900元的LG笔记本计算机，如图3.35所示；在“领奖说明”中说，要获得这些奖品和奖金必须先给承办方688元的手续费用，如图3.36所示；这次活动还有公证人叫“孙世江”，如图3.37所示；还有联众公司的“网络文化经营许可证”，如图3.38所示；最后必须填写反馈信息，如图3.39所示。

这是一起非常典型的社会工程学攻击事件。如果不认真分析，很容易受骗。下面做一个详细的分析。细心的话，会发现这里有很多疑点。

（1）打开真正的联众网站www.ourgame.com，如图3.40所示。会发现它和上面的假联众网站除了“有奖活动专区”有区别以外，“在线游戏”人数也不一样。真正联众网站上的在线游戏人数是变化的，而假联众网站上的在线游戏人数却是不变的。