IP地址盜用技術及防範措施!
IP地址盜用技術及防範措施!
一、IP地址盜用方法分析
IP地址盜用是指盜用者使用未經授權的IP地址來配置網上的電腦。目前IP地址盜用行為非常常見,許多「不法之徒」用盜用地址的行為來逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網路正常用戶的權益,並且給網路安全、網路的正常執行帶來了巨大的負面影響。IP地址的盜用方法多種多樣,其常用方法主要有以下幾種:
1、靜態修改IP地址
對於任何一個TCP/IP實現來 說,IP地址都是其用戶配置的必選項。如果用戶在配置TCP/IP或修改TCP/IP配置時,使用的不是授權機構分配的IP地址,就形成了IP地址盜用。由於IP地址是一個邏輯地址,是一個需要用戶設置的值,因此無法限制用戶對於IP地址的靜態修改,除非使用DHCP服務器分配IP地址,但又會帶來其它管理問題。
2、成對修改IP-MAC地址
對於靜態修改IP地址的問題,現在很多單位都採用靜態路由技術加以解決。針對靜態路由技術,IP盜用技術又有了新的發展,即成對修改IP-MAC地址。MAC地址是設備的硬體地址,對於我們常用的以太網來說,即俗稱的電腦網卡地址。每一個網卡的MAC地址在所有以太網設備中必須是唯一的,它由IEEE分配,是固化在網卡上的,一般不能隨意改動。但是,現在的一些相容網卡,其MAC地址可以使用網卡配置程式進行修改。如果將一台電腦的IP地址和MAC地址都改為另外一台合法主機的IP地址和MAC地址,那靜態路由技術就無能為力了。另外,對於那些MAC地址不能直接修改的網卡來說,用戶還可以採用軟件的辦法來修改MAC地址,即通過修改底層網路軟件達到欺騙上層網路軟件的目的。
3、動態修改IP地址
對於一些黑客高手來說,直接編寫程式在網路上收發資料包,繞過上層網路軟件,動態修改自己的IP地址(或IP-MAC地址對),達到IP欺騙並不是一件很困難的事。
目前發現IP地址盜用比較常用的方法是定期掃瞄網路各路由器的ARP(address resolution protocol)表,獲得當前正在使用的IP地址以及IP-MAC對照關係,與合法的IP地址表,IP-MAC表對照,如果不一致則有非法訪問行為發生。另外,從用戶的故障報告(盜用正在使用的IP地址會出現MAC地址衝突的提示)也可以發現IP地址的盜用行為。在此基礎上,常用的防範機制有:IP-MAC捆綁技術、代理服務器技術、IP-MAC-USER認證授權以及透明網關技術等。
這些機制都有一定的局限性,比如IP-MAC捆綁技術用戶管理十分困難;透明網關技術需要專門的機器進行資料轉發,該機器容易成為瓶頸。更重要的是,這些機制都沒有完全從根本上防止IP地址盜用行為所產生的危害,只是防止地址盜用者直接訪問外部網路資源。事實上,由於IP地址盜用者仍然具有IP子網內完全活動的自由,因此一方面這種行為會干擾合法用戶的使用:另一方面可能被不良企圖者用來攻擊子網內的其他機器和網路設備。如果子網內有代理服務器,盜用者還可以通過種種手段獲得網外資源。
二、防範技術
針對IP盜用問題,網路專家採用了各種防範技術,現在比較通常的防範技術主要是根據TCP/IP的層次結構,在不同的層次採用不同的方法來防止IP地址的盜用。
1、交換機控制
解決IP地址的最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制:使用交換機提供的連接阜的單地址工作模式,即交換機的每一個連接阜只允許一台主機通過該連接阜訪問網路,任何其它地址的主機的訪問被拒絕。但此方案的最大缺點在於它需要網路上全部採用交換機提供用戶接入,這在交換機相對昂貴的今天不是一個能夠普遍採用的解決方案。
2、路由器隔離
採用路由器隔離的辦法其主要依據是MAC地址作為以太網卡地址全球唯一不能改變。其實現方法為通過SNMP協議定期掃瞄校園網各路由器的ARP表,獲得當前IP和MAC的對照關係,和事先合法的IP和MAC地址比較,如不一致,則為非法訪問。對於非法訪問,有幾種辦法可以制止,如:
a.使用正確的IP與MAC地址映射覆蓋非法的IP-MAC表項;
b.向非法訪問的主機發送ICMP不可達的欺騙包,干擾其資料發送;
c.修改路由器的存取控制列表,禁止非法訪問。
路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得,而採用靜態設置。這樣,當非法訪問的IP地址和MAC地址不一致時,路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC地址,對這樣的IP地址盜用它就無能為力了。
3、防火牆與代理服務器
使用防火牆與代理服務器相結合,也能較好地解決IP地址盜用問題:防火牆用來隔離內部網路和外部網路,用戶訪問外部網路通過代理服務器進行。使用這樣的辦法是將IP防盜放到應用層來解決,變IP管理為用戶身份和口令的管理,因為用戶對於網路的使用歸根結底是要使用網路應用。這樣實現的好處是,盜用IP地址只能在子網內使用,失去盜用的意義;合法用戶可以選擇任意一台IP主機使用,通過代理服務器訪問外部網路資源,而無權用戶即使盜用IP,也沒有身份和密碼,不能使用外部網路。
使用防火牆和代理服務器的缺點也是明顯的,由於使用代理服務器訪問外部網路對用戶不是透明的,增加了用戶操作的麻煩;另外,對於大數量的用戶群(如高校的學生)來說,用戶管理也是一個問題。
4、利用連接阜定位及時阻斷IP地址盜用
交換機是局域網的主要網路設備,它工作在資料鏈路層上,基於MAC地址來轉發和過濾資料包。因此,每個交換機均維護著一個與連接阜對應的MAC地址表。任何與交換機直接相連或處於同一廣播域的主機的MAC地址均會被儲存到交換機的MAC地址表中。通過SNMP(Simple Network Management protocol)管理站與各個交換機的SNMP代理通信可以獲取每個交換機儲存的與連接阜對應的MAC地址表,從而形成一個實時的Switch-Port-MAC對應表。將實時獲得的Switch-Port-MAC對應表與事先獲得的合法的完整表格對照,就可以快速發現交換機連接阜是否出現非法MAC地址,進一步即可判定是否有IP地址盜用的發生。如果同一個MAC地址同時出現在不同的交換機的非級聯連接阜上,則意味著IP-MAC成對盜用。
發現了地址盜用行為後,實際上也已經將盜用行為定位到了交換機的連接阜。再通過查詢事先建立的完整的Switch-Port-MAC對應表,就可以立即定位到發生盜用行為的房間。發生了地址盜用行為後,可以立即採取相應的方法來阻斷盜用行為所產生的影響,技術上可以通過SNMP管理站向交換機代理發出一個SNMP消息來關斷髮生盜用行為的連接阜,這樣盜用IP地址的機器無法與網路中其他機器發生任何聯繫,當然也無法影響其他機器的正常執行。
連接阜的關斷可以通過改變其管理狀態來實現。在MIB(Management Information Base)中有一個代表連接阜管理狀態的可讀寫對像ifAdminStatus(對像標識符號為1.3.6.1.2.1.2.2.1.7),給ifAdminStatus賦不同的值,可以改變連接阜的管理狀態,即「1」—開啟連接阜,「2」—關閉連接阜,「3」—供測試用。 這樣,通過管理站給交換機發送賦值訊息(Set Request),就可以關閉和開啟相應的連接阜,比如要關閉某一交換機(192.168.1.1)的2號連接阜,可以向該交換機發出如下訊息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
結合IP-MAC綁定技術,通過交換機連接阜管理,可以在實際使用中迅速發現並阻斷IP地址的盜用行為,尤其是解決了IP-MAC成對盜用的問題,同時也不影響網路的執行效率。
校園網中IP盜用的解決
摘要:IP地址的盜用問題是網路管理人員最頭痛的問題,文章從分析TCP/IP協議出發,以CISCO路由器為例,說明解決IP盜用的一般方法。通過靜態的ARP地址表的綁定和交換機連接阜-MAC地址綁定相結合可以解決IP地址盜用的問題。
一、引言
隨著Internet網路的普及與發展,大專院校、集團公司和事業單位等都已組建自己的內聯網,再用專線方式或光纖接入互連網。集團內的網路管理部門在規劃自己的內部網段時,為用戶分配並制定了相應的網路IP地址資源,以保證通信資料的正常傳輸。網路管理員在配置IP地址資源時,應滿足下面兩個方面:
(1)分配的地址應在規劃的子網網段範圍內;
(2)分配的IP地址對任何聯網的主機必須是惟一的;
內聯網上若有兩台主機的IP地址相同,則兩台主機將相互報警,且無法上網,造成網路混亂。在內聯網上任何用戶使用未經授權的IP地址都應視為IP盜用,因此,IP盜用成了網管人員最頭疼的問題。當幾百台、甚至上千台主機同時上網,如何防止IP地址盜用問題是很重要的,是維護網路正常運轉的必要技術手段。
內聯網在實際執行中,網路管理員負責管理用戶IP地址的分配,通過正確地註冊後才認為合法用戶。但由於Windows系統決定終端用戶可以自由修改IP地址的設置。改動後的IP地址在內聯網中執行時可導致以下結果:(1)非法的IP地址;即IP地址不在規劃的內聯網範圍之內,(2)重複的IP地址;與已經分配且正在內聯網執行的合法的IP地址發生資源衝突,使合法用戶無法上網;(3)盜用合法用戶的IP地址;如果不對網路採取各種防範措施,將涉及到網路的正常執行及用戶的合法權益受到侵害。
二、IP地址盜用方法分析
Internet是一個建立在TCP/IP協議上的互連網路。在TCP/IP網路環境下,每個主機都分配了一個32位的IP地址。IP地址是在網際範圍標識主機的一種邏輯地址。在局域網中使用MAC(物理地址)作為尋址方式,為了讓報文在物理網上傳輸,必須知道彼此之間的物理地址。ARP協議是完成IP地址轉換成MAC地址的協議。在局域網上通過每個站點的網路接頭卡發送和接受資料。網路接頭卡(NIC)的物理地址由MAC決定。每個NIC廠家的MAC都必須嚴格遵守IEEE組織的規定,保證世界上任何NIC的MAC都是獨一無二的。因此,MAC固化在每個NIC中,不可更改。
在以太網網路資料傳輸中,每個資料幀的頭部含有MAC地址,以太網交換設備依據資料幀頭中的MAC源地址和MAC目的地址實現資料幀的交換和傳輸。在實際應用中,用戶因某種原因有改動客戶端的IP地址和更換網路適配器的可能性。這種改動有時具有隨意性,尤其當這種改動不在網路管理員的監控之內時,將直接影響網路IP地址的管理。為了有效地防止和杜絕這類問題的發生,保證IP地址的惟一性,網路管理員必須建立規範的IP地址分配表、IP地址和硬體地址(MAC)登記表,並且做到相關訊息備案。
盜用IP地址是一個經常存在的問題,不需要編程,只要在主機上作適當的配置即可。當一台主機使用不是分配給自己的IP地址時,就有盜用IP地址的嫌疑了。盜用IP地址一般只能在本網段內。因為一個網段有一個路由器作為出口,在路由器的配置中,要指定網段的網路地址和掩碼。如果這個網段的主機使用了其它網段的IP地址,路由器不認為這個IP是屬於它的,所以不給轉發。如果在一個子網中,具有合法IP地址的主機未開機,盜用者就可以使用這個IP,唯一留下的痕跡是物理地址。
所謂IP電子欺騙,就是偽造某台主機的IP地址的技術。IP欺騙通常需要用編程來實現。通過使用SOCKET編程,發送帶有假冒的源IP地址的IP資料包。對於網路黑客高手來說,繞過上層網路軟件,動態修改自己的IP地址,達到IP欺騙並不是一件很困難的事。
三、防範IP盜用的技術方法
1、靜態ARP表的綁定
根據接入互連網的IP地址管理是通過IP地址分配和路由器的配置來實現的原理,可以通過設置路由器的靜態ARP表,解決IP地址和MAC地址的綁定,保證合法IP地址的惟一性。
這是因為在一個網段內的網路尋址不是依靠IP而是物理地址。IP只是在網際之間尋址使用的。因此在網段的路由器上有IP和MAC的動態對應表,這是由ARP協議產生並維護的。配置路由器時,可以指定靜態的ARP表,路由器會根據靜態的ARP表檢查資料包,如果不能對應,則不進行處理。以CISCO7609路由器為例,設置的方法是:
Telnet 192.164.1.34 ;路由器的IP地址
User Access Verification
Password:********
cy7609>en
Password:********
cy7609#config t
Enter configuration commands, one per line. End with CNTL/Z.
cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa
cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa
cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa
cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa
……
cy7609(config)#exit
cy7609#write
Building configuration...
[OK]
cy7609#
因此在路由器上建立了一個靜態的ARP表,合法的IP 地址和MAC建立了一一對應的關係,使未經授權的IP無法通過路由器轉發資料。經過IP地址和MAC地址的綁定,解決了內聯網IP地址的盜用問題。
2、交換機連接阜綁定
儘管採取了IP地址與MAC地址的綁定措施,但如果對Windows98或Windows2000有點瞭解的人知道,在系統的「控制台\網路\網卡\內容\高階\Network Address\設置」中,用戶可以隨意修改主機的MAC地址。這意味著用戶可以同時盜用合法用戶的IP及MAC地址。
如果將一台電腦的IP地址和MAC地址都改為另外一台合法主機的IP地址和MAC地址,那靜態路由技術就無能為力了。
如何來解決這個問題呢?我們可以借助交換機的連接阜-MAC地址綁定功能。即在TCP/IP第二層進行控制。在各種可管理的交換機中都有連接阜-MAC地址綁定功能。使用交換機提供的連接阜的單地址工作模式,即交換機的每一個連接阜只允許一台主機通過該連接阜訪問網路,任何其它地址的主機的訪問將被拒絕。以CISCO2950交換機為例,其設置的方法是:
User Access Verification
Password:********
switch153>en
Password:********
switch153#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch153(config)#int f0/1
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#int f0/2
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#int f0/3
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#exit
switch153(config)#exit
switch153#clear mac secu
switch153#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch153(config)#mac secure 5254.AB2C.3845 f0/1
switch153(config)#mac secure 00E0.4C6B.7F05 f0/2
switch153(config)#mac secure 0000.E8B1.4AC2 f0/2
switch153(config)#mac secure 5254.4CBD.1D71 f0/3
switch153(config)#mac secure 5254.AB3A.4D9B f0/3
switch153(config)#mac secure 5254.AB4C.9603 f0/3
switch153(config)#int f0/1
switch153(config-if)#port secu max 1
switch153(config-if)#no shutdown
switch153(config-if)#int f0/2
switch153(config-if)#port secu max 2
switch153(config-if)#no shutdown
switch153(config-if)#int f0/3
switch153(config-if)#port secu max 3
switch153(config-if)#no shutdown
switch153(config-if)#exit
switch153(config)#exit
switch153#write
Building configuration...
[OK]
switch153#
本例中僅以連接阜1、2、3為例。即連接阜1允許的MAC地址是5254.AB2C.3845;連接阜2允許的MAC地址是:00E0.4C6B.7F05和0000.E8B1.4AC2。
3、防火牆與代理服務器
使用防火牆與代理服務器相結合,也能較好地解決IP地址盜用問題。這是一種在應用層上解決IP盜用的辦法。防火牆用來隔離內部網路和外部網路,用戶訪問外部網路通過代理服務器進行。任何上網用戶需要到網路管理部門申請帳戶和口令,IP地址的使用可以是無償的,即變IP管理為用戶身份和口令的管理。因為用戶對於網路的使用歸根結底是要使用網路的應用。合法用戶可以選擇任意一台IP主機使用,通過代理服務器訪問外部網路資源,而無帳戶的用戶即使盜用IP,也沒有用戶名和密碼,不能使用外部網路。
4、路由器隔離
檢測和保護網路免受IP欺騙的最好辦法是安裝過濾路由器。對於來自網路外部的IP欺騙,阻止的方法很簡單,在局域網對外的路由器上加一個限制條件,只要在路由器上設置不允許聲稱來自內部的網路的外來包通過就行了。
四、總結
通過IP -MAC地址的綁定及連接阜-MAC地址的綁定,內聯網的IP地址盜用問題在很大程度上可以得到解決。但仍然有可能存在未經授權的用戶使用未經授權的IP地址而造成IP衝突,侵犯合法用戶的權益。儘管盜用者無法使用該IP,但給網路帶來了混亂。我們可以利用網路交換設備的網路管理功能,完善檢測手段,提高網路故障的檢測能力。目前有多種網路交換機內置了網路管理軟件,具備尋找IP地址設置衝突對應交換機連接阜的功能,可以迅速準確地定位和查找故障主機點。
隨著網路設備功能的日趨完善和網路管理人員的管理水平的提高,會有更多更好的防止IP盜用的方法。同時更要培養我們的學生具備良好的道德素質,營造一個良好的網路環境。讓我們的校園網路更健康的發展。
|