论文部分内容阅读
摘要:IP欺骗是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。IP地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响,因此研究IP地址盗用问题,找到有效的防范措施,是当前的一个紧迫课题。
关键词:IP欺骗;盗用;对策
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)26-1679-02
随着计算机网络的发展,对网络资源的破坏及黑客的攻击不断增多,“网络安全性”和“信息安全性”越来越被重视。纵观网络上的各种安全性攻击特征,可归结为消极性和主动性两种。其中,身份欺骗就是一种主动性攻击。从本质上讲,它是针对网络结构及其有关协议在实现过程中存在某些安全漏洞而进行安全攻击的。
1 IP欺骗攻击的原理
所谓IP欺骗,就是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。目前IP地址盗用的行为非常常见,IP地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响,因此研究IP地址盗用问题,找到有效的防范措施,是当前的一个紧迫课题。
IP地址欺骗攻击是指攻击者使用未经授权的IP地址来配置网上的计算机,以达到非法使用网上资源或隐藏身份从事破坏活动的目的。TCP/IP协议早期是为了方便地实现网络的连接,但是其本身存在一些不安全的地方,从而使一些别有用心的人可以对TCP/IP 网络进行攻击,IP欺骗就是其中的一种。
IP欺骗是利用了主机之间的正常信任关系来进行的,如Unix主机中,存在着一种特殊的信任关系。假设用户在主机A和主机B上各有一个账号ABC,用户在主机A上登录时要输入A上的账号ABC,在主机B上登录时要输入B上的账号ABC,两主机将ABC当作是互不相关的账号,这给多服务器环境下的用户带来了诸多的不便,为了杜绝这个问题,可以在主机A和主机B间建立起两个账号的相互信任关系。
IP协议是TCP/IP协议组中面向连接、非可靠传输的网络协议,它不保持任何连接状态的信息,它的工作就是在网络中发送数据报,并且保证它的完整性,如果不能收到完整的数据报,IP会向源地址发送一个ICMP错误信息,期待重新发送,但是这个ICMP报文可能会丢失。IP不提供保障可靠性的任何机制,每个数据包被松散地发送出去,可以这样对IP堆栈进行更改,在源地址和目的地址中放人任何满足要求的IP地址,即提供虚假的IP地址。
正是因为IP协议自身的缺陷给IP欺骗提供了机会。但TCP协议要对IP包进行进一步地封装,它是一种相对可靠的协议,TCP协议作为保障两台通讯设备之间数据包顺序传输协议,是面向连接的,它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的,如数据序列(SYN)和数据确认(ACK)。TCP向每个数据字节分配一个序列号,并向已经成功接收的,源地址所发送的数据包表示确认,在确认的同时还携带下一个期望获得的数据序列号。TCP序列编号可以看作是32位的计算器,从0到232—1排列,每一个TCP连接交换的数据能顺序编号,通过ACK对所接收的数据进行确认,并指出下一个期待接收的数据序列号。
TCP协议在双方正式传输数据之前,需要用“三次握手”来建立一个稳健的连接。在实际利用TCP/IP协议进行通信时,为了提供对TCP模块的并行访问,TCP提供了特殊的用户接收(即端口)。端口是操作系统内核用来标示不同的网络进程,是严格区分传输层人口的标示。TCP端口与IP地址一起提供网络端到端的通信。在Internet上,任何一个连接都包含了源IP地址、源地址端口、目的IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如FTP服务被绑定在21号端口,WWW服务被绑定在80号端口,Telenet服务被绑定在23号端口。
2 IP欺骗过程
在攻击某一主机前,首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来,许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系,为进一步的IP欺骗提供了机会。假设主机Z企图入侵主机A,而主机A信任主机B。如果冒充主机B对主机A进行攻击,简单使用主机B的IP地址发送SYN标志给主机A,但是当主机A收到后,并不把SYN ACK发送到攻击的主机上,而是发送到真正的主机B上去,而主机B根本没有发送SYN请求,导致欺骗失败。
所以如果要冒充主机B,首先要看主机B是否关机,否则应设法让主机B瘫痪,确保它不能收到任何有效的网络数据。事实上有许多方法可以达到这个目的,如SYN洪水攻击、TTN、Land等攻击。
对目标主机A进行攻击,必须知道主机A的数据包序列号。可以先与被攻击主机的一个端口建立起正常连接,并记录主机A的ISN,以及主机Z到主机A的大致的RTT(Round Trip Time)值。这个步骤需要重复多次以便得出RTT的平均值。主机Z知道了主机A的ISN的值和增加规律(例如每秒增加12 800,每次连接增加64 000)后,也就知道了从主机Z到主机A需要RTT/2的时间。此时必须立即进行入侵,否则在这期间有其他主机与主机A连接,ISN将比之前得到的多64 000。
估计出ISN的大小,就开始着手进行攻击。当然虚假的TCP数据包进入目标主机时,如果刚才估计的序列号准确,进入的数据将放置在目标主机的缓冲区中。但是在实际攻击过程中往往没有这么幸运。如果估计的序列号小于正确值,那么将被放弃。而如果估计的序列号大于正确值,并且在缓冲区的大小之内,那么该数据被认为是一个将来的数据,TCP模块等待其他缺少的数据。如果估计序列号大于期待的数值且不在缓冲区之内,TCP将会放弃它并返回一个期待获得的数据序列号。
主机Z向主机A发送带有SYN标志的数据段请求连接,只是源IP地址写成主机B的IP地址,而且目的端口是TCP专用的513号端口(rlogin服务端口)。主机A向主机B回送SYNal-ACK数据段,但主机B已经无法响应,主机B的TCP层只是简单的丢弃来自主机A的回送数据段。目标主机立刻对连接请求作出反应,发更新SYNd-ACK确认包给被信任主機,因为被信任主机B仍然处于瘫痪状态,它当然无法收到这个包,紧接着攻击者主机Z向目标主机A发送ACK数据包。
如果攻击者估计正确的话,目标主机将会接收到该ACK,连接就正式建立,可以进行数据传输了。但是主机A仍然会向主机B发送数据,而不是向主机Z发送,主机Z仍然无法接收到主机A发往主机B的数据包,所以主机Z必须按照rlogin协议的标准假冒主机B向主机A发送类似#cat >>~/.rhosts这样的命令,主机A就会与主机Z建立信任关系,开始相互的数据传送,入侵也就完成了。
完成本次攻击后,就可以不用口令直接登录到目标主机上。这样,一次网站的IP欺骗就已经完成,在目标机上得到了一个Shell权限,接下来就是利用系统的溢出或错误配置扩大权限,当然最终目的还是要获得服务器的root权限。
3 IP地址盗用的常用方法
3.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必须选项。如果用户修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址的盗用,由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态 修改,除非是使用DHCP服务器分配IP地址,但又会带来其他管理问题。
3.2 成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决,针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有的以太网设备中必须是唯一的,它由IEEE分配,MAC地址与网络无关,无论是把这块网卡接人到网络的任何地方,MAC地址都是不变的。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
实现IP与MAC地址的绑定,可以用很多种方法来完成,但是对于一些小型的局域网络,多采用软件的方式和DOS命令方式完成的。修改网卡的MAC地址一般有两种方式,一种是硬修改,另一种是软修改。硬修改的方式就是直接对网卡进行操作,修改保存在网卡的EPROM里面的MAC地址,通过网卡生产厂商提供的修改程序可以修改储存在里面的地址。对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。在Windows系列操作系统中,网卡的MAC地址就是保存在注册表中的,实际使用也是从注册表中提取的,所以只要修改注册表就可以改变MAC地址,完成修改的操作后重新启动操作系统就可以生效了。
3.3 动态修改IP地址
对于一些黑客高手来说,直接编写在网络上收发的数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗,并不是一件很困难的事。
3.4 IP欺骗的防范对策
IP欺骗之所以可以实施,是因为信任服务器的基础建立在网络地址的验证上,在整个攻击过程中最难的是进行序列号的估计,估计精度的高低是欺骗成功与否的关键。针对这些,可采取如下的对策:
3.4.1 禁止基于IP地址的信任关系
IP欺骗的原理是冒充被信任主机的IP地址,这种信任关系是建立在基于IP地址的验证上,如果禁止基于IP地址的信任关系,使所有的用户通过其他远程通信手段进行远程访问,可彻底地防止基于IP地址的欺骗。
3.4.2 安装过滤路由器
如果计算机用户的网络是通过路由器接人Internet的,那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。计算机用户的路由器可以帮助用户过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法,使用netlog或类似的包监控工具来检查外接口上包的情况,如果发现包的两个地址(即源地址和目的地址)都是本地域地址,就意味着有人要试图攻击系统。
3.4.3 使用加密法
阻止IP欺骗的另一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时,加密方法最为合适。
3.4.4 使用随机化的初始序列号
IP欺骗另一个重要的因素是初始序列号不是随机选择或者随机增加的,如果能够分割序列号空间,每一个连接将有自己独立的序列号空间,序列号仍然按照以前的方式增加,但是在这些序列号空间中没有明显的关系。
在网络普及的今天,网络安全已经成为一个不容忽视的问题。对IP欺骗,最重要的是作好安全防范。
参考文献:
[1] 福罗赞.TCP/IP协议族[M].3版.北京:清华大学出版社,2006.
[2] 史蒂文斯.TCP/IP詳解[M].北京:机械工业出版社,2000.
[3] 陈庄.计算机网络安全技术[M].重庆:重庆大学出饭社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.
[6] 陈彦学.信息安全理论与实务[M].北京:中国铁道出版社,2001.
关键词:IP欺骗;盗用;对策
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)26-1679-02
随着计算机网络的发展,对网络资源的破坏及黑客的攻击不断增多,“网络安全性”和“信息安全性”越来越被重视。纵观网络上的各种安全性攻击特征,可归结为消极性和主动性两种。其中,身份欺骗就是一种主动性攻击。从本质上讲,它是针对网络结构及其有关协议在实现过程中存在某些安全漏洞而进行安全攻击的。
1 IP欺骗攻击的原理
所谓IP欺骗,就是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。目前IP地址盗用的行为非常常见,IP地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响,因此研究IP地址盗用问题,找到有效的防范措施,是当前的一个紧迫课题。
IP地址欺骗攻击是指攻击者使用未经授权的IP地址来配置网上的计算机,以达到非法使用网上资源或隐藏身份从事破坏活动的目的。TCP/IP协议早期是为了方便地实现网络的连接,但是其本身存在一些不安全的地方,从而使一些别有用心的人可以对TCP/IP 网络进行攻击,IP欺骗就是其中的一种。
IP欺骗是利用了主机之间的正常信任关系来进行的,如Unix主机中,存在着一种特殊的信任关系。假设用户在主机A和主机B上各有一个账号ABC,用户在主机A上登录时要输入A上的账号ABC,在主机B上登录时要输入B上的账号ABC,两主机将ABC当作是互不相关的账号,这给多服务器环境下的用户带来了诸多的不便,为了杜绝这个问题,可以在主机A和主机B间建立起两个账号的相互信任关系。
IP协议是TCP/IP协议组中面向连接、非可靠传输的网络协议,它不保持任何连接状态的信息,它的工作就是在网络中发送数据报,并且保证它的完整性,如果不能收到完整的数据报,IP会向源地址发送一个ICMP错误信息,期待重新发送,但是这个ICMP报文可能会丢失。IP不提供保障可靠性的任何机制,每个数据包被松散地发送出去,可以这样对IP堆栈进行更改,在源地址和目的地址中放人任何满足要求的IP地址,即提供虚假的IP地址。
正是因为IP协议自身的缺陷给IP欺骗提供了机会。但TCP协议要对IP包进行进一步地封装,它是一种相对可靠的协议,TCP协议作为保障两台通讯设备之间数据包顺序传输协议,是面向连接的,它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的,如数据序列(SYN)和数据确认(ACK)。TCP向每个数据字节分配一个序列号,并向已经成功接收的,源地址所发送的数据包表示确认,在确认的同时还携带下一个期望获得的数据序列号。TCP序列编号可以看作是32位的计算器,从0到232—1排列,每一个TCP连接交换的数据能顺序编号,通过ACK对所接收的数据进行确认,并指出下一个期待接收的数据序列号。
TCP协议在双方正式传输数据之前,需要用“三次握手”来建立一个稳健的连接。在实际利用TCP/IP协议进行通信时,为了提供对TCP模块的并行访问,TCP提供了特殊的用户接收(即端口)。端口是操作系统内核用来标示不同的网络进程,是严格区分传输层人口的标示。TCP端口与IP地址一起提供网络端到端的通信。在Internet上,任何一个连接都包含了源IP地址、源地址端口、目的IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如FTP服务被绑定在21号端口,WWW服务被绑定在80号端口,Telenet服务被绑定在23号端口。
2 IP欺骗过程
在攻击某一主机前,首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来,许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系,为进一步的IP欺骗提供了机会。假设主机Z企图入侵主机A,而主机A信任主机B。如果冒充主机B对主机A进行攻击,简单使用主机B的IP地址发送SYN标志给主机A,但是当主机A收到后,并不把SYN ACK发送到攻击的主机上,而是发送到真正的主机B上去,而主机B根本没有发送SYN请求,导致欺骗失败。
所以如果要冒充主机B,首先要看主机B是否关机,否则应设法让主机B瘫痪,确保它不能收到任何有效的网络数据。事实上有许多方法可以达到这个目的,如SYN洪水攻击、TTN、Land等攻击。
对目标主机A进行攻击,必须知道主机A的数据包序列号。可以先与被攻击主机的一个端口建立起正常连接,并记录主机A的ISN,以及主机Z到主机A的大致的RTT(Round Trip Time)值。这个步骤需要重复多次以便得出RTT的平均值。主机Z知道了主机A的ISN的值和增加规律(例如每秒增加12 800,每次连接增加64 000)后,也就知道了从主机Z到主机A需要RTT/2的时间。此时必须立即进行入侵,否则在这期间有其他主机与主机A连接,ISN将比之前得到的多64 000。
估计出ISN的大小,就开始着手进行攻击。当然虚假的TCP数据包进入目标主机时,如果刚才估计的序列号准确,进入的数据将放置在目标主机的缓冲区中。但是在实际攻击过程中往往没有这么幸运。如果估计的序列号小于正确值,那么将被放弃。而如果估计的序列号大于正确值,并且在缓冲区的大小之内,那么该数据被认为是一个将来的数据,TCP模块等待其他缺少的数据。如果估计序列号大于期待的数值且不在缓冲区之内,TCP将会放弃它并返回一个期待获得的数据序列号。
主机Z向主机A发送带有SYN标志的数据段请求连接,只是源IP地址写成主机B的IP地址,而且目的端口是TCP专用的513号端口(rlogin服务端口)。主机A向主机B回送SYNal-ACK数据段,但主机B已经无法响应,主机B的TCP层只是简单的丢弃来自主机A的回送数据段。目标主机立刻对连接请求作出反应,发更新SYNd-ACK确认包给被信任主機,因为被信任主机B仍然处于瘫痪状态,它当然无法收到这个包,紧接着攻击者主机Z向目标主机A发送ACK数据包。
如果攻击者估计正确的话,目标主机将会接收到该ACK,连接就正式建立,可以进行数据传输了。但是主机A仍然会向主机B发送数据,而不是向主机Z发送,主机Z仍然无法接收到主机A发往主机B的数据包,所以主机Z必须按照rlogin协议的标准假冒主机B向主机A发送类似#cat >>~/.rhosts这样的命令,主机A就会与主机Z建立信任关系,开始相互的数据传送,入侵也就完成了。
完成本次攻击后,就可以不用口令直接登录到目标主机上。这样,一次网站的IP欺骗就已经完成,在目标机上得到了一个Shell权限,接下来就是利用系统的溢出或错误配置扩大权限,当然最终目的还是要获得服务器的root权限。
3 IP地址盗用的常用方法
3.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必须选项。如果用户修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址的盗用,由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态 修改,除非是使用DHCP服务器分配IP地址,但又会带来其他管理问题。
3.2 成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决,针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有的以太网设备中必须是唯一的,它由IEEE分配,MAC地址与网络无关,无论是把这块网卡接人到网络的任何地方,MAC地址都是不变的。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
实现IP与MAC地址的绑定,可以用很多种方法来完成,但是对于一些小型的局域网络,多采用软件的方式和DOS命令方式完成的。修改网卡的MAC地址一般有两种方式,一种是硬修改,另一种是软修改。硬修改的方式就是直接对网卡进行操作,修改保存在网卡的EPROM里面的MAC地址,通过网卡生产厂商提供的修改程序可以修改储存在里面的地址。对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。在Windows系列操作系统中,网卡的MAC地址就是保存在注册表中的,实际使用也是从注册表中提取的,所以只要修改注册表就可以改变MAC地址,完成修改的操作后重新启动操作系统就可以生效了。
3.3 动态修改IP地址
对于一些黑客高手来说,直接编写在网络上收发的数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗,并不是一件很困难的事。
3.4 IP欺骗的防范对策
IP欺骗之所以可以实施,是因为信任服务器的基础建立在网络地址的验证上,在整个攻击过程中最难的是进行序列号的估计,估计精度的高低是欺骗成功与否的关键。针对这些,可采取如下的对策:
3.4.1 禁止基于IP地址的信任关系
IP欺骗的原理是冒充被信任主机的IP地址,这种信任关系是建立在基于IP地址的验证上,如果禁止基于IP地址的信任关系,使所有的用户通过其他远程通信手段进行远程访问,可彻底地防止基于IP地址的欺骗。
3.4.2 安装过滤路由器
如果计算机用户的网络是通过路由器接人Internet的,那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。计算机用户的路由器可以帮助用户过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法,使用netlog或类似的包监控工具来检查外接口上包的情况,如果发现包的两个地址(即源地址和目的地址)都是本地域地址,就意味着有人要试图攻击系统。
3.4.3 使用加密法
阻止IP欺骗的另一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时,加密方法最为合适。
3.4.4 使用随机化的初始序列号
IP欺骗另一个重要的因素是初始序列号不是随机选择或者随机增加的,如果能够分割序列号空间,每一个连接将有自己独立的序列号空间,序列号仍然按照以前的方式增加,但是在这些序列号空间中没有明显的关系。
在网络普及的今天,网络安全已经成为一个不容忽视的问题。对IP欺骗,最重要的是作好安全防范。
参考文献:
[1] 福罗赞.TCP/IP协议族[M].3版.北京:清华大学出版社,2006.
[2] 史蒂文斯.TCP/IP詳解[M].北京:机械工业出版社,2000.
[3] 陈庄.计算机网络安全技术[M].重庆:重庆大学出饭社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.
[6] 陈彦学.信息安全理论与实务[M].北京:中国铁道出版社,2001.