楊鈺紅

摘要:隨著計(jì)算機(jī)技術(shù)的廣泛使用和因特網(wǎng)的普及,人們越來越方便的使用網(wǎng)絡(luò)進(jìn)行交流,然而黑客利用IP欺騙技術(shù)偽造他人的IP地址阻礙正常的TCP通信,從而達(dá)到欺騙目標(biāo)計(jì)算機(jī)的目的。本文介紹了IP技術(shù)的協(xié)議原理、IP偽裝、IP網(wǎng)絡(luò)攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護(hù)手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學(xué)理論依據(jù)。

關(guān)鍵詞:網(wǎng)絡(luò)IP欺騙技術(shù)防范手段

中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2012)06(c)-0025-01

1 引言

IP欺騙技術(shù)實(shí)際上是一種融合多種攻擊技術(shù)的網(wǎng)絡(luò)攻擊行為,融合了IP地址偽造技術(shù)、SYN洪流攻擊技術(shù)、TCP技術(shù)和TCP序列號(hào)猜測技術(shù)等,同時(shí)將基于地址的認(rèn)證方式應(yīng)用于攻擊過程。在現(xiàn)實(shí)生活中,IP欺騙技術(shù)應(yīng)用于采用IP地址實(shí)現(xiàn)訪問控制的系統(tǒng),IP欺騙行為在一定程度上損害了正常網(wǎng)絡(luò)用戶的合法權(quán)益,同時(shí)嚴(yán)重影響了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)的正常運(yùn)行。

2 協(xié)議基本原理及IP偽裝

2.1 協(xié)議基本原理

IP協(xié)議是TCP/IP協(xié)議之一,也是TCP/IP眾多協(xié)議中的核心協(xié)議,通常用來為上層協(xié)議提供服務(wù)。在實(shí)際生活中,TCP連接就是建立在IP數(shù)據(jù)報(bào)服務(wù)的基礎(chǔ)上,可以為用戶提供面向連接的、可靠的字節(jié)流服務(wù)。源與目標(biāo)主機(jī)的IP地址、協(xié)議端口號(hào)均包含于IP報(bào)文首部的控制信息之中,并且控制信息和數(shù)據(jù)組成了所有的IP報(bào)文和TCP報(bào)文。在網(wǎng)絡(luò)中,IP地址的主要功能是把數(shù)據(jù)報(bào)經(jīng)由網(wǎng)絡(luò)從一個(gè)主機(jī)傳送到另一個(gè)主機(jī)。協(xié)議端口號(hào)的主要功能是用來標(biāo)識(shí)一臺(tái)機(jī)器上的多個(gè)進(jìn)程。

2.2 IP偽裝

隨著計(jì)算機(jī)技術(shù)的廣泛使用和網(wǎng)絡(luò)的普及,互聯(lián)網(wǎng)用戶量快速增長,由于IP地址的數(shù)量是有限的固定的,這就導(dǎo)致了IP地址資源日趨緊張。IP偽裝技術(shù)就是用來解決IP地址資源緊張問題的技術(shù),IP偽裝指的是將局域網(wǎng)內(nèi)部的IP地址偽裝成防火墻合法的IP地址。主機(jī)在局域網(wǎng)內(nèi)傳輸數(shù)據(jù)到互聯(lián)網(wǎng)的時(shí)候,IP包第一個(gè)就要通過防火墻,并被防火墻截取,記錄該IP包的源和端口號(hào),同時(shí)將源和端口號(hào)改為防火墻合法的IP地址與選定端口號(hào),之后才被送到互聯(lián)網(wǎng)。由局域網(wǎng)內(nèi)部的客戶端角度看,該IP包好像是直接由互聯(lián)網(wǎng)傳輸過來。由互聯(lián)網(wǎng)的服務(wù)端角度看,該IP包是直接被防火墻傳輸過來。當(dāng)具有偽裝功能的防火墻接到由互聯(lián)網(wǎng)傳輸過來的IP包時(shí),第一要檢查該IP包的目的端口號(hào),如果這個(gè)端口號(hào)是之前用于偽裝的,那么要將這個(gè)IP包的端口號(hào)與目的地址改成被偽裝的端口號(hào)與IP地址,同時(shí)將它傳輸?shù)絻?nèi)部網(wǎng)。為保護(hù)內(nèi)部IP地址,我們可以采用這種方法使用一個(gè)IP地址替代所有的內(nèi)部網(wǎng)絡(luò)地址,從而減輕了IP地址資源緊張的局面。

3 IP欺騙攻擊

3.1 欺騙攻擊的原理

所謂IP欺騙,就是利用主機(jī)之間的正常信任關(guān)系,偽造他人的IP地址達(dá)到欺騙某些主機(jī)的目的。IP地址欺騙僅僅在通過IP地址實(shí)現(xiàn)訪問控制的系統(tǒng)中使用。攻擊者利用IP欺騙技術(shù)能夠巧妙的隱藏自己的身份,從而使用未被授權(quán)的IP地址并且配置網(wǎng)上的計(jì)算機(jī),以此達(dá)到使用非法身份進(jìn)行破壞或者非法使用網(wǎng)絡(luò)資源的目的?？傊?IP欺騙是一種進(jìn)攻的手段,是對主機(jī)之間的正常信任關(guān)系的破壞。這是由于TCP/IP協(xié)議本身存在漏洞,使得黑客能夠利用這些漏洞對網(wǎng)絡(luò)進(jìn)行攻擊。

3.2 IP欺騙過程

通常在攻擊目標(biāo)計(jì)算機(jī)之前,首先要查找被這臺(tái)計(jì)算機(jī)信任的計(jì)算機(jī),通過一些命令或端口掃描能夠確定計(jì)算機(jī)用戶, 而大多數(shù)黑客就是采用這種端口掃描技術(shù)破壞局域網(wǎng)內(nèi)計(jì)算機(jī)之間的正常信任關(guān)系。假設(shè)計(jì)算機(jī)A企圖入侵計(jì)算機(jī)C,而計(jì)算機(jī)C信任計(jì)算機(jī)B。如果冒充計(jì)算機(jī)B對計(jì)算機(jī)C進(jìn)行攻擊,簡單使用計(jì)算機(jī)B的IP地址發(fā)送SYN標(biāo)志給計(jì)算機(jī)C,但是當(dāng)計(jì)算機(jī)C收到后,并不把SYN+ACK發(fā)送到攻擊的計(jì)算機(jī)上,而是發(fā)送到真正的計(jì)算機(jī)B上去,而計(jì)算機(jī)B根本沒有發(fā)送SYN請求,導(dǎo)致欺騙失敗。所以如果要冒充計(jì)算機(jī)B,首先要看計(jì)算機(jī)B是否關(guān)機(jī),否則應(yīng)設(shè)法讓計(jì)算機(jī)B癱瘓,確保它不能收到任何有效的網(wǎng)絡(luò)數(shù)據(jù)。攻擊目標(biāo)計(jì)算機(jī)C,需要獲取計(jì)算機(jī)C的數(shù)據(jù)包序列號(hào)?？梢韵扰c被攻擊計(jì)算機(jī)的一個(gè)端口建立起正常連接,同時(shí)記錄計(jì)算機(jī)C的ISN和計(jì)算機(jī)A到計(jì)算機(jī)C的RTT值。多次重復(fù)上述步驟就能夠求得RTT的平均值。計(jì)算機(jī)A獲取了計(jì)算機(jī)C的ISN的值和增加規(guī)律后,同時(shí)也獲取了由計(jì)算機(jī)A到計(jì)算機(jī)C需要RTT/2的時(shí)間。

4 利用IP欺騙引起的網(wǎng)絡(luò)犯罪

4.1 網(wǎng)絡(luò)犯罪概念

計(jì)算機(jī)犯罪與計(jì)算機(jī)技術(shù)密切相關(guān)。 “計(jì)算機(jī)犯罪”這一術(shù)語隨著時(shí)間的推移,應(yīng)用領(lǐng)域急劇擴(kuò)大而不斷獲得新的含義。在學(xué)術(shù)研究上關(guān)于計(jì)算機(jī)犯罪迄今為止尚無統(tǒng)一的定義。結(jié)合刑法條文的有關(guān)規(guī)定和我國計(jì)算機(jī)犯罪的實(shí)際情況,我認(rèn)為計(jì)算機(jī)犯罪就是指行為人故意直接對計(jì)算機(jī)實(shí)施侵入或破壞,或利用計(jì)算機(jī)實(shí)施犯罪行為的總稱。

4.2 IP欺騙攻擊的防護(hù)手段

IP欺騙技術(shù)的特征是:只有少數(shù)的平臺(tái)被IP技術(shù)攻擊,而其他一些平臺(tái)由于不存在這方面的漏洞,所以不會(huì)被IP欺騙技術(shù)攻擊;由于此種技術(shù)較難理解,僅有較少的網(wǎng)絡(luò)高手才能真正操作這種技術(shù),所以這種技術(shù)出現(xiàn)的可能性較小;此種攻擊方法較易防備。IP欺騙只能攻擊那些運(yùn)行真正的TCP/IP的機(jī)器,真正的TCP/IP指的是那些完全實(shí)現(xiàn)了TCP/IP協(xié)議,包括所有的端口和服務(wù)。

IP欺騙防范手段主要有以下兩種:

(1)關(guān)閉安全隱患大的端口

關(guān)閉一些安全隱患比較大的服務(wù)與端口,通常情況下,Windows有很多端口是默認(rèn)開放的,與網(wǎng)絡(luò)連接時(shí),網(wǎng)絡(luò)病毒與黑客能夠通過上述端口進(jìn)入目標(biāo)電腦。為了保證電腦的安全性,應(yīng)該封閉這些端口,例如:TCP 135、139、445、593、1025端口與 UDP 135、137、138、445端口,一些流行病毒的后門端口,和遠(yuǎn)程服務(wù)訪問端口3389。

(2)隱藏IP

第一,安裝可以自動(dòng)去掉傳輸數(shù)據(jù)包包頭IP信息的軟件,可以隱藏用戶IP地址,但是,使用這一手段嚴(yán)重耗費(fèi)資源、在一定程度上降低了計(jì)算機(jī)的性能。

第二,使用代理服務(wù)器。對于個(gè)人用戶來說,使用代理服務(wù)器是最簡單常見的方法,通過使用代理服務(wù)器,“轉(zhuǎn)址服務(wù)”能夠?qū)鬏敵鋈サ臄?shù)據(jù)包進(jìn)行修改,從而使“數(shù)據(jù)包分析”方法失效。但是,使用代理服務(wù)器,將會(huì)影響網(wǎng)絡(luò)通訊的速度,而且網(wǎng)絡(luò)用戶需要添置一臺(tái)上可以提供代理能力的計(jì)算機(jī),若用戶不能找到這樣的代理服務(wù)器那么將無法使用代理服務(wù)器。

第三,防火墻也可以在某種程度上使用IP的隱藏。

5 結(jié)語

計(jì)算機(jī)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及給人們的交流與信息共享帶來了極大的便捷,科學(xué)合理的使用計(jì)算機(jī)和網(wǎng)絡(luò)更好的為人們提供服務(wù),研究IP欺騙技術(shù)在一定程度上打擊網(wǎng)絡(luò)欺騙行為起了很大的作用。本文介紹了IP技術(shù)的協(xié)議原理、IP偽裝、IP網(wǎng)絡(luò)攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護(hù)手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學(xué)理論依據(jù)。

參考文獻(xiàn)

[1] 余偉建,嚴(yán)忠軍,盧科霞,王凌著.黑客攻擊手段分析與防范[M].北京:人民郵電出版社,2001.

[2] Kenneth D. Reed著.TCP/IP基礎(chǔ)[M].北京:電子工業(yè)出版社,2002.