校园网安全之IP欺骗攻击过程分析与防范.docVIP

校园网络安全之IP欺骗攻击过程分析与防范 广西柳州市 覃丽斌 ?? 摘要：随着计算机网络在高校的普及与应用，毫无疑问校园网络给教学带来的效率是不可否认的，但同时由于计算机网络自身的脆弱性，由此对校园网络的安全可靠性提出了新的考验。本文就校园网络安全方面的IP欺骗攻击过程及一些常用的防范措施探讨如下。 关键词：校园网络 安全 IP欺骗攻击 防范 前言 随着计算机技术与通信技术的飞速发展，校园网相争涌现于各大学校园，校园网以其巨大共享资源和便利学术交流的平台，使学校的教学方式提高到一个现代化的层面。然而在校园网给学校教学带来便利的同时，由于网络信息系统的脆弱性，也带来了巨大的安全风险。造成网络信息系统脆弱主要表现在三个方面：一是由于网络的开放性。首先，业务基于公开的协议，协议的体系和实现是公开的。其中的缺陷很可能被众多熟悉协议的程序员所利用；其次，所有信息和资源通过网络共享，远程访问使得各种攻击无须到现场就能得手；此外，基于主机上的社团彼此信任的基础是建立在网络连接之上的，容易假冒。因此，网络的开放性决定了网络信息的脆弱性是先天的。二是组成网络的通信系统和信息系统的自身缺陷。现行的商用计算机系统（包括通用和专用操作系统及各种应用系统）存在许多安全性问题，他们导致了计算机系统在安全上的脆弱性。由于人们的认知能力和实践能力的局限性，在系统设计和开发过程中会产生的错误、缺陷和遗漏，成为安全隐患，而且系统越大、越复杂，这种安全隐患越多。三是由于黑客（hacher）及病毒等恶意程序的攻击。因此，由于上述三个方面的因素，迫使校园网在安全可靠性方面提出了更多的安全考虑。下面就以影响校园网安全之一的IP欺骗攻击过程及防范措施给予讨论。 一、IP攻击过程中信任关系的建立： ????IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下信任关系是如何建立的。 ????在UNIX领域中，两台主机之间存在一种特殊的无须验证的对话信任关系。假设有三台主机host1、host2、host3（如下图所示）上面各有一个帐户Hacker， 在使用中会发现，在host1使用时要输入在host1上的相应帐户Hacker，在host2 上使用时必须输入用host2的帐户Hacker，在host3上使用时同样必须输入在host3上的相应帐户Hacker，主机host1、host2、host3把Hacker当做互不相关的用户，这显然有些不便。为了减少这种不便，可以在host1与host2、host2与host3之间分别建立相互信任关系的帐户。在host1、host2和host3上Hacker的home目录中创建rhosts文件，从主机host1上，在Hacker的home目录中输入： echo“host1 Hacker ”~/.rhost 从主机host2上，在Hacker的home目录中输入： echo“host2 Hacker”~/.rhost 至此就实现了host1 host2之间的相互信任关系，同样的方法也可以建立host2 host3之间的相互信任关系，这时在host1或host2上，就能毫阻碍的使用以r开头的远程调用命令，如：rlogin 、rsh 、rcall 、rcp等，而无须输入口令验证就可以直接登录到对方主机。这些命令将允许以地址为基础的验证，或者允许或拒绝以IP地址为基础的存取服务。这里的信任关系是基于IP地址的。 图中host1、host2、host3为同一网段内主机间的信任关系，hostx与 host1、host2、host3不是同一网段的且不信任关系。 ????当/etc/hosts.equiv中出现一个 “+”或者$HOME/.rhosts中出现 “++”时，表明任意地址的主机可以无须口令验证而直接使用r命令登陆此主机，这是十分危险的。下面我们看一下rlogin的用法。 ????rlogin是一个简单的客户/服务器程序，它的作用和telnet差不多，不同的是telnet完全依赖口令验证，而rlogin是基于信任关系的验证，它使用了TCP协议进行传输。当用户从一台主机登陆到另一台主机上，如果目录主机信任它，rlogin将允许在不应答口令的性况下使用目标主机上的资源，安全验证完便基于源主机的IP地址。因此，根据以上所举的例子，我们能利用rlogin来从host2远程登陆到host1、 host3，或从host3、host1远程登陆到host2，而且不会被提示输入口令。 二、IP欺骗的理论根据： ????从上面的说明来看：既然host1和host2、host2和host3之间的信任关系是基于IP址而建立起来的，那么假如hostx能够冒充host2的IP，就可以使用rlogin登录到host1和ho