绑定MACIP地址策略存在隐患.docVIP

绑定MAC的IP地址策略存在的隐患 唐文杰（江西电信有限公司南昌分公司 江西 南昌 330003） 摘要：本文讨论了采取MAC与IP地址绑定策略来防止“IP地址盗用”的原理，并在此基础上进行分析，得出该策略存在的安全隐患并通过实例说明可能采用的破解手段。 关键词：MAC IP 绑定 操作系统 缓存 欺骗 The Hidden Risk of Bound-MAC IP Policy Tang Wenjie Abstract: In this article, we will discuss the theory of an IP policy, which bind MAC up IP address, to avoid “IP Cheat”. Then, author analyses its hidden risk and give the method to knock it down by an example. KEY WORD: MAC IP Bind OS Buffer Cheat 引言 随着Internet的飞速发展，“IP地址盗用”问题日益严重，这一问题严重影响了网络正常运行次序。“IP地址盗用”不仅使电信运营企业的维护工作带来了麻烦，影响了企业收益而且还会给终端用户带来经济、形象上的严重损失，具有极大的危害。 目前，运营商对这一问题给出的解决方案主要采用MAC与IP地址绑定策略，但这种做法实际上仍然存在着极大安全隐患。本文将就这个问题进行探讨。笔者在这里需要声明的是，本文主要出于该策略安全的忧虑，希望相关部门引起重视，并不带有任何黑客性质。 绑定MAC的IP 地址策略技术分析 IP地址盗用或地址欺骗是影响网络安全的一种常见、危害极大的现象。众所周知，Internet的基础是TCP/IP协议的，流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据内容就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。 骨干网上盗用IP地址比较困难，这主要因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。 但是，以太网内部的IP地址盗用则容易得多。由于侵入者盗用以太网内部合法用户的IP地址，而以太网通信主要通过广播方式进行，所以网络互连设备根本无法识别。为解决这一问题，绑定MAC地址与IP地址成为了防止内部IP盗用的一个常用的、简单的、有效的措施。 IP地址的修改是非常容易的，而MAC地址存储于网卡的只读介质中，而且每一网卡的MAC地址是唯一确定的，是全球硬件设备的唯一标识。MAC与IP 地址绑定策略就是利用MAC的唯一性来防止内部人员进行非法IP盗用（例如，盗用权限更高人员的IP地址，以获得权限外的信息)。 目前，许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，都内置了MAC地址与IP地址的绑定功能，策略的部署非常简单：首先，人工整理一张网卡MAC地址与使用者IP的对照表（或只列出合法的MAC地址）。然后，将该表配置到防火墙策略中即可。当使用者对网卡设置IP地址时，防火墙捕获到请求后，将IP地址与策略表比对，如符合则允许工作。否则盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，还可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。 由于这种安全策略貌似无懈可击，所以被很多单位的内部网络，尤其是校园网广泛采用，但实际上由于各层协议以及网卡驱动等实现技术，该策略还存在很大的缺陷，并不能真正防止内部IP地址被盗用。 破解原理及实践 　　IP地址和MAC地址简介 　　现行的TCP/IP网络是一个四层协议结构，从下往上依次为数据链路层、网络层、传输层和应用层。 以太网协议是数据链路层协议，使用的地址是MAC地址。MAC地址是以太网网卡在以太网中的硬件标志，网卡生产时将其存于网卡的只读介质中。网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。在以太网上传输的每个报文都含有发送该报文的网卡的MAC地址。以其中802.3数据帧格式为例，如下图所示： 字节 7 1 2或6 2或6 2 0～1500 0～46 4 先导字段 ↑ 目的地址（MAC） 源地址 （MAC） ↑ 数据 填充字段 校验和 帧开始标志 数据字段长度 图1 802.3 帧格式 可以看出，以太网通信通过广播方式进行，根据报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。当某主机发起通信时，它就将自身MAC填写到源地址段中，将期望到达的主机地址填写到目的地址段中。每台主机都在监听数据帧，当发现某帧的目的地址与本机的MAC