如何防止IP地址的欺骗.pdf

维普资讯 第28卷第5期 江西师范大学学报 (自然科学版) V01．28No．5 2004年 l0月 JOURNALOFJLNGxINORMALuNⅣERSⅡY(NATuRALSCIENCE) Oct．2004 文章编号 ：1000—5862(20o4)o5—0451—03 如何防止 IP地址 的欺骗 潘泽强， 叶 青 (江西中医学院 计算机系，江西 南昌 330006) 摘要：首先介绍了绑定MAC地址与IP地址的起因，并通过实验验证与理论分析证明了绑定存在缺陷；然 后提出了解决问题的设想 ． 关键词 ：MAC地址； 地址；地址绑定；地址欺骗 中图分类号：TP393 文献标识码：A 1 IP地址和 MAC地址 现行的TCP／II)网络是一个 四层协议集结构 ，从下往上依次为链路层 、网络层 、传输层和应用层 ． Ethemet协议是链路层协议，使用的地址是MAC地址 ．MAC地址是 Ethemet网卡在 Ethemet中的硬件标 志，网卡生产时将其存于网卡的EPROM中．网卡的MAC地址各不相同，MAC地址可以惟一标志一块网卡． 在 Ethemet上传输的每个帧都含有发送该报文的网卡的MAC地址 ，Ethemet根据 Ethemet帧头中的源MAC地 址和目的MAC地址来识别帧的发送端和接受端．II)协议应用于网络层，使用的地址为 II)地址．使用 II)协议 进行通讯 ，每个 II)报文头中必须含有源 II)地址和 目的 II)地址 ，用以标志该 II)报文的发送端和接受端 ． 在Ethemet上使用 II)协议传输报文时，II)报文作为Ethemet帧的数据 ．II)地址对于Ethemet交换机或处 理器是透明的．用户可以根据实际网络的需要为网卡配置一个或多个 II)地址 ．MAC地址和 II)地址之间并不 存在一一对应的关系． 2 绑定 MAC地址与 IP地址 随着网络应用，特别是 Intemet应用的普及 ，网络安全问题逐渐引起人们的关注．影响网络安全的因素很 多，地址欺骗就是其中一个常见且危害极大的因素 ．现实中，许多网络应用是基于 II)的，比如流量统计、帐号 控制等都将 II)地址作为标志用户的一个重要的参数 ．如果有人盗用了合法地址伪装成合法用户，网络上传 输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失(盗用外部网络的II)地址 比较困难 ，因为路由 器等网络互连设备一般都会设置通过各个端I=I的 II)地址范围，不属于该 II)地址范围的报文将无法通过这 些互连设备．但如果盗用的是Ethemet内部合法用户的II)地址，这种网络互连设备显然无能为力了)．防止内 部的II)地址盗用的一个常用措施是绑定MAC地址与 II)地址 ． II)地址的修改非常容易，而MAC地址存储在网卡的EPROM中，而且网卡的MAC地址是惟一确定的．因 此 ，为了防止内部人员进行非法 II)盗用，可将内部网络的II)地址与MAC地址绑定 ．盗用者即使修改了II)地 址，也因MAC地址不匹配而盗用失败，而且 由于网卡MAC地址的惟一确定性 ，可根据 MAC地址查出非法盗 用者．目前，很多单位的内部网络都采用了MAC地址与 II)地址的绑定技术． 从表面上看，绑定MAC地址和II)地址可以防止内部 II)地址被盗用，但实际上由于各层协议 以及网卡驱 动等实际技术 ，MAC地址与 II)地址的绑定存在很大的缺陷，并不能真正防止内部 II)地址被盗用 ． 3 绑定 MAC地址和 IP地址 的缺陷 收稿 日期 ：2004—03—05 作者简介：潘泽强(1968一)，男，江西泰和人，硕士研究生，主要从事计算机应用的研究 维普资讯 452 江西师范大学学报 (自然科学版) 2004丘 MAC地址存储在网卡的EPROM中并且惟一确定 ，但网卡驱动在发送 Ethem