解析IP欺骗攻击与防范.docVIP

解析IP欺骗攻击与防范 　　摘要：IP欺骗是利用主机之间的正常信任关系，伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。IP地址的盗用行为侵害了网络正常用户的合法权益，并且给网络安全、网络正常运行带来了巨大的负面影响，因此研究IP地址盗用问题，找到有效的防范措施，是当前的一个紧迫课题。 　　关键词：IP欺骗；盗用；对策 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)26-1679-02 　　随着计算机网络的发展，对网络资源的破坏及黑客的攻击不断增多，“网络安全性”和“信息安全性”越来越被重视。纵观网络上的各种安全性攻击特征，可归结为消极性和主动性两种。其中，身份欺骗就是一种主动性攻击。从本质上讲，它是针对网络结构及其有关协议在实现过程中存在某些安全漏洞而进行安全攻击的。 　　 　　1 IP欺骗攻击的原理 　　 　　所谓IP欺骗，就是利用主机之间的正常信任关系，伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗只适用于那些通过IP地址实现访问控制的系统。实施IP欺骗攻击就能够有效地隐藏攻击者的身份。目前IP地址盗用的行为非常常见，IP地址的盗用行为侵害了网络正常用户的合法权益，并且给网络安全、网络正常运行带来了巨大的负面影响，因此研究IP地址盗用问题，找到有效的防范措施，是当前的一个紧迫课题。 　　IP地址欺骗攻击是指攻击者使用未经授权的IP地址来配置网上的计算机，以达到非法使用网上资源或隐藏身份从事破坏活动的目的。TCP/IP协议早期是为了方便地实现网络的连接，但是其本身存在一些不安全的地方，从而使一些别有用心的人可以对TCP/IP 网络进行攻击，IP欺骗就是其中的一种。 　　IP欺骗是利用了主机之间的正常信任关系来进行的，如Unix主机中，存在着一种特殊的信任关系。假设用户在主机A和主机B上各有一个账号ABC，用户在主机A上登录时要输入A上的账号ABC，在主机B上登录时要输入B上的账号ABC，两主机将ABC当作是互不相关的账号，这给多服务器环境下的用户带来了诸多的不便，为了杜绝这个问题，可以在主机A和主机B间建立起两个账号的相互信任关系。 　　IP协议是TCP/IP协议组中面向连接、非可靠传输的网络协议，它不保持任何连接状态的信息，它的工作就是在网络中发送数据报，并且保证它的完整性，如果不能收到完整的数据报，IP会向源地址发送一个ICMP错误信息，期待重新发送，但是这个ICMP报文可能会丢失。IP不提供保障可靠性的任何机制，每个数据包被松散地发送出去，可以这样对IP堆栈进行更改，在源地址和目的地址中放人任何满足要求的IP地址，即提供虚假的IP地址。 　　正是因为IP协议自身的缺陷给IP欺骗提供了机会。但TCP协议要对IP包进行进一步地封装，它是一种相对可靠的协议，TCP协议作为保障两台通讯设备之间数据包顺序传输协议，是面向连接的，它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的，如数据序列(SYN)和数据确认(ACK)。TCP向每个数据字节分配一个序列号，并向已经成功接收的，源地址所发送的数据包表示确认，在确认的同时还携带下一个期望获得的数据序列号。TCP序列编号可以看作是32位的计算器，从0到232―1排列，每一个TCP连接交换的数据能顺序编号，通过ACK对所接收的数据进行确认，并指出下一个期待接收的数据序列号。 　　TCP协议在双方正式传输数据之前，需要用“三次握手”来建立一个稳健的连接。在实际利用TCP/IP协议进行通信时，为了提供对TCP模块的并行访问，TCP提供了特殊的用户接收(即端口)。端口是操作系统内核用来标示不同的网络进程，是严格区分传输层人口的标示。TCP端口与IP地址一起提供网络端到端的通信。在Internet上，任何一个连接都包含了源IP地址、源地址端口、目的IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如FTP服务被绑定在21号端口，WWW服务被绑定在80号端口，Telenet服务被绑定在23号端口。 　　 　　2 IP欺骗过程 　　 　　在攻击某一主机前，首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来，许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系，为进一步的IP欺骗提供了机会。假设主机Z企图入侵主机A，而主机A信任主机B。如果冒充主机B对主机A进行攻击，简单使用主机B的IP地址发送SYN标志给主机A，但是当主机A收到后，并不把SYN+ACK发送到攻击的主机上，而是发送到真正的主机B上去，而主机B根本没有发送SYN请