楊鈺紅

摘要:隨著計算機技術(shù)的廣泛使用和因特網(wǎng)的普及,人們越來越方便的使用網(wǎng)絡(luò)進行交流,然而黑客利用IP欺騙技術(shù)偽造他人的IP地址阻礙正常的TCP通信,從而達到欺騙目標計算機的目的。本文介紹了IP技術(shù)的協(xié)議原理、IP偽裝、IP網(wǎng)絡(luò)攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學理論依據(jù)。

關(guān)鍵詞:網(wǎng)絡(luò)IP欺騙技術(shù)防范手段

中圖分類號:TP3 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0025-01

1 引言

IP欺騙技術(shù)實際上是一種融合多種攻擊技術(shù)的網(wǎng)絡(luò)攻擊行為,融合了IP地址偽造技術(shù)、SYN洪流攻擊技術(shù)、TCP技術(shù)和TCP序列號猜測技術(shù)等,同時將基于地址的認證方式應用于攻擊過程。在現(xiàn)實生活中,IP欺騙技術(shù)應用于采用IP地址實現(xiàn)訪問控制的系統(tǒng),IP欺騙行為在一定程度上損害了正常網(wǎng)絡(luò)用戶的合法權(quán)益,同時嚴重影響了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)的正常運行。

2 協(xié)議基本原理及IP偽裝

2.1 協(xié)議基本原理

IP協(xié)議是TCP/IP協(xié)議之一,也是TCP/IP眾多協(xié)議中的核心協(xié)議,通常用來為上層協(xié)議提供服務(wù)。在實際生活中,TCP連接就是建立在IP數(shù)據(jù)報服務(wù)的基礎(chǔ)上,可以為用戶提供面向連接的、可靠的字節(jié)流服務(wù)。源與目標主機的IP地址、協(xié)議端口號均包含于IP報文首部的控制信息之中,并且控制信息和數(shù)據(jù)組成了所有的IP報文和TCP報文。在網(wǎng)絡(luò)中,IP地址的主要功能是把數(shù)據(jù)報經(jīng)由網(wǎng)絡(luò)從一個主機傳送到另一個主機。協(xié)議端口號的主要功能是用來標識一臺機器上的多個進程。

2.2 IP偽裝

隨著計算機技術(shù)的廣泛使用和網(wǎng)絡(luò)的普及,互聯(lián)網(wǎng)用戶量快速增長,由于IP地址的數(shù)量是有限的固定的,這就導致了IP地址資源日趨緊張。IP偽裝技術(shù)就是用來解決IP地址資源緊張問題的技術(shù),IP偽裝指的是將局域網(wǎng)內(nèi)部的IP地址偽裝成防火墻合法的IP地址。主機在局域網(wǎng)內(nèi)傳輸數(shù)據(jù)到互聯(lián)網(wǎng)的時候,IP包第一個就要通過防火墻,并被防火墻截取,記錄該IP包的源和端口號,同時將源和端口號改為防火墻合法的IP地址與選定端口號,之后才被送到互聯(lián)網(wǎng)。由局域網(wǎng)內(nèi)部的客戶端角度看,該IP包好像是直接由互聯(lián)網(wǎng)傳輸過來。由互聯(lián)網(wǎng)的服務(wù)端角度看,該IP包是直接被防火墻傳輸過來。當具有偽裝功能的防火墻接到由互聯(lián)網(wǎng)傳輸過來的IP包時,第一要檢查該IP包的目的端口號,如果這個端口號是之前用于偽裝的,那么要將這個IP包的端口號與目的地址改成被偽裝的端口號與IP地址,同時將它傳輸?shù)絻?nèi)部網(wǎng)。為保護內(nèi)部IP地址,我們可以采用這種方法使用一個IP地址替代所有的內(nèi)部網(wǎng)絡(luò)地址,從而減輕了IP地址資源緊張的局面。

3 IP欺騙攻擊

3.1 欺騙攻擊的原理

所謂IP欺騙,就是利用主機之間的正常信任關(guān)系,偽造他人的IP地址達到欺騙某些主機的目的。IP地址欺騙僅僅在通過IP地址實現(xiàn)訪問控制的系統(tǒng)中使用。攻擊者利用IP欺騙技術(shù)能夠巧妙的隱藏自己的身份,從而使用未被授權(quán)的IP地址并且配置網(wǎng)上的計算機,以此達到使用非法身份進行破壞或者非法使用網(wǎng)絡(luò)資源的目的?？傊?IP欺騙是一種進攻的手段,是對主機之間的正常信任關(guān)系的破壞。這是由于TCP/IP協(xié)議本身存在漏洞,使得黑客能夠利用這些漏洞對網(wǎng)絡(luò)進行攻擊。

3.2 IP欺騙過程

通常在攻擊目標計算機之前,首先要查找被這臺計算機信任的計算機,通過一些命令或端口掃描能夠確定計算機用戶, 而大多數(shù)黑客就是采用這種端口掃描技術(shù)破壞局域網(wǎng)內(nèi)計算機之間的正常信任關(guān)系。假設(shè)計算機A企圖入侵計算機C,而計算機C信任計算機B。如果冒充計算機B對計算機C進行攻擊,簡單使用計算機B的IP地址發(fā)送SYN標志給計算機C,但是當計算機C收到后,并不把SYN+ACK發(fā)送到攻擊的計算機上,而是發(fā)送到真正的計算機B上去,而計算機B根本沒有發(fā)送SYN請求,導致欺騙失敗。所以如果要冒充計算機B,首先要看計算機B是否關(guān)機,否則應設(shè)法讓計算機B癱瘓,確保它不能收到任何有效的網(wǎng)絡(luò)數(shù)據(jù)。攻擊目標計算機C,需要獲取計算機C的數(shù)據(jù)包序列號?？梢韵扰c被攻擊計算機的一個端口建立起正常連接,同時記錄計算機C的ISN和計算機A到計算機C的RTT值。多次重復上述步驟就能夠求得RTT的平均值。計算機A獲取了計算機C的ISN的值和增加規(guī)律后,同時也獲取了由計算機A到計算機C需要RTT/2的時間。

4 利用IP欺騙引起的網(wǎng)絡(luò)犯罪

4.1 網(wǎng)絡(luò)犯罪概念

計算機犯罪與計算機技術(shù)密切相關(guān)。 “計算機犯罪”這一術(shù)語隨著時間的推移,應用領(lǐng)域急劇擴大而不斷獲得新的含義。在學術(shù)研究上關(guān)于計算機犯罪迄今為止尚無統(tǒng)一的定義。結(jié)合刑法條文的有關(guān)規(guī)定和我國計算機犯罪的實際情況,我認為計算機犯罪就是指行為人故意直接對計算機實施侵入或破壞,或利用計算機實施犯罪行為的總稱。

4.2 IP欺騙攻擊的防護手段

IP欺騙技術(shù)的特征是:只有少數(shù)的平臺被IP技術(shù)攻擊,而其他一些平臺由于不存在這方面的漏洞,所以不會被IP欺騙技術(shù)攻擊;由于此種技術(shù)較難理解,僅有較少的網(wǎng)絡(luò)高手才能真正操作這種技術(shù),所以這種技術(shù)出現(xiàn)的可能性較小;此種攻擊方法較易防備。IP欺騙只能攻擊那些運行真正的TCP/IP的機器,真正的TCP/IP指的是那些完全實現(xiàn)了TCP/IP協(xié)議,包括所有的端口和服務(wù)。

IP欺騙防范手段主要有以下兩種:

(1)關(guān)閉安全隱患大的端口

關(guān)閉一些安全隱患比較大的服務(wù)與端口,通常情況下,Windows有很多端口是默認開放的,與網(wǎng)絡(luò)連接時,網(wǎng)絡(luò)病毒與黑客能夠通過上述端口進入目標電腦。為了保證電腦的安全性,應該封閉這些端口,例如:TCP 135、139、445、593、1025端口與 UDP 135、137、138、445端口,一些流行病毒的后門端口,和遠程服務(wù)訪問端口3389。

(2)隱藏IP

第一,安裝可以自動去掉傳輸數(shù)據(jù)包包頭IP信息的軟件,可以隱藏用戶IP地址,但是,使用這一手段嚴重耗費資源、在一定程度上降低了計算機的性能。

第二,使用代理服務(wù)器。對于個人用戶來說,使用代理服務(wù)器是最簡單常見的方法,通過使用代理服務(wù)器,“轉(zhuǎn)址服務(wù)”能夠?qū)鬏敵鋈サ臄?shù)據(jù)包進行修改,從而使“數(shù)據(jù)包分析”方法失效。但是,使用代理服務(wù)器,將會影響網(wǎng)絡(luò)通訊的速度,而且網(wǎng)絡(luò)用戶需要添置一臺上可以提供代理能力的計算機,若用戶不能找到這樣的代理服務(wù)器那么將無法使用代理服務(wù)器。

第三,防火墻也可以在某種程度上使用IP的隱藏。

5 結(jié)語

計算機技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及給人們的交流與信息共享帶來了極大的便捷,科學合理的使用計算機和網(wǎng)絡(luò)更好的為人們提供服務(wù),研究IP欺騙技術(shù)在一定程度上打擊網(wǎng)絡(luò)欺騙行為起了很大的作用。本文介紹了IP技術(shù)的協(xié)議原理、IP偽裝、IP網(wǎng)絡(luò)攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學理論依據(jù)。

參考文獻

[1] 余偉建,嚴忠軍,盧科霞,王凌著.黑客攻擊手段分析與防范[M].北京:人民郵電出版社,2001.

[2] Kenneth D. Reed著.TCP/IP基礎(chǔ)[M].北京:電子工業(yè)出版社,2002.