資源描述:
《MAC地址與IP地址綁定策略》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1����、MAC地址與IP地址綁定策略1引言對(duì)“IP地址盜用”的解決方案絕大多數(shù)都是采取MAC與IP地址綁定策略���,這種做法是十分危險(xiǎn)的,木文將就這個(gè)問題進(jìn)行探討��。在這里需要聲明的是,木文是處于對(duì)對(duì)MAC與IP地址綁定策略安全的憂慮��,不帶有任何黑客性質(zhì)���。1.1為什么要綁定MAC-LjIP地址影響網(wǎng)絡(luò)安全的因素很多�����,1P地址盜用或地址欺騙就是其中一個(gè)常見且危害極大的因索?,F(xiàn)實(shí)小��,許多網(wǎng)絡(luò)應(yīng)用是基于1P的��,比如流量統(tǒng)計(jì)、賬號(hào)控制等都將IP地址作為標(biāo)志用戶的一個(gè)重要的參數(shù)����。如果有人盜用了合法地址并偽裝成合法用戶����,網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就可能被破壞����、竊聽��,甚至盜用����,造成無法彌補(bǔ)的損火��。盜用外部網(wǎng)絡(luò)的IP地址比較困
2���、難,因?yàn)槁酚善鞯染W(wǎng)絡(luò)互連設(shè)備一般都會(huì)設(shè)置通過各個(gè)端口的IP地址范圍�,不屬于該IP地址范圍的報(bào)文將無法通過這些互連設(shè)備���。但如果盜川的是Ethernet內(nèi)部合法川戶的IP地址,這種網(wǎng)絡(luò)互連設(shè)備顯然無能為力了�。“道高一尺�,魔高—?丈”,對(duì)于Ethernet內(nèi)部的IP地址被盜用���,當(dāng)然也有相應(yīng)的解決辦法����。綁定MAC地址與IP地址就是防止內(nèi)部IP盜用的一個(gè)常用的�����、簡單的����、冇效的措施����。1.2MAC與IP地址綁定原理IP地址的修改非常容易���,而MAC地址存儲(chǔ)在網(wǎng)卡的EEPROM中�����,而且網(wǎng)卡的MAC地址是唯一確定的���。因此,為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址�,以獲得權(quán)限外的信息)
3、�����,可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定�,盜用者即使修改了IP地址����,也因MAC地址不匹配而盜用失敗:而fl.由于網(wǎng)卡MAC地址的唯一確定性,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡����,進(jìn)而查出非法盜用者。目而���,很多單位的內(nèi)部網(wǎng)絡(luò)���,尤其是學(xué)校校園網(wǎng)都采用了MAC地址與IP地址的綁定技術(shù)。許多防火墻(碩件防火墻和軟件防火墻)為了防止網(wǎng)絡(luò)內(nèi)部的IP地址被盜用�����,也都內(nèi)置了MAC地址與IP地址的綁定功能��。從表而上看來,綁定MAC地址和IP地址可以防止內(nèi)部IP地址被盜用,但實(shí)際上由于各層協(xié)議以及網(wǎng)卡驅(qū)動(dòng)等實(shí)現(xiàn)技術(shù)���,MAC地址?IP地址的綁定存在很大的缺陷,并不能真正防止內(nèi)部IP地址彼盜用�����。2破解
4、MAC與IP地址綁定策略2.1IP地址和MAC地址簡介現(xiàn)行的TCP/IP網(wǎng)絡(luò)是一個(gè)四層協(xié)議結(jié)構(gòu)�����,從下往上依次為鏈路層���、網(wǎng)絡(luò)層���、傳輸層和應(yīng)用層����。Ethernet協(xié)議是鏈路層協(xié)議�,使用的地址是MAC地址。MAC地址是Ethernet網(wǎng)卡在Ethernet屮的硬件標(biāo)志����,網(wǎng)卡牛產(chǎn)時(shí)將其存于網(wǎng)卡的EEPROM屮。網(wǎng)卡的MAC地址各不相同�,MAC地址可以唯-?標(biāo)志—?塊網(wǎng)卡。在Ethernet±傳輸?shù)拿總€(gè)報(bào)文都含有發(fā)送該報(bào)文的網(wǎng)卡的MAC地址���。Ethernet根據(jù)Ethernet報(bào)文頭屮的源MAC地址和1=1的MAC來識(shí)別報(bào)文的發(fā)送端和接收端��。1P協(xié)議應(yīng)用于網(wǎng)絡(luò)層,使用的地址為IP地址。使用IPI辦
5、議進(jìn)行通訊,每個(gè)1P報(bào)文頭中必須含有源IP和H的IP地址,用以標(biāo)志該IP報(bào)文的發(fā)送端和接收端。在Ethernet上使用IP協(xié)議傳輸報(bào)文時(shí)����,IP報(bào)文作為Ethernet報(bào)文的數(shù)據(jù)����。IP地址對(duì)于Ethernet交換機(jī)或處理器是透明的。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)的需要為網(wǎng)卡配置一個(gè)或多個(gè)IP地址�����。MAC地址和IP地址Z間并不存在一一對(duì)應(yīng)的關(guān)系���。MAC地址存儲(chǔ)在網(wǎng)卡的EEPROM中并且唯一確定,但網(wǎng)卡驅(qū)動(dòng)在發(fā)送Ethernet報(bào)文時(shí),并不從EEPROM>
6���、'讀取MAC地址���,而是在內(nèi)存屮來建立—?塊緩存區(qū)�,Ethernet報(bào)文從屮讀取源MAC地址���。而用戶可以通過操作系統(tǒng)修改實(shí)際發(fā)送的Ethernet報(bào)文
7��、中的源MAC地址�����。既然MAC地址可以修改����,那么MAC地址與IP地址的綁定也就失去了它原冇的意義。2.2破解方案卜-圖是破解試驗(yàn)的結(jié)構(gòu)示意圖�。其內(nèi)部服務(wù)器和外部服務(wù)器都提供Web服務(wù),防火墻屮實(shí)現(xiàn)了MAC地址和IP地址的綁定�。報(bào)文屮的源MAC地址與1P地址對(duì)如果無法與防火墻小設(shè)置的MAC地址與1P地址對(duì)匹配,將無法通過防火墻���。主機(jī)2和內(nèi)部服務(wù)器都是內(nèi)部網(wǎng)絡(luò)屮的合法機(jī)器:主機(jī)1是為了做實(shí)驗(yàn)而新加入的機(jī)器����。安裝的操作系統(tǒng)是W2000企業(yè)版��,網(wǎng)卡是3Com的�����。試驗(yàn)需要修改主機(jī)1中網(wǎng)卡的MAC和IP地址為被盜用設(shè)備的MAC和1P地址����。首先,在控制而板屮選擇“網(wǎng)絡(luò)和撥號(hào)連接”,選屮對(duì)應(yīng)的網(wǎng)卡并點(diǎn)擊鼠
8����、標(biāo)右鍵��,選擇屬性����,在屬性頁的“常規(guī)”頁中點(diǎn)擊“配置”按鈕。在配置屬性頁中選擇“高級(jí)”,再在“屬性”欄中選擇“NetworkAddress”,在“值”欄中選中輸人框,然后在輸人框中輸人被盜用設(shè)備的MAC地址����,MAC地址就修改成功了。然后再將IP地址配置成被盜用設(shè)備的IP地址�。盜用內(nèi)部客戶機(jī)IP地址:將主機(jī)1的MAC地址和IP地址分別修改為主機(jī)2的MAC地址和IP地址��。主機(jī)1可以訪問外部服務(wù)器����,能夠順利地通過防火墻,訪問權(quán)限與主機(jī)2沒冇
