資源描述:
《mac地址與ip地址綁定的策略》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1��、引言對“IP地址盜用”的解決方案絕人多數(shù)都是采取MAC與IP地址綁定策略�����,這種做法是十分危險(xiǎn)的�����,本文將就這個問題進(jìn)行探討�。在這里需要聲明的是,本文是處于對對MAC與IP地址綁定策略安全的憂慮�����,不帶有任何黑客性質(zhì)��。為什么要綁定MAC與IP地址影響網(wǎng)絡(luò)安全的因素很多���,IP地址盜用或地址欺嵋就是其中一個常見且危害極大的因素。現(xiàn)實(shí)屮�,許多網(wǎng)絡(luò)應(yīng)用是基于IP的,比如流量統(tǒng)計(jì)���、賬號控制等都將IP地址作為標(biāo)志用戶的一個重要的參數(shù)��。如果有人盜用了合法地址并偽裝成合法用戶����,網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就可能被破壞���、竊聽���,其至盜用�,造成無法彌補(bǔ)的損失���。盜用外部網(wǎng)絡(luò)的IP地址比較困難,因?yàn)槁酚善鞯染W(wǎng)絡(luò)互連設(shè)備
2���、一般都會設(shè)置通過各個端口的IP地址范圍����,不屬于該IP地址范圍的報(bào)文將無法通過這些互連設(shè)備。但如果盜用的是Ethernet內(nèi)部合法用戶的IP地址�����,這種網(wǎng)絡(luò)互連設(shè)備顯然無能為力了���。“道高一尺�,魔高一丈二對于Ethernet內(nèi)部的IP地址被盜用,當(dāng)然也冇相應(yīng)的解決辦法����。綁定MAC地址與IP地址就是防止內(nèi)部IP盜用的一個常用的���、簡單的�、有效的措施���。MAC與IP地址綁定原理IP地址的修改非常容易,而MAC地址存儲在網(wǎng)卡的EEPROM中���,而且網(wǎng)卡的MAC地址是唯一確定的��。因此為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址���,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與
3��、MAC地址綁定�,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失?���。憾矣捎诰W(wǎng)卡MAC地址的唯一確定性�,可以根據(jù)MAC地址查擊使用該MAC地址的網(wǎng)卡����,進(jìn)而查出菲法盜用者。目前���,很多單位的內(nèi)部網(wǎng)絡(luò)��,尤其是學(xué)校校園網(wǎng)都采用了MAC地址與IP地址的綁定技術(shù)�。許多防火墻(硬件防火墻和軟件防火墻)為了防止網(wǎng)絡(luò)內(nèi)部的IP地址被盜用,也都內(nèi)置了MAC地址與IP地址的綁定功能�����。從表面上看來����,綁定MAC地址和IP地址可以防止內(nèi)部IP地址被盜用�,但實(shí)際上由于各層協(xié)議以及網(wǎng)卡馭動等實(shí)現(xiàn)技術(shù),MAC地址與IP地址的綁定存在很大的缺陷����,并不能真正防止內(nèi)部IP地址被盜用�。破解MAC與IP地址綁定策
4、略IP地址和MAC地址簡介現(xiàn)行的TCP/IP網(wǎng)絡(luò)是一個四層協(xié)議結(jié)構(gòu)��,從下往上依次為鏈路層���、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層�����。Ethernet協(xié)議是鏈路層協(xié)議,使用的地址是MAC地址�����。MAC地址是Ethernet網(wǎng)卡在Ethernet中的碩件標(biāo)志����,網(wǎng)卡生產(chǎn)時將其存于網(wǎng)卡的EEPROM中�。網(wǎng)卡的MAC地址各不相同,MAC地址口J以唯一標(biāo)志一塊網(wǎng)卡�����。在Ethernet上傳輸?shù)拿總€報(bào)文都含冇發(fā)送該報(bào)文的網(wǎng)卡的MAC地址���。Ethernet根據(jù)Ethernet報(bào)文頭屮的源MAC地址和目的MAC來識別報(bào)文的發(fā)送端和接收端���。IPI■辦議應(yīng)用于網(wǎng)絡(luò)層��,使用的地址為IP地址���。使用IP協(xié)議進(jìn)行通訊,每個IP
5���、報(bào)文頭中必須含冇源IP和目的IP地址�����,用以標(biāo)志該IP報(bào)文的發(fā)送端和接收端�����。在Ethernet±使用IP協(xié)議傳輸報(bào)文時,IP報(bào)文作為Ethernet報(bào)文的數(shù)據(jù)���。IP地址對于Ethernet交換機(jī)或處理器是透明的��。用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)的需要為網(wǎng)卡配置一個或多個IP地址����。MAC地址和IP地址之間并不存在一一對應(yīng)的關(guān)系�。MAC地址存儲在網(wǎng)卡的EEPROM中并且唯一確定�����,但網(wǎng)卡驅(qū)動在發(fā)送Ethernet報(bào)文時,并不從EEPROM中讀取MAC地址��,而是在內(nèi)存中來建立一塊緩存區(qū)���,Ethernet報(bào)文從中讀取源MAC地址。而且�,用戶可以通過操作系統(tǒng)修改實(shí)際發(fā)送的Ethernet報(bào)文中的源MA
6、C地址��。既然MAC地址可以修改,那么MAC地址與IP地址的綁定也就失去了它原有的意義��。破解方案下圖是破解試驗(yàn)的結(jié)構(gòu)示意圖����。其內(nèi)部服務(wù)器和外部服務(wù)器都提供Web服務(wù)���,防火墻屮實(shí)現(xiàn)了MAC地址和IP地址的綁定��。報(bào)文屮的源MAC地址與1P地址對如杲無法與防火墻屮設(shè)置的MAC地址與1P地址對匹配����,將無法通過防火墻����。主機(jī)2和內(nèi)部服務(wù)器都是內(nèi)部網(wǎng)絡(luò)屮的合法機(jī)器��;主機(jī)1是為了做實(shí)驗(yàn)而新加入的機(jī)器���。安裝的操作系統(tǒng)是W2000企業(yè)版����,網(wǎng)卡是3Com的���。試驗(yàn)需要修改主機(jī)1屮網(wǎng)卡的MAC和IP地址為被盜用設(shè)備的MAC和IP地址。首先���,在控制面板屮選擇“網(wǎng)絡(luò)和撥號連接"����,選屮對應(yīng)的網(wǎng)卡并點(diǎn)擊鼠標(biāo)右鍵
7���、�����,選擇屈性�,在屈性頁的“常規(guī)'頁屮點(diǎn)擊“配置”按鈕����。在配置屈性頁中選擇“高級”,再在“屬性”欄中選擇"NetworkAddress",在“值”欄中選中輸人框,然后在輸人框中輸人被盜用設(shè)備的MAC地址,MAC地址就修改成功了�����。然后再將IP地址配置成被盜用設(shè)備的IP地址��。盜用內(nèi)部客戶機(jī)IP地址:將主機(jī)1的MAC地址和IP地址分別修改為主機(jī)2的MAC地址和IP地址����。主機(jī)1可以訪問外部服務(wù)器���,能夠順利地通過防火墻��,訪問權(quán)限與主機(jī)2沒冇分別。而冃����,與此同時主機(jī)2也可以正常地訪問外部服務(wù)器�����,完全不受主機(jī)1的影響。無
