網絡IP欺騙技術研究

楊鈺紅

摘要:隨著計算機技術的廣泛使用和因特網的普及,人們越來越方便的使用網絡進行交流,然而黑客利用IP欺騙技術偽造他人的IP地址阻礙正常的TCP通信,從而達到欺騙目標計算機的目的。本文介紹了IP技術的協議原理、IP偽裝、IP網絡攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學理論依據。

關鍵詞:網絡IP欺騙技術防范手段

中圖分類號:TP3 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0025-01

1 引言

IP欺騙技術實際上是一種融合多種攻擊技術的網絡攻擊行為,融合了IP地址偽造技術、SYN洪流攻擊技術、TCP技術和TCP序列號猜測技術等,同時將基于地址的認證方式應用于攻擊過程。在現實生活中,IP欺騙技術應用于采用IP地址實現訪問控制的系統,IP欺騙行為在一定程度上損害了正常網絡用戶的合法權益,同時嚴重影響了網絡安全和網絡的正常運行。

2 協議基本原理及IP偽裝

2.1 協議基本原理

IP協議是TCP/IP協議之一,也是TCP/IP眾多協議中的核心協議,通常用來為上層協議提供服務。在實際生活中,TCP連接就是建立在IP數據報服務的基礎上,可以為用戶提供面向連接的、可靠的字節流服務。源與目標主機的IP地址、協議端口號均包含于IP報文首部的控制信息之中,并且控制信息和數據組成了所有的IP報文和TCP報文。在網絡中,IP地址的主要功能是把數據報經由網絡從一個主機傳送到另一個主機。協議端口號的主要功能是用來標識一臺機器上的多個進程。

2.2 IP偽裝

隨著計算機技術的廣泛使用和網絡的普及,互聯網用戶量快速增長,由于IP地址的數量是有限的固定的,這就導致了IP地址資源日趨緊張。IP偽裝技術就是用來解決IP地址資源緊張問題的技術,IP偽裝指的是將局域網內部的IP地址偽裝成防火墻合法的IP地址。主機在局域網內傳輸數據到互聯網的時候,IP包第一個就要通過防火墻,并被防火墻截取,記錄該IP包的源和端口號,同時將源和端口號改為防火墻合法的IP地址與選定端口號,之后才被送到互聯網。由局域網內部的客戶端角度看,該IP包好像是直接由互聯網傳輸過來。由互聯網的服務端角度看,該IP包是直接被防火墻傳輸過來。當具有偽裝功能的防火墻接到由互聯網傳輸過來的IP包時,第一要檢查該IP包的目的端口號,如果這個端口號是之前用于偽裝的,那么要將這個IP包的端口號與目的地址改成被偽裝的端口號與IP地址,同時將它傳輸到內部網。為保護內部IP地址,我們可以采用這種方法使用一個IP地址替代所有的內部網絡地址,從而減輕了IP地址資源緊張的局面。

3 IP欺騙攻擊

3.1 欺騙攻擊的原理

所謂IP欺騙,就是利用主機之間的正常信任關系,偽造他人的IP地址達到欺騙某些主機的目的。IP地址欺騙僅僅在通過IP地址實現訪問控制的系統中使用。攻擊者利用IP欺騙技術能夠巧妙的隱藏自己的身份,從而使用未被授權的IP地址并且配置網上的計算機,以此達到使用非法身份進行破壞或者非法使用網絡資源的目的。總之,IP欺騙是一種進攻的手段,是對主機之間的正常信任關系的破壞。這是由于TCP/IP協議本身存在漏洞,使得黑客能夠利用這些漏洞對網絡進行攻擊。

3.2 IP欺騙過程

通常在攻擊目標計算機之前,首先要查找被這臺計算機信任的計算機,通過一些命令或端口掃描能夠確定計算機用戶, 而大多數黑客就是采用這種端口掃描技術破壞局域網內計算機之間的正常信任關系。假設計算機A企圖入侵計算機C,而計算機C信任計算機B。如果冒充計算機B對計算機C進行攻擊,簡單使用計算機B的IP地址發送SYN標志給計算機C,但是當計算機C收到后,并不把SYN+ACK發送到攻擊的計算機上,而是發送到真正的計算機B上去,而計算機B根本沒有發送SYN請求,導致欺騙失敗。所以如果要冒充計算機B,首先要看計算機B是否關機,否則應設法讓計算機B癱瘓,確保它不能收到任何有效的網絡數據。攻擊目標計算機C,需要獲取計算機C的數據包序列號。可以先與被攻擊計算機的一個端口建立起正常連接,同時記錄計算機C的ISN和計算機A到計算機C的RTT值。多次重復上述步驟就能夠求得RTT的平均值。計算機A獲取了計算機C的ISN的值和增加規律后,同時也獲取了由計算機A到計算機C需要RTT/2的時間。

4 利用IP欺騙引起的網絡犯罪

4.1 網絡犯罪概念

計算機犯罪與計算機技術密切相關。 “計算機犯罪”這一術語隨著時間的推移,應用領域急劇擴大而不斷獲得新的含義。在學術研究上關于計算機犯罪迄今為止尚無統一的定義。結合刑法條文的有關規定和我國計算機犯罪的實際情況,我認為計算機犯罪就是指行為人故意直接對計算機實施侵入或破壞,或利用計算機實施犯罪行為的總稱。

4.2 IP欺騙攻擊的防護手段

IP欺騙技術的特征是:只有少數的平臺被IP技術攻擊,而其他一些平臺由于不存在這方面的漏洞,所以不會被IP欺騙技術攻擊;由于此種技術較難理解,僅有較少的網絡高手才能真正操作這種技術,所以這種技術出現的可能性較小;此種攻擊方法較易防備。IP欺騙只能攻擊那些運行真正的TCP/IP的機器,真正的TCP/IP指的是那些完全實現了TCP/IP協議,包括所有的端口和服務。

IP欺騙防范手段主要有以下兩種:

(1)關閉安全隱患大的端口

關閉一些安全隱患比較大的服務與端口,通常情況下,Windows有很多端口是默認開放的,與網絡連接時,網絡病毒與黑客能夠通過上述端口進入目標電腦。為了保證電腦的安全性,應該封閉這些端口,例如:TCP 135、139、445、593、1025端口與 UDP 135、137、138、445端口,一些流行病毒的后門端口,和遠程服務訪問端口3389。

(2)隱藏IP

第一,安裝可以自動去掉傳輸數據包包頭IP信息的軟件,可以隱藏用戶IP地址,但是,使用這一手段嚴重耗費資源、在一定程度上降低了計算機的性能。

第二,使用代理服務器。對于個人用戶來說,使用代理服務器是最簡單常見的方法,通過使用代理服務器,“轉址服務”能夠將傳輸出去的數據包進行修改,從而使“數據包分析”方法失效。但是,使用代理服務器,將會影響網絡通訊的速度,而且網絡用戶需要添置一臺上可以提供代理能力的計算機,若用戶不能找到這樣的代理服務器那么將無法使用代理服務器。

第三,防火墻也可以在某種程度上使用IP的隱藏。

5 結語

計算機技術的快速發展和互聯網的普及給人們的交流與信息共享帶來了極大的便捷,科學合理的使用計算機和網絡更好的為人們提供服務,研究IP欺騙技術在一定程度上打擊網絡欺騙行為起了很大的作用。本文介紹了IP技術的協議原理、IP偽裝、IP網絡攻擊的原理、IP欺騙過程、IP欺騙攻擊的防護手段。旨在為有效的防御和檢測IP欺騙攻擊提供科學理論依據。

參考文獻

[1] 余偉建,嚴忠軍,盧科霞,王凌著.黑客攻擊手段分析與防范[M].北京:人民郵電出版社,2001.

[2] Kenneth D. Reed著.TCP/IP基礎[M].北京:電子工業出版社,2002.