网络IP欺骗技术研究
2012-04-29杨钰红
杨钰红
摘要:随着计算机技术的广泛使用和因特网的普及,人们越来越方便的使用网络进行交流,然而黑客利用IP欺骗技术伪造他人的IP地址阻碍正常的TCP通信,从而达到欺骗目标计算机的目的。本文介绍了IP技术的协议原理、IP伪装、IP网络攻击的原理、IP欺骗过程、IP欺骗攻击的防护手段。旨在为有效的防御和检测IP欺骗攻击提供科学理论依据。
关键词:网络IP欺骗技术防范手段
中图分类号:TP3 文献标识码:A 文章编号:1674-098X(2012)06(c)-0025-01
1 引言
IP欺骗技术实际上是一种融合多种攻击技术的网络攻击行为,融合了IP地址伪造技术、SYN洪流攻击技术、TCP技术和TCP序列号猜测技术等,同时将基于地址的认证方式应用于攻击过程。在现实生活中,IP欺骗技术应用于采用IP地址实现访问控制的系统,IP欺骗行为在一定程度上损害了正常网络用户的合法权益,同时严重影响了网络安全和网络的正常运行。
2 协议基本原理及IP伪装
2.1 协议基本原理
IP协议是TCP/IP协议之一,也是TCP/IP众多协议中的核心协议,通常用来为上层协议提供服务。在实际生活中,TCP连接就是建立在IP数据报服务的基础上,可以为用户提供面向连接的、可靠的字节流服务。源与目标主机的IP地址、协议端口号均包含于IP报文首部的控制信息之中,并且控制信息和数据组成了所有的IP报文和TCP报文。在网络中,IP地址的主要功能是把数据报经由网络从一个主机传送到另一个主机。协议端口号的主要功能是用来标识一台机器上的多个进程。
2.2 IP伪装
随着计算机技术的广泛使用和网络的普及,互联网用户量快速增长,由于IP地址的数量是有限的固定的,这就导致了IP地址资源日趋紧张。IP伪装技术就是用来解决IP地址资源紧张问题的技术,IP伪装指的是将局域网内部的IP地址伪装成防火墙合法的IP地址。主机在局域网内传输数据到互联网的时候,IP包第一个就要通过防火墙,并被防火墙截取,记录该IP包的源和端口号,同时将源和端口号改为防火墙合法的IP地址与选定端口号,之后才被送到互联网。由局域网内部的客户端角度看,该IP包好像是直接由互联网传输过来。由互联网的服务端角度看,该IP包是直接被防火墙传输过来。当具有伪装功能的防火墙接到由互联网传输过来的IP包时,第一要检查该IP包的目的端口号,如果这个端口号是之前用于伪装的,那么要将这个IP包的端口号与目的地址改成被伪装的端口号与IP地址,同时将它传输到内部网。为保护内部IP地址,我们可以采用这种方法使用一个IP地址替代所有的内部网络地址,从而减轻了IP地址资源紧张的局面。
3 IP欺骗攻击
3.1 欺骗攻击的原理
所谓IP欺骗,就是利用主机之间的正常信任关系,伪造他人的IP地址达到欺骗某些主机的目的。IP地址欺骗仅仅在通过IP地址实现访问控制的系统中使用。攻击者利用IP欺骗技术能够巧妙的隐藏自己的身份,从而使用未被授权的IP地址并且配置网上的计算机,以此达到使用非法身份进行破坏或者非法使用网络资源的目的。总之,IP欺骗是一种进攻的手段,是对主机之间的正常信任关系的破坏。这是由于TCP/IP协议本身存在漏洞,使得黑客能够利用这些漏洞对网络进行攻击。
3.2 IP欺骗过程
通常在攻击目标计算机之前,首先要查找被这台计算机信任的计算机,通过一些命令或端口扫描能够确定计算机用户, 而大多数黑客就是采用这种端口扫描技术破坏局域网内计算机之间的正常信任关系。假设计算机A企图入侵计算机C,而计算机C信任计算机B。如果冒充计算机B对计算机C进行攻击,简单使用计算机B的IP地址发送SYN标志给计算机C,但是当计算机C收到后,并不把SYN+ACK发送到攻击的计算机上,而是发送到真正的计算机B上去,而计算机B根本没有发送SYN请求,导致欺骗失败。所以如果要冒充计算机B,首先要看计算机B是否关机,否则应设法让计算机B瘫痪,确保它不能收到任何有效的网络数据。攻击目标计算机C,需要获取计算机C的数据包序列号。可以先与被攻击计算机的一个端口建立起正常连接,同时记录计算机C的ISN和计算机A到计算机C的RTT值。多次重复上述步骤就能够求得RTT的平均值。计算机A获取了计算机C的ISN的值和增加规律后,同时也获取了由计算机A到计算机C需要RTT/2的时间。
4 利用IP欺骗引起的网络犯罪
4.1 网络犯罪概念
计算机犯罪与计算机技术密切相关。 “计算机犯罪”这一术语随着时间的推移,应用领域急剧扩大而不断获得新的含义。在学术研究上关于计算机犯罪迄今为止尚无统一的定义。结合刑法条文的有关规定和我国计算机犯罪的实际情况,我认为计算机犯罪就是指行为人故意直接对计算机实施侵入或破坏,或利用计算机实施犯罪行为的总称。
4.2 IP欺骗攻击的防护手段
IP欺骗技术的特征是:只有少数的平台被IP技术攻击,而其他一些平台由于不存在这方面的漏洞,所以不会被IP欺骗技术攻击;由于此种技术较难理解,仅有较少的网络高手才能真正操作这种技术,所以这种技术出现的可能性较小;此种攻击方法较易防备。IP欺骗只能攻击那些运行真正的TCP/IP的机器,真正的TCP/IP指的是那些完全实现了TCP/IP协议,包括所有的端口和服务。
IP欺骗防范手段主要有以下两种:
(1)关闭安全隐患大的端口
关闭一些安全隐患比较大的服务与端口,通常情况下,Windows有很多端口是默认开放的,与网络连接时,网络病毒与黑客能够通过上述端口进入目标电脑。为了保证电脑的安全性,应该封闭这些端口,例如:TCP 135、139、445、593、1025端口与 UDP 135、137、138、445端口,一些流行病毒的后门端口,和远程服务访问端口3389。
(2)隐藏IP
第一,安装可以自动去掉传输数据包包头IP信息的软件,可以隐藏用户IP地址,但是,使用这一手段严重耗费资源、在一定程度上降低了计算机的性能。
第二,使用代理服务器。对于个人用户来说,使用代理服务器是最简单常见的方法,通过使用代理服务器,“转址服务”能够将传输出去的数据包进行修改,从而使“数据包分析”方法失效。但是,使用代理服务器,将会影响网络通讯的速度,而且网络用户需要添置一台上可以提供代理能力的计算机,若用户不能找到这样的代理服务器那么将无法使用代理服务器。
第三,防火墙也可以在某种程度上使用IP的隐藏。
5 结语
计算机技术的快速发展和互联网的普及给人们的交流与信息共享带来了极大的便捷,科学合理的使用计算机和网络更好的为人们提供服务,研究IP欺骗技术在一定程度上打击网络欺骗行为起了很大的作用。本文介绍了IP技术的协议原理、IP伪装、IP网络攻击的原理、IP欺骗过程、IP欺骗攻击的防护手段。旨在为有效的防御和检测IP欺骗攻击提供科学理论依据。
参考文献
[1] 余伟建,严忠军,卢科霞,王凌著.黑客攻击手段分析与防范[M].北京:人民邮电出版社,2001.
[2] Kenneth D. Reed著.TCP/IP基础[M].北京:电子工业出版社,2002.