第一篇:關于針對基于ARP偽裝技術的IP地址防盜用方案的研究
HR Planning System Integration and Upgrading Research of
A Suzhou Institution
基于ARP偽裝技術的IP地址防盜用方案的研究
杜暖男 馬瑩瑩
(平頂山工業職業技術學院,河南平頂山 467001)
1研究背景
眾所周之,IP地址的盜用對網絡的正常運行是十分有害的。一方面,非法用戶盜用合法用戶的IP地址以獲得特殊的訪問權限;另一方面,非法用戶盜用未分配的IP地址,對正常的網絡運行和應用進行破壞。因此,當前找出在通用網絡模型下IP地址防盜用的方法是十分有必要的。
2IP地址防盜用方案模式分析
2.1IP-MAC模型
IP-MAC模型是人們較早提出的一種模型。IP地址盜用的問題歸根結底是解決IP地址的唯一性的問題,而在實踐中IP地址的唯一性很難保證。正如前面所分析的,在目前日益廣泛應用的Linux系統下,用戶可以隨意地更改所使用的主機的IP地址,因此IP地址的唯一性需要依賴于其他本身具有唯一性的因素來保持。
2.2IP-MAC-USER模型
針對成對修改IP-MAC地址和動態修改IP的IP地址盜用方式,人們提出了IP-MAC-USER模型。
IP-MAC-USER模型的原理是,在采用IP-MAC模型實現IP綁定MAC地址的基礎上,在重點、高危險網段實施IP同時綁定MAC地址和用戶,即在IP-MAC綁定的同時,檢驗與IP相對應的用戶名和口令,實現IP綁定用戶。
這種方案對成對修改IP-MAC地址和動態修改IP的IP地址盜用方式能夠進行徹底的防范,是一種普遍防御和重點防范相結合的方案。
IP-MAC-USER模型不能簡化為IP-USER模型,那樣就會帶來大量IP用戶管理的麻煩,同時造成網絡使用的不便。
2.3IP-MAC-PORT模型
隨著共享式以太網向交換式以太網的發展,具有簡單網絡管理功能的交換機越來越為人們所采用。在這種形勢下人們提出了IP-MAC-PORT模型。
IP-MAC-PORT模型的原理是,在交換以太網環境下,將IP地址與MAC地址、主機所連接的交換機端口同時綁定,即在檢驗(IP,MAC)地址對的同時,檢驗IP對應的交換機端口。
3基于ARP偽裝技術的IP地址防盜用方案
3.1ARP協議分析
ARP(地址解析協議)用于將IP地址映射為硬件地址(MAC地址),它是TCP/IP協議組中的一個非常重要的協議,在OSI七層網絡模型中,網絡層下面是數據鏈路層,為了它們可以互通,需要轉換協議。ARP(地址解析協議)用于把網絡層(第三層)地址映射到數據鏈路層(第二層)地址,RARP(反向地址解析協議)則反之。
網絡層地址是由網絡管理員定義的抽象映射,它不去關心下層是哪種數據鏈路層協議。然而,網絡接口只能根據第二層地址來互相通信,第二層地址通過ARP從第三層地址得到。并不是發送每個數據包都需要進行ARP請求,ARP應答被緩存在本地的ARP表中,這樣就減少了網絡中的ARP包。
3.2ARP偽裝技術
利用ARP協議的無認證特性,假設主機Q與X,Y在同一局域網內,Y向X發送ARP應答后,Q偽裝成Y,再向X發送一個以
Q應用ARP偽裝技術修改X和Y的ARP緩存表后,X和Y發給對方的IP數據報都會發向MAC地址MACq.若MACq為網絡內不存在的空MAC地址,則X,Y可以繼續向對方發IP數據包,但對方收不到,X,Y之間的網絡通信無法實現,本文稱之為ARP截斷。
基于ARP偽裝技術的IP防盜用方法就是采用ARP截斷的方法,使IP盜用主機無法進行網絡通信,從而實現IP地址防盜用。
3.3應用ARP偽裝技術實現IP-MAC模型
隨著技術的發展,有些IP盜用者采用修改主機MAC地址的方法,來避開IP防盜用系統。雖然修改MAC并不容易,但IP防盜用系統也應對其防范。
對于修改MAC的盜用方法,可在子網的IP-MAC地址庫中增加一項IP開關狀態標志,此標志項由用戶自行管理,當用戶要退出網絡時,訪問IP-MAC地址庫,將分配給他的IP地址所對應的開關狀態標志項設置為關閉;當用戶重新使用網絡時,再次訪問IP-MAC地址庫將開關狀態標志打開。
對于ARP監聽模塊,在將ARP包中的源IP地址與IP-MAC地址庫比對時,增加一個判斷IP地址開關狀態標志項的進程,如開關狀態標志項己關閉,就可判斷為修改MAC地址的IP地址盜用,隨即調用ARP截斷模塊。ARP截斷模塊不必做修改。
在IP防盜用軟件運行的系統上開啟Web服務,采用JSP技術開發一個B/S模式的Web數據庫系統,使用戶可以經過必要的用戶、口令認證后,用瀏覽器訪問IP-MAC地址庫,管理IP地址開關狀態標志。
通過以上方案的實施即實現了基于IP-MAC-USER三元素的IP地址防盜用模型,又可對成對修改IP-MAC地址和動態修改IP地址的IP地址盜用方式進行有效地防范。
3.4通過ARP地址欺騙技術防范IP地址盜用
下面以例子的方式說明ARP地址解析和ARP地址欺騙防:
止IP地址盜用。
A機器上運行如下:
C:\>arp — a
Interface 1 92 1 68 1 0 1 on Interface 0x1 000003
Internet Address PhysicaI Address Type
192.168.10.3 CC—CC—CC—CC—CC—CC dynamic
這是192.168.1 0.1(主機A)上的ARP緩存表,假設A進行一次ping 192.168.10.3(主機C)操作,會查詢本地的ARP緩存表,找到C的IP地址對應的MAC地址。以便對傳輸的幀進行封裝,這樣就可以進行數據傳輸,幀的目的MAC地址就是C的MAC地址。如果A中沒有C的ARP記錄,那么A首先要廣播一次ARP請求。當C接收到A的請求后就發送一個應答,應答中包含有C的MAC地址,這就是ARP地址解析的過程,然后A接收到C的應答就會更新本地的ARP緩存。接著使用這個MAC地址發送數據。因此.本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。但是ARP協議并不只在發送了ARP請求才接收ARP應答。這也就是利用ARP地址欺騙技術達到防止IP地址盜用的理論基礎了。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP-TnMAC地址存儲在ARP緩存中。因此,在上面的假設網絡中,B向A發送一個自己偽造的ARP應答 而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址)MAC地址是DD—DD—DD—DD—DD-DD(C的MAC地址本來應該是CC—CC—CC—CC—CC—CC 這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。
4小結
盜用技術的發展與反盜用技術的進步是一個此長彼消,互相促進的過程。要很好解決這個問題,一方面需要依靠反盜用技術的不斷提高,另一方面還需要法律、法規和各項網絡管理制度的健全和完善。亦即,一方面要不斷地提高網絡的管理水平,研究新的網絡技術,另一方面還要對敢于進行IP地址盜用、破壞網絡安全的人,按照有關法規嚴懲,使盜用者既對先進的反盜用技術望而生畏,又對盜用后所承擔的后果心有余悸,才能很好解決IP地址盜用問題。
參考文獻
[1] 謝希仁.計算機網絡.北京: 電子工業出版社, 2005: 102-106
[2] 漆強, 熊筱芳.一種新型的以過程為中心的軟件工程方法.南昌大學學報,2004(6): 90-94
點擊咨詢 