|
- UID
- 2
- 帖子
- 12248
- 积分
- 17755
- 阅读权限
- 255
- 在线时间
- 3954 小时
|
4#
发表于 2006-5-25 20:18
| 只看该作者
如何防止ip被盗
提纲:
1.何谓盗号?
2.如何盗号.
3.如何防止盗号:
3.1 实时查询IP地址和MAC地址的方法
3.2 ip地址与mac地址捆绑的方法
3.3 缩小盗号范围的方法
3.4 认证系统方法
3.5 采用ipv6的身份认证
3.6 采用VLAN(虚拟局域网)技术
4.结束语
----------------------------------------------------------------------------
第一部分:何谓盗号
盗号就是一些用户用不属于自己 ip上网,之所以不属于这些用户是因为网络中心已将这些ip地址分配给其他人使用.这些人盗号可能是经济原因,盗用IP可以省下一大比开支.但也不排除有人新奇而干这些事情,甚至于有人可能是莫名其妙的干这些事.网络是虚幻的社会,上面同样有着形形色色的人们.因此网络社会安全也是比较重要的,可能盗号是网络安全涉及的一个极小的一个方面,但就是这个课题,也是很难解决的.
第二部分:如何盗号
在网络社会,我们经常听人这么说:我想害你很容易.的确是这样,网络看起来象一个摩天大厦,但却是建在沙堆上的,或者说它根本就是小孩子手中的积木,它很脆弱,根本竟不起大风大浪.如果你一不小心,可能有黑客闯进来:删掉你所有的文件,让你欲哭无泪. 或者仁慈一点,仅仅把你的机密文件拷走,让你为此很是难堪.还有可能就是盗号了不花银子就上网的事,是不是大家都想干呀!
在谈盗号以前,先说说mac地址和ip地址.很多人不明白,有了IP地址不就可以访问
INTERNET上的任何机器了,为什么还要知道MAC地址呢?因此我们先说说这个问题.我们考虑一下同一个网段中路由器和某一个主机通信的情况.假如路由器收到了目的地是本网段的主机A的数据包且仅仅知道A的IP地址(如202.117.48.100)是无法将数据包送到正确的目的地.因为在局域网中网卡接受和发送都是基于48位的以太网地址的帧,它们根本不能识别32位的IP地址.因此路由器就会用ARP向网段广播:谁的IP是202.117.48.100,然后主机A会发出回应:我的IP是202.117.48.**,我的MAC地址是00-AE-29-55-C2-17然后路由器会把数据包装载到目的地是A的MAC地址的帧中送到主机A.
话归正题了,下面就讲讲如何盗号的问题,大家要防患于未然呀!
盗用IP是只能盗用本网段的IP.即那些通过同一路由器和外界交换信息的ip.在路由器的配置中,要指定这个网段的网络地址和掩码,为了路由使用.如果这个网段的机器使用了其他网段的IP,则路由器不认为这个IP属于他的网段,所以不给转发。
最初的盗号很是简单,只要将我本机的ip地址设为本局域网中任何一个ip地址就可以了.只要小心不和这个ip的真正主人上网冲突呀,否则就会发生冲突.如果一开机,对方不在线,你的机器会把你的mac地址广播送给路由器,这样就形成了ip地址到mac地址的转换. 然后你就可以随意漫游万维网了.
不过现在盗号已经不那么容易了,基本原因是许多路由器已经将ip地址和mac地址捆绑在一起了,他们设置了arp表,预置了用户的ip地址及对应的mac地址.但是俗话说的好:道高一尺,魔高一丈.现在就连mac地址也可以改了.mac地址的获得还是比较容易的,
windows下面有几个dos程序就是干这个的,下面就是其中一种方法:
ping *.*.*.*
arp -a
首先ping的是同一网段的IP地址的话,在ARP缓冲记录中会记录下该IP地址对应的MAC地址,用ARP -a就可以显示出来缓存中的所有存在项.不过注意的是每个ARP缓存记录的生命周期只有10分钟,每一项被添加后就开始记时,如果2分钟还没有再用的话,就会被删除,否则10分钟后删除.所以用这两个命令将列出对方的mac地址以及经过的路由器的mac地址. 不过只是本局域网的ip地址可以,其他的就不行的说.得到了MAC地址.然后可以考虑如何修改MAC地址的问题.
有两种方法可以改mac地址,简单介绍如下:
1. 网卡发出的包的源 MAC 地址不是网卡本身写上去的,而是应用程序提供的,只是在通常的实现中,应用程序先从网卡上得到了MAC地址,每次发送包的时候用这个MAC地址作为源MAC地址而已,所以完全可以不用网卡带的配置程序修改MAC仅仅靠修改网络的驱动程序就可以改MAC.win95 下利用 NDIS就可以的.
2.网卡真正的MAC地址是在EPROM中的,可以通过专门的程序修改,不少网卡的厂商都能提供.比如PCI-RTL8029,便可到realtek公司的主页上下载一个修改EPROM的小程序.
哇,mac地址都能改,还能有人不盗号!
现在不用怕那个破破的路由器的静态 ARP 表了,它也奈何不了你.并且事实上,路由器对发出的包是不检查的,即使网卡MAC 是不合理的,也可以向外发数据包,而且可以用伪造的IP,但是如果你的mac地址不是静态ARP表上ip对应的mac地址的话,你是接受不了别人送给你的数据包的.
第三部分 如何防止盗号
防止盗号的方法有很多种,但是基本的原理都是相同的:一般是采用分级管理结构,从网络底层开始进行控制,第一级为MAC层控制,对各网络用户单位只允许登记的合法主机上网;第二级为IP层控制,在路由层对不同网段的IP地址进行不同的路由选择,避免不同网段IP地址的盗用,减少网络间广播信息流量,但加大了静态路由的复杂程度;第三层设置访问控制,对某些信息资源的访问设置指定的上网主机拥有访问权限,摒弃无权访问主机的访问请求.
具体的下面我就一一道来,不过好象这些方法和我们普通网虫没什么关系,不过大家了解也是很好的,说不定以后用的上.
3.1 实时查询IP地址和MAC地址的方法
采用基于SNMP的简单网管程序,轮询网络设备(如路由器等),查找网络设备所支持的MIB数据,实时地得到网络当前使用者的IP及MAC地址,根据所登记的合法IP与MAC的对应表,统计非法使用信息,累计非法盗用次数,记录最近盗用时间。网络管理员通过定期查询数据库,对盗用次数超过一定数量的用户给予罚款等惩罚性措施.这是一种被动的查询方式,仅对于登记过的用户有约束力,无法查处非法使用者.
3.2 ip地址与mac地址捆绑的方法
这应当是最简单的一种方法了,还是比较有效的.现在大部分的局域网都有了静态ARP表(这个表通常在路由器中),在表中预置了合法用户的ip地址及对应的MAC地址.这样通过检查包中的ip地址和MAC地址,并与ARP表中对应项比较以判断是否盗用ip.
从根本上说,采用 IP-MAC 来防止IP 盗用是不行的,所有的网卡 MAC 都可以修改而且更重要的是网卡发出的包的源 MAC 地址并不是网卡本身写上去的, 而是应用程序提供的,只是在通常的实现中,应用程序先从网卡上得到了MAC地址,每次发送包的时候用这个MAC 地址作为源MAC地址而已,所以完全可以不用网卡带的配置程序修改MAC仅仅靠修改网络的驱动程序就可以改MAC .而且在实际中,经常是只对收到的包进行检查,对发出去的数据包是不检查的.
3.3 缩小盗号范围的方法
我们从前面的内容可以看出来盗号只能发生在一个局域网内部,确切的说是连同一个路由器的所有机器都可以盗号.因此如果我们把网络划分的小一点的话,盗号的可能性就大大降低了.
不过我们应当明白,当我们把网络划小是以降低资源的利用率和增加网络费用为代价的.我们可以利用子网淹膜把一个C类或B类的IP网分成多个物理网络,但在每个网络中至少有一个ip地址不能使用(用于广播).另外还可能由于网络划分不合理.浪费ip资源使某些ip地址无法使用.很明显,增加路由器是需要增加投资的.
另外,这种方法不能从根本上杜绝盗号.
3.4 认证系统方法
这个系统是基于用户认证的模式.
该系统是有4个部分组成:认证服务器,认证前端,网关,记费数据库.基本工作原理如下:当用户希望使用网络前,先激活认证前端,认证前端就会定期与认证服务器进行通信,告诉服务器当前的用户名及对应ip地址及网卡地址等信息,认证服务器经过认证后将用户信息存储下来.当数据包流经网关时,网关向认证服务器查询数据包的ip地址和MAC地址的合法性,以决定允许或禁止该数据包的通过.若通过则根据记费规则记录流量信息并定期写入记费数据库.当认证前端向服务器发出退出命令或服务器在一定时间内没有收到该前端的认证信息(如用户计算机的非正常关机).则服务器会注销该用户,这样盗用者的唯一机会就是从用户的非正常关机到认证服务器超时这段时间内,这段时间设的非常短,使盗用者根本没有机会盗用.
由于这个系统的密钥既不在网上传递,又不在用户端或服务器上保存,完全是服务器随机产生的(一部分的内容),且密钥生存期很短,盗用者根本没有机会破译.
这个系统的唯一缺陷是在用户端必须有一客户进程,在目前还无法融入操作系统中。因此每当上网时,先要启动客户程序与服务器进程建立连接,交换信息。并不是每个用户都愿意这么做。最好的办法就是将这个认证系统融入操作系统中,并且用户可以随时改变客户端的密码。
总体上这是一个比较成功的方法,并且不只单单用于防止盗号,它还有其他很
多的用武之地。
3.5 采用ipv6的身份认证
我们现在用的ipv4总体上是成功的,但是由于它的地址马上要用光了,同时它的安全性方面做的很不好,起码来说,很容易盗号就是他的存在的弱点的一个方面。ipv6是新的ip协议,它一方面提供了在现在看来是无限的ip地址空间.同时提供了比现在ip更好的安全性.在ipv6的扩展头部有身份验证和加密的安全性有效载荷两个选项,可以提供对发送者的身份认证.加密安全性有效载荷甚至可以加密分组内容,以达到只有接受者才能读它的目的.
现在我们可以详细看看身份认证头部是怎样实现对发送者的身份检验.
身份认证头部是由三个部分组成,第一部分包括四个字节,分别是下一个头部号,身份认证头部长度和16个零位.其后32位钥匙号.最后是MD5的校验和.接受者(可以是路由器)利用密钥号找出密钥,然后得出密钥的填充版,加到经过填充的有效载荷之后,将可变头部字段也置为零,计算校验和如果该校验和与身份认证头部中的校验和相同,接受者(可以是路由器)就可以确定分组来自与其共享密钥的发送者,并且分组在传输中未受到干扰.MD5的属性决定了入侵者想伪造发送者身份,或途中修改分组而不被察觉,在计算上是不可解的.
很明显,采用ipv6后,我们对于发送者的认证不仅仅局限于IP地址和MAC地址,IPV6采取了另外的认证策略,从而使的即使改动MAC地址也无能为力了.因此就不会再为发生盗号而发愁了.
3.6 采用VLAN(虚拟局域网)技术
1995年制订的802.10标准即是VLAN技术.它有四种方法来实现虚拟,分别是: 基于端口的虚拟 基于MAC地址的虚拟基于网络地址的虚拟基于组播的虚拟技术.
基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN 同一个VLAN中的站点具有相同的网络地址,不同的VLAN之间进行通信需要通过路由器.采用这种方式的VLAN其不足之处是灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个VLAN, 则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信.
在基于MAC地址的VLAN中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC地址保持不便,因此用户不需要进行网络地址的重新配置.这种VLAN技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个VLAN.
在基于网络地址的VLAN中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的VLAN.在以上三种VLAN的实现技术中,基于网络地址的VLAN智能化程度最高,实现起来也最复杂.
VLAN提供了严格的身份认证和保密性,因此可以防止即使是由于mac地址改动而想盗用IP.为了使管理员确定访问包含特别机密信息的服务器较为严格的途径,VLAN可以按端口或MAC层地址来确定地址.当这种功能应用在以每个交换机端口一个用户为主要特征的结构之中, 就成为一种特别强大的限制非授权访问的屏障.在这种配置中,由于非授权的用户不属于VLAN的成员,他们就不具备物理条件来" 倾听”那些属于VLAN的通信,原因是这些VLAN通信就没有经过他们的网段.这样就使得组外的用户无法获得组内用户的信息,尤其是MAC地址,从另一个方面起到了防止盗号的作用.
第四部分 结束语
说实在话,盗号没什么大不了的,最多天天开机就完了.这样别人想盗号都没机会.另外在一个网段如果有自己的ip的话,为什么要盗用别人的ip呢!想出国的话,好象大家的出国权限都关着呢,有改mac地址的时间,大家完全可以轻松找一出国代理,不方便很多,又不冒风险.好奇的话,小心呀,不要酿成大错. |
|
发表于 2006-5-25 08:10
| 
发表于 2006-5-26 21:39
| 
