基于ＡＲＰ偽裝技術(shù)的ＩＰ地址防盜用方案的研究

眾所周之，IP地址的盜用對網(wǎng)絡(luò)的正常運(yùn)行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問權(quán)限；另一方面，非法用戶盜用未分配的IP地址，對正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用進(jìn)行破壞。因此，當(dāng)前找出在通用網(wǎng)絡(luò)模型下IP地址防盜用的方法是十分有必要的。

IP地址防盜用方案模式分析

1.IP-MAC模型。IP-MAC模型是人們較早提出的一種模型。IP地址盜用的問題歸根結(jié)底是解決IP地址的唯一性的問題，而在實(shí)踐中IP地址的唯一性很難保證。

2.IP-MAC-USER模型。IP-MAC-USER模型的原理是，在采用IP-MAC模型實(shí)現(xiàn)IP綁定MAC地址的基礎(chǔ)上，在重點(diǎn)、高危險(xiǎn)網(wǎng)段實(shí)施IP同時(shí)綁定MAC地址和用戶，即在IP-MAC綁定的同時(shí)，檢驗(yàn)與IP相對應(yīng)的用戶名和口令，實(shí)現(xiàn)IP綁定用戶。

3.IP-MAC-PORT模型。IP-MAC-PORT模型的原理是，在交換以太網(wǎng)環(huán)境下，將IP地址與MAC地址、主機(jī)所連接的交換機(jī)端口同時(shí)綁定，即在檢驗(yàn)（IP，MAC）地址對的同時(shí)，檢驗(yàn)IP對應(yīng)的交換機(jī)端口。

基于ARP偽裝技術(shù)的IP地址防盜用方案

1.ARP協(xié)議。ARP（地址解析協(xié)議）用于將IP地址映射為硬件地址（MAC地址），它是TCP/IP協(xié)議組中的一個(gè)非常重要的協(xié)議，在OSI七層網(wǎng)絡(luò)模型中，網(wǎng)絡(luò)層下面是數(shù)據(jù)鏈路層，為了它們可以互通，需要轉(zhuǎn)換協(xié)議。ARP（地址解析協(xié)議）用于把網(wǎng)絡(luò)層（第三層）地址映射到數(shù)據(jù)鏈路層（第二層）地址，RARP（反向地址解析協(xié)議）則反之。

2.ARP偽裝技術(shù)。利用ARP協(xié)議的無認(rèn)證特性，假設(shè)主機(jī)Q與X、Y在同一局域網(wǎng)內(nèi)，Y向X發(fā)送ARP應(yīng)答后，Q偽裝成Y，再向X發(fā)送一個(gè)以為源地址的ARP包或向Y發(fā)一個(gè)以為源地址的ARP包，就會(huì)更新X或Y的ARP緩存表，使X將Ipy的MAC地址解析為MACq或使Y將Ipx的地址解析為MACq，這就是ARP偽裝技術(shù)。

Q應(yīng)用ARP偽裝技術(shù)修改X和Y的ARP緩存表后，X和Y發(fā)給對方的IP數(shù)據(jù)報(bào)都會(huì)發(fā)向MAC地址MACq.若MACq為網(wǎng)絡(luò)內(nèi)不存在的空MAC地址，則X、Y可以繼續(xù)向?qū)Ψ桨l(fā)IP數(shù)據(jù)包，但對方收不到，X、Y之間的網(wǎng)絡(luò)通信無法實(shí)現(xiàn)，本文稱之為ARP截?cái)唷?/p>

基于ARP偽裝技術(shù)的IP防盜用方法就是采用ARP截?cái)嗟姆椒ǎ笽P盜用主機(jī)無法進(jìn)行網(wǎng)絡(luò)通信，從而實(shí)現(xiàn)IP地址防盜用。

3.應(yīng)用ARP偽裝技術(shù)實(shí)現(xiàn)IP-MAC模型。隨著技術(shù)的發(fā)展，有些IP盜用者采用修改主機(jī)MAC地址的方法，來避開IP防盜用系統(tǒng)。雖然修改MAC并不容易，但I(xiàn)P防盜用系統(tǒng)也應(yīng)對其防范。

對于修改MAC的盜用方法，可在子網(wǎng)的IP-MAC地址庫中增加一項(xiàng)IP開關(guān)狀態(tài)標(biāo)志，此標(biāo)志項(xiàng)由用戶自行管理，當(dāng)用戶要退出網(wǎng)絡(luò)時(shí)，訪問IP-MAC地址庫，將分配給他的IP地址所對應(yīng)的開關(guān)狀態(tài)標(biāo)志項(xiàng)設(shè)置為關(guān)閉；當(dāng)用戶重新使用網(wǎng)絡(luò)時(shí)，再次訪問IP-MAC地址庫將開關(guān)狀態(tài)標(biāo)志打開。

對于ARP監(jiān)聽模塊，在將ARP包中的源IP地址與IP-MAC地址庫比對時(shí)，增加一個(gè)判斷IP地址開關(guān)狀態(tài)標(biāo)志項(xiàng)的進(jìn)程。

通過以上方案的實(shí)施即實(shí)現(xiàn)了基于IP-MAC-USER三元素的IP地址防盜用模型，又可對成對修改IP-MAC地址和動(dòng)態(tài)修改IP地址的IP地址盜用方式進(jìn)行有效地防范。

4.通過ARP地址欺騙技術(shù)防范IP地址盜用。下面以例子的方式說明ARP地址解析和ARP地址欺騙防止IP地址盜用。

A機(jī)器上運(yùn)行如下：

C：＼>arp - a

Interface 1 92 1 68 1 0 1 on Interface 0x1 000003

Internet Address PhysicaI Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

這是192. 168. 1 0．1（主機(jī)A）上的ARP緩存表，假設(shè)A進(jìn)行一次ping 192. 168. 10 .3（主機(jī)C）操作，會(huì)查詢本地的ARP緩存表，找到C的IP地址對應(yīng)的MAC地址。以便對傳輸?shù)膸M(jìn)行封裝，這樣就可以進(jìn)行數(shù)據(jù)傳輸，幀的目的MAC地址就是C的MAC地址。如果A中沒有C的ARP記錄，那么A首先要廣播一次ARP請求。當(dāng)C接收到A的請求后就發(fā)送一個(gè)應(yīng)答，應(yīng)答中包含有C的MAC地址，這就是ARP地址解析的過程，然后A接收到C的應(yīng)答就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。但是ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。這也就是利用ARP地址欺騙技術(shù)達(dá)到防止IP地址盜用的理論基礎(chǔ)了。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP-TnMAC地址存儲(chǔ)在ARP緩存中。因此，在上面的假設(shè)網(wǎng)絡(luò)中，B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192. 168. 10.3（C的IP地址） MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC 這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。

小結(jié)

盜用技術(shù)的發(fā)展與反盜用技術(shù)的進(jìn)步是一個(gè)此長彼消，互相促進(jìn)的過程。要很好解決這個(gè)問題，一方面需要依靠反盜用技術(shù)的不斷提高，另一方面還需要法律、法規(guī)和各項(xiàng)網(wǎng)絡(luò)管理制度的健全和完善。亦即，一方面要不斷地提高網(wǎng)絡(luò)的管理水平，研究新的網(wǎng)絡(luò)技術(shù)，另一方面還要對敢于進(jìn)行IP地址盜用、破壞網(wǎng)絡(luò)安全的人，按照有關(guān)法規(guī)嚴(yán)懲，使盜用者既對先進(jìn)的反盜用技術(shù)望而生畏，又對盜用后所承擔(dān)的后果心有余悸，才能很好解決IP地址盜用問題。

作者單位：河南省平頂山工業(yè)職業(yè)技術(shù)學(xué)院