解析ＩＰ欺騙攻擊和防范

摘要：IP欺騙是利用主機之間的正常信任關系，偽造他人的IP地址達到欺騙某些主機的目的。IP地址欺騙只適用于那些通過IP地址實現訪問控制的系統。實施IP欺騙攻擊就能夠有效地隱藏攻擊者的身份。IP地址的盜用行為侵害了網絡正常用戶的合法權益，并且給網絡安全、網絡正常運行帶來了巨大的負面影響，因此研究IP地址盜用問題，找到有效的防范措施，是當前的一個緊迫課題。

關鍵詞：IP欺騙；盜用；對策

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)26-1679-02

隨著計算機網絡的發展，對網絡資源的破壞及黑客的攻擊不斷增多，“網絡安全性”和“信息安全性”越來越被重視。縱觀網絡上的各種安全性攻擊特征，可歸結為消極性和主動性兩種。其中，身份欺騙就是一種主動性攻擊。從本質上講，它是針對網絡結構及其有關協議在實現過程中存在某些安全漏洞而進行安全攻擊的。

1 IP欺騙攻擊的原理

所謂IP欺騙，就是利用主機之間的正常信任關系，偽造他人的IP地址達到欺騙某些主機的目的。IP地址欺騙只適用于那些通過IP地址實現訪問控制的系統。實施IP欺騙攻擊就能夠有效地隱藏攻擊者的身份。目前IP地址盜用的行為非常常見，IP地址的盜用行為侵害了網絡正常用戶的合法權益，并且給網絡安全、網絡正常運行帶來了巨大的負面影響，因此研究IP地址盜用問題，找到有效的防范措施，是當前的一個緊迫課題。

IP地址欺騙攻擊是指攻擊者使用未經授權的IP地址來配置網上的計算機，以達到非法使用網上資源或隱藏身份從事破壞活動的目的。TCP/IP協議早期是為了方便地實現網絡的連接，但是其本身存在一些不安全的地方，從而使一些別有用心的人可以對TCP/IP 網絡進行攻擊，IP欺騙就是其中的一種。

IP欺騙是利用了主機之間的正常信任關系來進行的，如Unix主機中，存在著一種特殊的信任關系。假設用戶在主機A和主機B上各有一個賬號ABC，用戶在主機A上登錄時要輸入A上的賬號ABC，在主機B上登錄時要輸入B上的賬號ABC，兩主機將ABC當作是互不相關的賬號，這給多服務器環境下的用戶帶來了諸多的不便，為了杜絕這個問題，可以在主機A和主機B間建立起兩個賬號的相互信任關系。

IP協議是TCP/IP協議組中面向連接、非可靠傳輸的網絡協議，它不保持任何連接狀態的信息，它的工作就是在網絡中發送數據報，并且保證它的完整性，如果不能收到完整的數據報，IP會向源地址發送一個ICMP錯誤信息，期待重新發送，但是這個ICMP報文可能會丟失。IP不提供保障可靠性的任何機制，每個數據包被松散地發送出去，可以這樣對IP堆棧進行更改，在源地址和目的地址中放人任何滿足要求的IP地址，即提供虛假的IP地址。

正是因為IP協議自身的缺陷給IP欺騙提供了機會。但TCP協議要對IP包進行進一步地封裝，它是一種相對可靠的協議，TCP協議作為保障兩臺通訊設備之間數據包順序傳輸協議，是面向連接的，它需要連接雙方確認同意才能進行數據交換。它的可靠性是由數據包中的多位控制字來提供的，如數據序列(SYN)和數據確認(ACK)。TCP向每個數據字節分配一個序列號，并向已經成功接收的，源地址所發送的數據包表示確認，在確認的同時還攜帶下一個期望獲得的數據序列號。TCP序列編號可以看作是32位的計算器，從0到232—1排列，每一個TCP連接交換的數據能順序編號，通過ACK對所接收的數據進行確認，并指出下一個期待接收的數據序列號。

TCP協議在雙方正式傳輸數據之前，需要用“三次握手”來建立一個穩健的連接。在實際利用TCP/IP協議進行通信時，為了提供對TCP模塊的并行訪問，TCP提供了特殊的用戶接收(即端口)。端口是操作系統內核用來標示不同的網絡進程，是嚴格區分傳輸層人口的標示。TCP端口與IP地址一起提供網絡端到端的通信。在Internet上，任何一個連接都包含了源IP地址、源地址端口、目的IP地址和目的地址端口。服務器程序一般都是被綁定在標準的端口號上。如FTP服務被綁定在21號端口，WWW服務被綁定在80號端口，Telenet服務被綁定在23號端口。

2 IP欺騙過程

在攻擊某一主機前，首先要查找被這臺主機信任的計算機。計算機用戶可以通過許多命令或端口掃描確定下來，許多黑客就是利用端口掃描技術非常方便地在一個局域網絡內捕捉主機間的相互信任關系，為進一步的IP欺騙提供了機會。假設主機Z企圖入侵主機A，而主機A信任主機B。如果冒充主機B對主機A進行攻擊，簡單使用主機B的IP地址發送SYN標志給主機A，但是當主機A收到后，并不把SYN+ACK發送到攻擊的主機上，而是發送到真正的主機B上去，而主機B根本沒有發送SYN請求，導致欺騙失敗。

所以如果要冒充主機B，首先要看主機B是否關機，否則應設法讓主機B癱瘓，確保它不能收到任何有效的網絡數據。事實上有許多方法可以達到這個目的，如SYN洪水攻擊、TTN、Land等攻擊。

對目標主機A進行攻擊，必須知道主機A的數據包序列號。可以先與被攻擊主機的一個端口建立起正常連接，并記錄主機A的ISN，以及主機Z到主機A的大致的RTT(Round Trip Time)值。這個步驟需要重復多次以便得出RTT的平均值。主機Z知道了主機A的ISN的值和增加規律(例如每秒增加12 800，每次連接增加64 000)后，也就知道了從主機Z到主機A需要RTT/2的時間。此時必須立即進行入侵，否則在這期間有其他主機與主機A連接，ISN將比之前得到的多64 000。

估計出ISN的大小，就開始著手進行攻擊。當然虛假的TCP數據包進入目標主機時，如果剛才估計的序列號準確，進入的數據將放置在目標主機的緩沖區中。但是在實際攻擊過程中往往沒有這么幸運。如果估計的序列號小于正確值，那么將被放棄。而如果估計的序列號大于正確值，并且在緩沖區的大小之內，那么該數據被認為是一個將來的數據，TCP模塊等待其他缺少的數據。如果估計序列號大于期待的數值且不在緩沖區之內，TCP將會放棄它并返回一個期待獲得的數據序列號。

主機Z向主機A發送帶有SYN標志的數據段請求連接，只是源IP地址寫成主機B的IP地址，而且目的端口是TCP專用的513號端口(rlogin服務端口)。主機A向主機B回送SYNal-ACK數據段，但主機B已經無法響應，主機B的TCP層只是簡單的丟棄來自主機A的回送數據段。目標主機立刻對連接請求作出反應，發更新SYNd-ACK確認包給被信任主機，因為被信任主機B仍然處于癱瘓狀態，它當然無法收到這個包，緊接著攻擊者主機Z向目標主機A發送ACK數據包。

如果攻擊者估計正確的話，目標主機將會接收到該ACK，連接就正式建立，可以進行數據傳輸了。但是主機A仍然會向主機B發送數據，而不是向主機Z發送，主機Z仍然無法接收到主機A發往主機B的數據包，所以主機Z必須按照rlogin協議的標準假冒主機B向主機A發送類似#cat++>>～/．rhosts這樣的命令，主機A就會與主機Z建立信任關系，開始相互的數據傳送，入侵也就完成了。

完成本次攻擊后，就可以不用口令直接登錄到目標主機上。這樣，一次網站的IP欺騙就已經完成，在目標機上得到了一個Shell權限，接下來就是利用系統的溢出或錯誤配置擴大權限，當然最終目的還是要獲得服務器的root權限。

3 IP地址盜用的常用方法

3.1 靜態修改IP地址

對于任何一個TCP/IP實現來說，IP地址都是其用戶配置的必須選項。如果用戶修改TCP/IP配置時，使用的不是授權機構分配的IP地址，就形成了IP地址的盜用，由于IP地址是一個邏輯地址，是一個需要用戶設置的值，因此無法限制用戶對于IP地址的靜態 修改，除非是使用DHCP服務器分配IP地址，但又會帶來其他管理問題。

3.2 成對修改IP-MAC地址

對于靜態修改IP地址的問題，現在很多單位都采用靜態路由技術加以解決，針對靜態路由技術，IP盜用技術又有了新的發展，即成對修改IP-MAC地址。MAC地址是設備的硬件地址，對于常用的以太網來說，即俗稱的計算機網卡地址。每一個網卡的MAC地址在所有的以太網設備中必須是唯一的，它由IEEE分配，MAC地址與網絡無關，無論是把這塊網卡接人到網絡的任何地方，MAC地址都是不變的。如果將一臺計算機的IP地址和MAC地址都改為另外一臺合法主機的IP地址和MAC地址，那靜態路由技術就無能為力了。

實現IP與MAC地址的綁定，可以用很多種方法來完成，但是對于一些小型的局域網絡，多采用軟件的方式和DOS命令方式完成的。修改網卡的MAC地址一般有兩種方式，一種是硬修改，另一種是軟修改。硬修改的方式就是直接對網卡進行操作，修改保存在網卡的EPROM里面的MAC地址，通過網卡生產廠商提供的修改程序可以修改儲存在里面的地址。對于那些MAC地址不能直接修改的網卡來說，用戶還可以采用軟件的辦法來修改MAC地址，即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。在Windows系列操作系統中，網卡的MAC地址就是保存在注冊表中的，實際使用也是從注冊表中提取的，所以只要修改注冊表就可以改變MAC地址，完成修改的操作后重新啟動操作系統就可以生效了。

3.3 動態修改IP地址

對于一些黑客高手來說，直接編寫在網絡上收發的數據包，繞過上層網絡軟件，動態修改自己的IP地址(或IP-MAC地址對)，達到IP欺騙，并不是一件很困難的事。

3.4 IP欺騙的防范對策

IP欺騙之所以可以實施，是因為信任服務器的基礎建立在網絡地址的驗證上，在整個攻擊過程中最難的是進行序列號的估計，估計精度的高低是欺騙成功與否的關鍵。針對這些，可采取如下的對策：

3.4.1 禁止基于IP地址的信任關系

IP欺騙的原理是冒充被信任主機的IP地址，這種信任關系是建立在基于IP地址的驗證上，如果禁止基于IP地址的信任關系，使所有的用戶通過其他遠程通信手段進行遠程訪問，可徹底地防止基于IP地址的欺騙。

3.4.2 安裝過濾路由器

如果計算機用戶的網絡是通過路由器接人Internet的，那么可以利用計算機用戶的路由器來進行包過濾。確信只有計算機用戶的內部LAN可以使用信任關系，而內部LAN上的主機對于LAN以外的主機要慎重處理。計算機用戶的路由器可以幫助用戶過濾掉所有來自于外部而希望與內部建立連接的請求。通過對信息包的監控來檢查IP欺騙攻擊將是非常有效的方法，使用netlog或類似的包監控工具來檢查外接口上包的情況，如果發現包的兩個地址(即源地址和目的地址)都是本地域地址，就意味著有人要試圖攻擊系統。

3.4.3 使用加密法

阻止IP欺騙的另一個明顯的方法是在通信時要求加密傳輸和驗證。當有多個手段并存時，加密方法最為合適。

3.4.4 使用隨機化的初始序列號

IP欺騙另一個重要的因素是初始序列號不是隨機選擇或者隨機增加的，如果能夠分割序列號空間，每一個連接將有自己獨立的序列號空間，序列號仍然按照以前的方式增加，但是在這些序列號空間中沒有明顯的關系。

在網絡普及的今天，網絡安全已經成為一個不容忽視的問題。對IP欺騙，最重要的是作好安全防范。

參考文獻：

[1] 福羅贊.TCP/IP協議族[M].3版.北京:清華大學出版社，2006.

[2] 史蒂文斯.TCP/IP詳解[M].北京:機械工業出版社，2000.

[3] 陳莊.計算機網絡安全技術[M].重慶:重慶大學出飯社，2001.

[4] 李濤.網絡安全概論[M].北京:電子工業出版社，2004.

[5] 楊義先.網絡安全理論與技術[M].北京:人民郵電出版社，2003.

[6] 陳彥學.信息安全理論與實務[M].北京:中國鐵道出版社，2001.