资源预览内容
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
亲,该文档总共7页全部预览完了,如果喜欢就下载吧!
资源描述
专业好文档基于基于 ARPARP 伪装技术的伪装技术的 IPIP 地址防盗用方案的研究地址防盗用方案的研究杜暖男 马莹莹(平顶山工业职业技术学院,河南平顶山 )1 研究背景众所周之,IP 地址的盗用对网络的正常运行是十分有害的。一方面,非法用户盗用合法用户的 IP 地址以获得特殊的访问权限;另一方面,非法用户盗用未分配的IP 地址,对正常的网络运行和应用进行破坏。因此,当前找出在通用网络模型下 IP地址防盗用的方法是十分有必要的。2 IP 地址防盗用方案模式分析2.1 IP-MAC 模型IP-MAC 模型是人们较早提出的一种模型。IP 地址盗用的问题归根结底是解决IP 地址的唯一性的问题,而在实践中 IP 地址的唯一性很难保证。正如前面所分析的,在目前日益广泛应用的 Linux 系统下,用户可以随意地更改所使用的主机的 IP 地址,因此 IP 地址的唯一性需要依赖于其他本身具有唯一性的因素来保持。2.2 IP-MAC-USER 模型针对成对修改 IP-MAC 地址和动态修改 IP 的 IP 地址盗用方式,人们提出了 IP-MAC-USER 模型。IP-MAC-USER 模型的原理是,在采用 IP-MAC 模型实现 IP 绑定 MAC 地址的基础上,在重点、高危险网段实施 IP 同时绑定 MAC 地址和用户,即在 IP-MAC 绑专业好文档定的同时,检验与 IP 相对应的用户名和口令,实现 IP 绑定用户。这种方案对成对修改 IP-MAC 地址和动态修改 IP 的 IP 地址盗用方式能够进行彻底的防范,是一种普遍防御和重点防范相结合的方案。IP-MAC-USER 模型不能简化为 IP-USER 模型,那样就会带来大量 IP 用户管理的麻烦,同时造成网络使用的不便。2.3 IP-MAC-PORT 模型随着共享式以太网向交换式以太网的发展,具有简单网络管理功能的交换机越来越为人们所采用。在这种形势下人们提出了 IP-MAC-PORT 模型。IP-MAC-PORT 模型的原理是,在交换以太网环境下,将 IP 地址与 MAC 地址、主机所连接的交换机端口同时绑定,即在检验(IP,MAC)地址对的同时,检验 IP对应的交换机端口。3 基于 ARP 伪装技术的 IP 地址防盗用方案3.1 ARP 协议分析ARP(地址解析协议)用于将IP 地址映射为硬件地址(MAC 地址) ,它是TCP/IP 协议组中的一个非常重要的协议,在OSI 七层网络模型中,网络层下面是数据链路层,为了它们可以互通,需要转换协议。ARP(地址解析协议)用于把网络层(第三层)地址映射到数据链路层(第二层)地址,RARP(反向地址解析协议)则反之。网络层地址是由网络管理员定义的抽象映射,它不去关心下层是哪种数据链路专业好文档层协议。然而,网络接口只能根据第二层地址来互相通信,第二层地址通过 ARP 从第三层地址得到。并不是发送每个数据包都需要进行 ARP 请求,ARP 应答被缓存在本地的 ARP 表中,这样就减少了网络中的 ARP 包。3.2 ARP 伪装技术利用 ARP 协议的无认证特性,假设主机 Q 与 X,Y 在同一局域网内,Y 向 X 发送 ARP 应答后,Q 伪装成 Y,再向 X 发送一个以为源地址的 ARP包或向 Y 发一个以为源地址的 ARP 包,就会更新 X 或 Y 的 ARP 缓存表,使 X 将 Ipy 的 MAC 地址解析为 MACq 或使 Y 将 Ipx 的地址解析为 MACq,这就是 ARP 伪装技术。Q 应用 ARP 伪装技术修改 X 和 Y 的 ARP 缓存表后,X 和 Y 发给对方的 IP 数据报都会发向 MAC 地址 MACq.若 MACq 为网络内不存在的空 MAC 地址,则 X,Y可以继续向对方发 IP 数据包,但对方收不到,X,Y 之间的网络通信无法实现,本文称之为 ARP 截断。基于 ARP 伪装技术的 IP 防盗用方法就是采用 ARP 截断的方法,使 IP 盗用主机无法进行网络通信,从而实现 IP 地址防盗用。3.3 应用 ARP 伪装技术实现 IP-MAC 模型随着技术的发展,有些 IP 盗用者采用修改主机 MAC 地址的方法,来避开 IP 防盗用系统。虽然修改 MAC 并不容易,但 IP 防盗用系统也应对其防范。对于修改 MAC 的盗用方法,可在子网的 IP-MAC 地址库中增加一项 IP 开关状专业好文档态标志,此标志项由用户自行管理,当用户要退出网络时,访问 IP-MAC 地址库,将分配给他的 IP 地址所对应的开关状态标志项设置为关闭;当用户重新使用网络时,再次访问 IP-MAC 地址库将开关状态标志打开。对于 ARP 监听模块,在将 ARP 包中的源 IP 地址与 IP-MAC 地址库比对时,增加一个判断 IP 地址开关状态标志项的进程,如开关状态标志项己关闭,就可判断为修改 MAC 地址的 IP 地址盗用,随即调用 ARP 截断模块。ARP 截断模块不必做修改。在 IP 防盗用软件运行的系统上开启 Web 服务,采用 JSP 技术开发一个 B/S 模式的 Web 数据库系统,使用户可以经过必要的用户、口令认证后,用浏览器访问IP-MAC 地址库,管理 IP 地址开关状态标志。通过以上方案的实施即实现了基于 IP-MAC-USER 三元素的 IP 地址防盗用模型,又可对成对修改 IP-MAC 地址和动态修改 IP 地址的 IP 地址盗用方式进行有效地防范。3.4 通过 ARP 地址欺骗技术防范 IP 地址盗用下面以例子的方式说明ARP地址解析和ARP地址欺骗防:止IP地址盗用。A机器上运行如下:C:arp aInterface 1 92 1 68 1 0 1 on Interface 0x1 Internet Address PhysicaI Address Type专业好文档192.168.10.3 CCCCCCCCCCCC dynamic这是192. 168. 1 01(主机A)上的ARP缓存表,假设A进行一次ping 192. 168. 10 .3(主机C)操作,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址。以便对传输的帧进行封装,这样就可以进行数据传输,帧的目的MAC地址就是C的MAC地址。如果A中没有C的ARP记录,那么A首先要广播一次ARP请求。当C接收到A的请求后就发送一个应答,应答中包含有C的MAC地址,这就是ARP地址解析的过程,然后A接收到C的应答就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。但是ARP协议并不只在发送了ARP请求才接收ARP应答。这也就是利用ARP地址欺骗技术达到防止IP地址盗用的理论基础了。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP-TnMAC地址存储在ARP缓存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答 而这个应答中的数据为发送方IP地址是192. 168. 10.3(C的IP地址) MAC地址是DDDDDDDDDD-DD(C的MAC地址本来应该是CCCCCCCCCCCC 这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。4 小结 盗用技术的发展与反盗用技术的进步是一个此长彼消,互相促进的过程。要很好解决这个问题,一方面需要依靠反盗用技术的不断提高,另一方面还需要法律、法规和各项网络管理制度的健全和完善。亦即,一方面要不断地提高网络的管理水平,研专业好文档究新的网络技术,另一方面还要对敢于进行 IP 地址盗用、破坏网络安全的人,按照有关法规严惩,使盗用者既对先进的反盗用技术望而生畏,又对盗用后所承担的后果心有余悸,才能很好解决 IP 地址盗用问题。参考文献1谢希仁. 计算机网络. 北京: 电子工业出版社, 2005: 102-1062漆强, 熊筱芳. 一种新型的以过程为中心的软件工程方法. 南昌大学学报, 2004(6): 90-94专业好文档Editors note: Judson Jones is a meteorologist, journalist and photographer. He has freelanced with CNN for four years, covering severe weather from tornadoes to typhoons. Follow him on Twitter: jnjonesjr (CNN) - I will always wonder what it was like to huddle around a shortwave radio and through the crackling static from space hear the faint beeps of the worlds first satellite - Sputnik. I also missed watching Neil Armstrong step foot on the moon and the first space shuttle take off for the stars. Those events were way before my time. As a kid, I was fascinated with what goes on in the sky, and when NASA pulled the plug on the shuttle program I was heartbroken. Yet the privatized space race has renewed my childhood dreams to reach for the stars. As a meteorologist, Ive still seen many important weather and space events, but right now, if you were sitting next to me, youd hear my foot tapping rapidly under my desk. Im anxious for the next one: a space capsule hanging from a crane in the New Mexico desert. Its like the set for a George Lucas movie floating to the edge of space. You and I will have the chance to watch a man take a leap into an unimaginable free fall from the edge of space - live.The (lack of) air up there Watch man jump from 96,000 feet Tuesday, I sat at work glued to the live stream of the Red Bull Stratos Mission. I watched the balloons positioned at different altitudes in the sky to test the winds, knowing that if they would just line up in a vertical straight line “we“ would be go for launch. I feel this mission was created for me beca
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号