MAC地址與IP地址綁定策略

1、mac地址與ip地址綁定策略1引言對“ip地址盜用”的解決方案絕大多數(shù)都是采取mac與ip地址綁定策略，這種做法 是十分危險的，木文將就這個問題進行探討。在這里需要聲明的是，木文是處于對對mac 與ip地址綁定策略安全的憂慮，不帶有任何黑客性質(zhì)。1.1為什么要綁定mac -lj ip地址影響網(wǎng)絡(luò)安全的因素很多，1p地址盜用或地址欺騙就是其中一個常見且危害極大的因 索?，F(xiàn)實小，許多網(wǎng)絡(luò)應(yīng)用是基于1p的，比如流量統(tǒng)計、賬號控制等都將ip地址作為標志 用戶的一個重要的參數(shù)。如果有人盜用了合法地址并偽裝成合法用戶，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就 可能被破壞、竊聽，甚至盜用，造成無法彌補的損火。盜用外部網(wǎng)絡(luò)的ip地

2、址比較困難，因為路由器等網(wǎng)絡(luò)互連設(shè)備一般都會設(shè)置通過各個 端口的ip地址范圍，不屬于該ip地址范圍的報文將無法通過這些互連設(shè)備。但如果盜川的 是ethernet內(nèi)部合法川戶的ip地址，這種網(wǎng)絡(luò)互連設(shè)備顯然無能為力了?！暗栏咭怀?，魔高 丈”，對于ethernet內(nèi)部的ip地址被盜用，當然也有相應(yīng)的解決辦法。綁定mac地址與 ip地址就是防止內(nèi)部ip盜用的一個常用的、簡單的、冇效的措施。1.2 mac與ip地址綁定原理ip地址的修改非常容易，而mac地址存儲在網(wǎng)卡的eeprom中，而且網(wǎng)卡的mac 地址是唯一確定的。因此，為了防止內(nèi)部人員進行非法ip盜用（例如盜用權(quán)限更高人員的ip 地址，以獲得權(quán)

3、限外的信息），可以將內(nèi)部網(wǎng)絡(luò)的ip地址與mac地址綁定，盜用者即使修 改了 ip地址，也因mac地址不匹配而盜用失?。憾鴉l.由于網(wǎng)卡mac地址的唯一確定性， 可以根據(jù)mac地址查出使用該mac地址的網(wǎng)卡，進而查出非法盜用者。目而，很多單位的內(nèi)部網(wǎng)絡(luò)，尤其是學校校園網(wǎng)都采用了 mac地址與ip地址的綁定 技術(shù)。許多防火墻（碩件防火墻和軟件防火墻）為了防止網(wǎng)絡(luò)內(nèi)部的ip地址被盜用，也都 內(nèi)置了 mac地址與ip地址的綁定功能。從表而上看來，綁定mac地址和ip地址可以防止內(nèi)部ip地址被盜用，但實際上由于 各層協(xié)議以及網(wǎng)卡驅(qū)動等實現(xiàn)技術(shù)，mac地址ip地址的綁定存在很大的缺陷，并不能真 正防止內(nèi)部

4、ip地址彼盜用。2破解mac與ip地址綁定策略2.1 ip地址和mac地址簡介現(xiàn)行的tcp/ip網(wǎng)絡(luò)是一個四層協(xié)議結(jié)構(gòu)，從下往上依次為鏈路層、網(wǎng)絡(luò)層、傳輸層和 應(yīng)用層。ethernet協(xié)議是鏈路層協(xié)議，使用的地址是mac地址。mac地址是ethernet網(wǎng)卡在 ethernet屮的硬件標志，網(wǎng)卡牛產(chǎn)時將其存于網(wǎng)卡的eeprom屮。網(wǎng)卡的mac地址各不相 同，mac地址可以唯-標志塊網(wǎng)卡。在ethernet ±傳輸?shù)拿總€報文都含有發(fā)送該報文的 網(wǎng)卡的mac地址。ethernet根據(jù)ethernet報文頭屮的源mac地址和1=1的mac來識別報文的發(fā)送端和接 收端。1p協(xié)議應(yīng)用于網(wǎng)絡(luò)層，

5、使用的地址為ip地址。使用ip i辦議進行通訊，每個1p報文 頭中必須含有源ip和h的ip地址，用以標志該ip報文的發(fā)送端和接收端。在ethernet上 使用ip協(xié)議傳輸報文時，ip報文作為ethernet報文的數(shù)據(jù)。ip地址對于ethernet交換機或 處理器是透明的。用戶可以根據(jù)實際網(wǎng)絡(luò)的需要為網(wǎng)卡配置一個或多個ip地址。mac地址 和ip地址z間并不存在一一對應(yīng)的關(guān)系。mac地址存儲在網(wǎng)卡的eeprom中并且唯一確定，但網(wǎng)卡驅(qū)動在發(fā)送ethernet報文時, 并不從eeprom >|'讀取mac地址，而是在內(nèi)存屮來建立塊緩存區(qū)，ethernet報文從屮讀 取源mac地址。而

6、用戶可以通過操作系統(tǒng)修改實際發(fā)送的ethernet報文中的源mac 地址。既然mac地址可以修改，那么mac地址與ip地址的綁定也就失去了它原冇的意義。 2.2破解方案卜-圖是破解試驗的結(jié)構(gòu)示意圖。其內(nèi)部服務(wù)器和外部服務(wù)器都提供web服務(wù)，防火墻 屮實現(xiàn)了 mac地址和ip地址的綁定。報文屮的源mac地址與1p地址對如果無法與防火 墻小設(shè)置的mac地址與1p地址對匹配，將無法通過防火墻。主機2和內(nèi)部服務(wù)器都是內(nèi) 部網(wǎng)絡(luò)屮的合法機器：主機1是為了做實驗而新加入的機器。安裝的操作系統(tǒng)是w2000企 業(yè)版，網(wǎng)卡是3com的。試驗需要修改主機1中網(wǎng)卡的mac和ip地址為被盜用設(shè)備的mac和1p地址。首

7、先, 在控制而板屮選擇“網(wǎng)絡(luò)和撥號連接”，選屮對應(yīng)的網(wǎng)卡并點擊鼠標右鍵，選擇屬性，在屬 性頁的“常規(guī)”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”，再在“屬性”欄中 選擇“network address”，在“值”欄中選中輸人框，然后在輸人框中輸人被盜用設(shè)備的 mac地址，mac地址就修改成功了。然后再將ip地址配置成被盜用設(shè)備的ip地址。盜用內(nèi)部客戶機ip地址：將主機1的 mac地址和ip地址分別修改為主機2的mac地址和ip地址。主機1可以訪問外部服務(wù) 器，能夠順利地通過防火墻，訪問權(quán)限與主機2沒冇分別。而與此同時主機2也可以正 常地訪問外部服務(wù)器，完全不受主機1的影響。無論是主機2還

8、是防火墻都察覺不到主機1 的存在。主機1如果訪問內(nèi)部服務(wù)器，根本無需通過防火墻，更是暢通無阻了。盜川內(nèi)部服務(wù)器ip地址：將主機1的mac地址和u地址修改為內(nèi)部服務(wù)器的mac 地址和ip地址。主機1也提供web服務(wù)。為了使效果更明顯，主機1上提供的web服務(wù)內(nèi) 容與內(nèi)部服務(wù)器提供的內(nèi)容不同。因為在實際的實驗中主機1少主機2連在同一個hub上，主機2的訪問請求總是先被 主機1響應(yīng)，主機2期望訪問的是內(nèi)部服務(wù)器，得到的卻總是主機1提供的內(nèi)容。更一般地, 主機2如果試圖訪問內(nèi)部服務(wù)器，獲得的到底是主機1提供的內(nèi)容述是內(nèi)部服務(wù)器提供的內(nèi) 容具有隨機性，要看它的訪問請求首先被誰響應(yīng)，在后面的分析屮我們將進

9、一步對此進行闡 述。盜用服務(wù)器的mac和ip危害可能更大，如果主機1提供的web內(nèi)容和內(nèi)部服務(wù)器屮 的內(nèi)容一樣，那么主機2將無法識別它訪問的到底是哪個機器；如果web內(nèi)容中要求輸人 賬號、密碼等信息，那么這些信息對于主機1來說則是一覽無遺了。3破解成功的原因上面的實驗驗證了綁定mac地址與ip地址的確存在很大的缺陷，無法冇效地防止內(nèi) 部ip地址被盜用。接下來，將從理論上對該缺陷進行詳細的分析。缺陷存在的前提是網(wǎng)卡的混雜接收模式，所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)上傳 輸?shù)乃袌笪?，無論其日的mac地址是否為該網(wǎng)卡的mac地址。正是由于網(wǎng)卡支持混雜 模式，才使網(wǎng)卡驅(qū)動程序支持mac地址的修改成

10、為可能；否則，就算修改了 mac地址， 但是網(wǎng)卡根木無法接收相應(yīng)地址的報文，該網(wǎng)卡就變得只能發(fā)送，無法接收，通信也就無法 正常進行了。mac地址可以被盜用的直接原因是網(wǎng)卡驅(qū)動程序發(fā)送ethernet報文的實現(xiàn)機制。 ethernet報文中的源mac地址是驅(qū)動程序負責填寫的，但驅(qū)動程序并不從網(wǎng)r的eeprom 屮讀取mac,而是在內(nèi)存屮建立一個mac地址緩存區(qū)。網(wǎng)卡初始化的時候?qū)eprom + 的內(nèi)容讀入到該緩存區(qū)。如果將該緩存區(qū)中的內(nèi)容修改為用戶設(shè)置的mac地址，以后發(fā)出 去的ethernet報文的源地址就是修改后的mac地址了。如果僅僅是修改mac地址，地址盜用并不見得能夠得逞。ether

11、net是基于廣播的， ethernet網(wǎng)卡都能監(jiān)聽到局域網(wǎng)屮傳輸?shù)乃袌笪?，但是網(wǎng)卡只接收那些口的地址與自己的 mac地址相匹配的ethernet報文。如果冇兩臺具冇相同mac地址的主機分別發(fā)出訪問請 求，而這兩個訪問請求的響應(yīng)報文對于這兩臺主機都是匹配的，那么這兩臺主機就不只接收 到自己需要的內(nèi)容，而且還會接收到目的為另外一臺同mac主機的內(nèi)容。按理說，兩臺主機因為接收了多余的報文后，都應(yīng)該無法正常工作，盜用馬上就會被察 覺，盜用也就無法繼續(xù)了；但是，在實驗屮地址被盜用之示，各臺實驗設(shè)備都可以互不干擾 的正常工作。這乂是什么原因呢?答案應(yīng)該歸結(jié)于上層使用的協(xié)議。目前，網(wǎng)絡(luò)中最常用的協(xié)議是tc

12、p/ip協(xié)議，網(wǎng)絡(luò)應(yīng)用程序一般都是運行在tcp或者 udp之上。例如，實驗中web服務(wù)器采用的http協(xié)議就是基于tcp的。在tcp或者udp 屮，標志通信雙方的不僅僅是ip地址，還包扌舌端口號。在一般的應(yīng)用屮，川戶端的端口號 并不是預(yù)先設(shè)置的，而是協(xié)議根據(jù)一定的規(guī)則生成的，具有隨機性。像上而利用ie來訪問 web服務(wù)器就是這樣。udp或者tcp的端口號為16位二進制數(shù)，兩個16位的隨機數(shù)字相 等的幾率非常小，恰好和等又談何容易?兩臺主機雖然mac地址和ip地址相同，但是應(yīng)用 端口號不同，接收到的多余數(shù)據(jù)由于在tcp/udp層找不到匹配的端口號，被當成無川的數(shù) 據(jù)簡單地丟棄了，而tcp/udp

13、層的處理對于用戶層來說是透明的；所以川戶可以“正確無 誤”地正常使用相應(yīng)的服務(wù)，而不受地址盜用的干擾。當然，某些應(yīng)用程序的用戶端口號可能是用戶或者應(yīng)用程序自己設(shè)置的，而不是交給協(xié) 議來隨機的生成。那么，結(jié)果又會如何呢?例如，在兩臺mac地址和ip地址都相同的主機 上，啟動了兩個端口和同的應(yīng)用程序，這兩個應(yīng)用是不是就無法正常工作了呢?其實不盡然。如果下層使用的是udp協(xié)議，兩個應(yīng)用將互相干擾無法止常工作。如果使用的是tcp 協(xié)議，結(jié)果就不一樣了。因為tcp是面向連接的，為了實現(xiàn)重發(fā)機制，保證數(shù)據(jù)的正確傳 輸，tcp引入了報文序列號和接收窗口的概念。在上述的端口號匹配的報文中，只冇那些 序列號的偏差屬于接收窗口z內(nèi)的報文才會被接收，否則，會被認為是過期報文而丟棄。 tcp協(xié)議中的報文的序列號有32位，每個應(yīng)用程序發(fā)送的笫一個報文的序列號是嚴格按照 隨機的原則產(chǎn)生的，以后每個報文的序列號依次加lo窗口的人小有16位，也就是說窗口最人可以是216,而序列號的范i節(jié)i是232,主機期望 接收的tcp數(shù)據(jù)的序列號正好也處于對方的接收范圍z內(nèi)的概率為1/216,可謂小z乂小。 tcp的序列號本來是為了實現(xiàn)報文的正確傳輸，現(xiàn)在卻成了地址盜用的幫兇。4解決mac與ip地址綁定被破解的方法解決mac與ip地址綁定被破解的方法很多，主要以下兒種。交換機端口