欢迎来到天天文库
浏览记录
ID:46612041
大小:70.00 KB
页数:3页
时间:2019-11-26
《MAC地址与IP地址绑定策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、MAC地址与IP地址绑定策略1引言对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,木文将就这个问题进行探讨。在这里需要声明的是,木文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质。1.1为什么要绑定MAC-LjIP地址影响网络安全的因素很多,1P地址盗用或地址欺骗就是其中一个常见且危害极大的因索。现实小,许多网络应用是基于1P的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损火。盗用外部网络的IP地址比较困
2、难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗川的是Ethernet内部合法川户的IP地址,这种网络互连设备显然无能为力了。“道高一尺,魔高—•丈”,对于Ethernet内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、冇效的措施。1.2MAC与IP地址绑定原理IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息)
3、,可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而fl.由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。目而,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硕件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。从表而上看來,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址・IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址彼盗用。2破解
4、MAC与IP地址绑定策略2.1IP地址和MAC地址简介现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、网络层、传输层和应用层。Ethernet协议是链路层协议,使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet屮的硬件标志,网卡牛产时将其存于网卡的EEPROM屮。网卡的MAC地址各不相同,MAC地址可以唯-•标志—•块网卡。在Ethernet±传输的每个报文都含有发送该报文的网卡的MAC地址。Ethernet根据Ethernet报文头屮的源MAC地址和1=1的MAC来识别报文的发送端和接收端。1P协议应用于网络层,使用的地址为IP地址。使用IPI办
5、议进行通讯,每个1P报文头中必须含有源IP和H的IP地址,用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报文时,IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP地址。MAC地址和IP地址Z间并不存在一一对应的关系。MAC地址存储在网卡的EEPROM中并且唯一确定,但网卡驱动在发送Ethernet报文时,并不从EEPROM>
6、'读取MAC地址,而是在内存屮来建立—•块缓存区,Ethernet报文从屮读取源MAC地址。而用户可以通过操作系统修改实际发送的Ethernet报文
7、中的源MAC地址。既然MAC地址可以修改,那么MAC地址与IP地址的绑定也就失去了它原冇的意义。2.2破解方案卜-图是破解试验的结构示意图。其內部服务器和外部服务器都提供Web服务,防火墙屮实现了MAC地址和IP地址的绑定。报文屮的源MAC地址与1P地址对如果无法与防火墙小设置的MAC地址与1P地址对匹配,将无法通过防火墙。主机2和内部服务器都是内部网络屮的合法机器:主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版,网卡是3Com的。试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和1P地址。首先,在控制而板屮选择“网络和拨号连接”,选屮对应的网卡并点击鼠
8、标右键,选择属性,在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”,再在“属性”栏中选择“NetworkAddress”,在“值”栏中选中输人框,然后在输人框中输人被盗用设备的MAC地址,MAC地址就修改成功了。然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址:将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器,能够顺利地通过防火墙,访问权限与主机2没冇
此文档下载收益归作者所有