mac地址與ip地址綁定的策略

1、引言 對“ip地址盜用”的解決方案絕人多數(shù)都是采取mac與ip地址綁定策 略，這種做法是十分危險的，本文將就這個問題進(jìn)行探討。在這里需要聲明的是, 本文是處于對對mac與ip地址綁定策略安全的憂慮，不帶有任何黑客性質(zhì)。為什么要綁定mac與ip地址影響網(wǎng)絡(luò)安全的因素很多，ip地址盜用或地址欺嵋就是其中一個常見且危害 極大的因素。現(xiàn)實(shí)屮，許多網(wǎng)絡(luò)應(yīng)用是基于ip的，比如流量統(tǒng)計、賬號控制等 都將ip地址作為標(biāo)志用戶的一個重要的參數(shù)。如果有人盜用了合法地址并偽裝 成合法用戶，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就可能被破壞、竊聽，其至盜用，造成無法彌補(bǔ) 的損失。盜用外部網(wǎng)絡(luò)的ip地址比較困難，因為路由器等網(wǎng)絡(luò)互連設(shè)備一般

2、都會設(shè) 置通過各個端口的i p地址范圍，不屬于該i p地址范圍的報文將無法通過這些互 連設(shè)備。但如果盜用的是ethernet內(nèi)部合法用戶的ip地址，這種網(wǎng)絡(luò)互連設(shè) 備顯然無能為力了?！暗栏咭怀撸Ц咭徽啥?對于ethernet內(nèi)部的ip地址被 盜用，當(dāng)然也冇相應(yīng)的解決辦法。綁定mac地址與ip地址就是防止內(nèi)部ip盜 用的一個常用的、簡單的、有效的措施。mac與ip地址綁定原理ip地址的修改非常容易，而mac地址存儲在網(wǎng)卡的eepro m中，而且網(wǎng) 卡的mac地址是唯一確定的。因此 為了防止內(nèi)部人員進(jìn)行非法ip盜用（例如 盜用權(quán)限更高人員的ip地址，以獲得權(quán)限外的信息），可以將內(nèi)部網(wǎng)絡(luò)的ip地

3、址與mac地址綁定，盜用者即使修改了 ip地址，也因mac地址不匹配而盜用 失?。憾矣捎诰W(wǎng)卡mac地址的唯一確定性，可以根據(jù)mac地址查擊使用該 mac地址的網(wǎng)卡，進(jìn)而查出菲法盜用者。目前，很多單位的內(nèi)部網(wǎng)絡(luò)，尤其是學(xué)校校園網(wǎng)都采用了 mac地址與ip地 址的綁定技術(shù)。許多防火墻（硬件防火墻和軟件防火墻）為了防止網(wǎng)絡(luò)內(nèi)部的 ip地址被盜用，也都內(nèi)置了 mac地址與ip地址的綁定功能。從表面上看來，綁定mac地址和ip地址可以防止內(nèi)部ip地址被盜用，但 實(shí)際上由于各層協(xié)議以及網(wǎng)卡馭動等實(shí)現(xiàn)技術(shù)，mac地址與ip地址的綁定存在 很大的缺陷，并不能真正防止內(nèi)部ip地址被盜用。破解mac與i p地址

4、綁定策略ip地址和mac地址簡介現(xiàn)行的tcp/ip網(wǎng)絡(luò)是一個四層協(xié)議結(jié)構(gòu)，從下往上依次為鏈路層、網(wǎng)絡(luò)層、 傳輸層和應(yīng)用層。ethernet協(xié)議是鏈路層協(xié)議，使用的地址是mac地址。mac地址是 ethernet網(wǎng)卡在ethernet中的碩件標(biāo)志，網(wǎng)卡生產(chǎn)時將其存于網(wǎng)卡的 eeprom中。網(wǎng)卡的mac地址各不相同，mac地址口j以唯一標(biāo)志一塊網(wǎng)卡。 在ethernet上傳輸?shù)拿總€報文都含冇發(fā)送該報文的網(wǎng)卡的mac地址。ethernet根據(jù)ethernet報文頭屮的源mac地址和目的mac來識別報文 的發(fā)送端和接收端。ipi辦議應(yīng)用于網(wǎng)絡(luò)層，使用的地址為ip地址。使用ip協(xié) 議進(jìn)行通訊，每個ip報

5、文頭中必須含冇源ip和目的ip地址，用以標(biāo)志該ip 報文的發(fā)送端和接收端。在ethernet ±使用ip協(xié)議傳輸報文時，ip報文作為 ethernet報文的數(shù)據(jù)。ip地址對于ethernet交換機(jī)或處理器是透明的。用戶 可以根據(jù)實(shí)際網(wǎng)絡(luò)的需要為網(wǎng)卡配置一個或多個ip地址。mac地址和ip地址 之間并不存在一一對應(yīng)的關(guān)系。mac地址存儲在網(wǎng)卡的eeprom中并且唯一確定，但網(wǎng)卡驅(qū)動在發(fā)送 ethernet報文時，并不從eeprom中讀取mac地址，而是在內(nèi)存中來建立一 塊緩存區(qū)，ethernet報文從中讀取源mac地址。而且，用戶可以通過操作系 統(tǒng)修改實(shí)際發(fā)送的ethernet報文中的

6、源mac地址。既然mac地址可以修改, 那么mac地址與ip地址的綁定也就失去了它原有的意義。破解方案下圖是破解試驗的結(jié)構(gòu)示意圖。其內(nèi)部服務(wù)器和外部服務(wù)器都提供web服 務(wù)，防火墻屮實(shí)現(xiàn)了 mac地址和ip地址的綁定。報文屮的源mac地址與1p 地址對如杲無法與防火墻屮設(shè)置的mac地址與1p地址對匹配，將無法通過防 火墻。主機(jī)2和內(nèi)部服務(wù)器都是內(nèi)部網(wǎng)絡(luò)屮的合法機(jī)器；主機(jī)1是為了做實(shí)驗而 新加入的機(jī)器。安裝的操作系統(tǒng)是w2000企業(yè)版，網(wǎng)卡是3com的。試驗需要修改主機(jī)1屮網(wǎng)卡的mac和ip地址為被盜用設(shè)備的mac和ip地 址。首先，在控制面板屮選擇“網(wǎng)絡(luò)和撥號連接"，選屮對應(yīng)的網(wǎng)卡并

7、點(diǎn)擊鼠標(biāo)右 鍵，選擇屈性，在屈性頁的“常規(guī)'頁屮點(diǎn)擊“配置”按鈕。在配置屈性頁中選擇“高 級”,再在“屬性”欄中選擇"network address",在“值”欄中選中輸人框,然后 在輸人框中輸人被盜用設(shè)備的mac地址，mac地址就修改成功了。然后再將ip地址配置成被盜用設(shè)備的ip地址。盜用內(nèi)部客戶機(jī)ip地址： 將主機(jī)1的mac地址和i p地址分別修改為主機(jī)2的mac地址和i p地址。主機(jī) 1可以訪問外部服務(wù)器，能夠順利地通過防火墻，訪問權(quán)限與主機(jī)2沒冇分別。 而冃，與此同時主機(jī)2也可以正常地訪問外部服務(wù)器，完全不受主機(jī)1的影響。 無論是主機(jī)2還是防火墻都察覺不到主

8、機(jī)1的存在。主機(jī)1如果訪問內(nèi)部服務(wù)器， 根木無需通過防火墻，更是暢通無阻了。盜用內(nèi)部服務(wù)器ip地址：將主機(jī)1的mac地址和u地址修改為內(nèi)部服務(wù)器 的mac地址和ip地址。主機(jī)1也捉供web服務(wù)。為了使效果更明顯，主機(jī)1 上提供的web服務(wù)內(nèi)容與內(nèi)部服務(wù)器提供的內(nèi)容不同。因為在實(shí)際的實(shí)驗中主機(jī)1與主機(jī)2連在同一個hub上，主機(jī)2的訪問請求 總是先被主機(jī)1響應(yīng)，主機(jī)2期望訪問的是內(nèi)部服務(wù)器，得到的卻總是主機(jī)1提供 的內(nèi)容。更一般地，主機(jī)2如果試圖訪問內(nèi)部服務(wù)器，獲得的到底是主機(jī)1提供 的內(nèi)容還是內(nèi)部服務(wù)器提供的內(nèi)容具有隨機(jī)性，要看它的訪問請求首先被誰響 應(yīng)，在后面的分析中我們將進(jìn)一步對此進(jìn)行闡述。

9、盜用服務(wù)器的mac和ip危害可能更人，如果主機(jī)1提供的web內(nèi)容和內(nèi) 部服務(wù)器中的內(nèi)容一樣，那么主機(jī)2將無法識別它訪問的到底是哪個機(jī)器；如果 web內(nèi)容中要求輸人賬號、密碼等信息，那么這些信息對于主機(jī)1來說則是一覽 無遺了。破解成功的原因上面的實(shí)驗驗證了綁定mac地址與ip地址的確存在很大的缺陷，無法有效 地防止內(nèi)部ip地址被盜用。接下來，將從理論上對該缺陷進(jìn)行詳細(xì)的分析。缺陷存在的前提是網(wǎng)卡的混雜接收模式，所謂混雜接收模式是指網(wǎng)卡可以接 收網(wǎng)絡(luò)上傳輸?shù)乃袌笪?，無論其目的mac地址是否為該網(wǎng)卡的mac地址。 止是由于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動程序支持mac地址的修改成為可能; 否則，就算

10、修改了 mac地址，但是網(wǎng)卡根木無法接收相應(yīng)地址的報文，該網(wǎng)卡 就變得只能發(fā)送，無法接收，通信也就無法正常進(jìn)行了。mac地址可以被盜用的直接原因是網(wǎng)卡駆動程序發(fā)送ethernet報文的實(shí) 現(xiàn)機(jī)制。ethernet報文中的源mac地址是張動程序負(fù)責(zé)填寫的，但張動程序 并不從網(wǎng)卡的eepr0m中讀取mac,而是在內(nèi)存中建立一個mac地址緩存區(qū)。 網(wǎng)卡初始化的時候?qū)eprom中的內(nèi)容讀入到該緩存區(qū)。如杲將該緩存區(qū)中的 內(nèi)容修改為用戶設(shè)置的mac地址，以后發(fā)出去的ethernet報文的源地址就是 修改后的mac地址了。如果僅僅是修改mac地址，地址盜用并不見得能夠得逞。ethernet是基于 廣播的

11、，ethernet網(wǎng)卡都能監(jiān)聽到局域網(wǎng)中傳輸?shù)乃袌笪?，但是網(wǎng)卡只接收 那些冃的地址與口己的mac地址相匹配的ethernet報文。如杲有兩臺貝有相 同mac地址的主機(jī)分別發(fā)出訪問請求，而這兩個訪問請求的響應(yīng)報文對于這兩 臺主機(jī)都是匹配的，那么這兩臺主機(jī)就不只接收到自己需要的內(nèi)容，而且還會接 收到目的為另外一臺同mac主機(jī)的內(nèi)容。按理說，兩臺主機(jī)因為接收了多余的報文后，都應(yīng)該無法正常工作，盜用馬 上就會被察覺，盜用也就無法繼續(xù)了；但是，在實(shí)驗中地址被盜用z后，各臺實(shí) 驗設(shè)備都可以互不干擾的正常工作。這又是什么原因呢？答案應(yīng)該歸結(jié)于上層使 用的協(xié)議。目前，網(wǎng)絡(luò)中最常用的協(xié)議是tcp/ip協(xié)議，網(wǎng)

12、絡(luò)應(yīng)用程序一般都是運(yùn)行在 tcp或者udpz上。例如，實(shí)驗中web服務(wù)器采用的http協(xié)議就是基于tcp 的。在tcp或者udp中，標(biāo)志通信雙方的不僅僅是ip地址，還包括端i號。 在一般的應(yīng)用中，用戶端的端口號并不是預(yù)先設(shè)置的，而是協(xié)議根據(jù)一定的規(guī)則 生成的，具有隨機(jī)性。像上面利用ie來訪問web服務(wù)器就是這樣。udp或者 tcp的端口號為16位二進(jìn)制數(shù)，兩個16位的隨機(jī)數(shù)字相等的兒率非常小，恰好 相等又談何容易？兩臺主機(jī)雖然mac地址和ip地址相同，但是應(yīng)用端i i號不同, 接收到的多余數(shù)據(jù)由于在tcp/udp層找不到匹配的端i i號，被當(dāng)成無用的數(shù)據(jù) 簡單地丟棄了，而tcp/udp層的處理

13、對于用戶層來說是透明的；所以用戶可以 “正確無誤''地正常使用相應(yīng)的服務(wù)，而不受地址盜用的干擾。當(dāng)然，某些應(yīng)用程序的用戶端口號可能是用戶或者應(yīng)用程序自己設(shè)置的，而 不是交給協(xié)議來隨機(jī)的生成。那么，結(jié)杲又會如何呢？例如，在兩臺mac地址 和ip地址都相同的主機(jī)上，啟動了兩個端i i相同的應(yīng)用程序，這兩個應(yīng)用是不 是就無法正常工作了呢?其實(shí)不盡然。如果下層使用的是udp協(xié)議，兩個應(yīng)用將互相干擾無法正常工作。如果使 用的是tcp協(xié)議，結(jié)果就不一樣了。因為tcp是面向連接的，為了實(shí)現(xiàn)重發(fā)機(jī) 制，保證數(shù)據(jù)的止確傳輸，tcp引入了報文序列號和接收窗i的概念。在上述 的端i i號匹配的報文中，只有那些序列號的偏差屬于接收窗i iz內(nèi)的報文才會被 接收，否則，會被認(rèn)為是過期報文而丟棄。tcp協(xié)議屮的報文的序列號有32位, 每個應(yīng)用程序發(fā)送的第一個報文的序列號是嚴(yán)格按照隨機(jī)的原則產(chǎn)牛的，以后每 個報文的序列號依次加1。窗i i的大小有16位，也就是說窗i 1最大可以是21 6,而序列號的范圍是232, 主機(jī)期望接收的tcp數(shù)據(jù)的序列號止好也處于對方的接收范圍之內(nèi)的概率為 1/216,可謂小之又小。tcp的序列號木來是為了實(shí)現(xiàn)報文的正確傳輸，現(xiàn)在 卻成了地址盜用的幫兇。解決mac與i p地址綁定被破解的方法解決mac與i