]MAC地址與IP地址綁定策略的破解

1、對(duì)“ip地址盜用”的解決方案絕大多數(shù)都是采取mac與ip地址綁定策略，這種做法是i 分危險(xiǎn)的，本 文將就這個(gè)問(wèn)題進(jìn)行探討。在這里需要聲明的是，木文是處于對(duì)對(duì)mac與ip地址綁定策略安全的憂(yōu)慮， 不帶有任何黑客性質(zhì)。1.1為什么要綁定mac與ip地址影響網(wǎng)絡(luò)安全的因素很多，ip地址盜用或地址欺騙就是其中一個(gè)常見(jiàn)且危害極人的因素?，F(xiàn)實(shí)中，許 多網(wǎng)絡(luò)應(yīng)用是基于ip的，比如流屋統(tǒng)計(jì)、賬號(hào)控制等都將ip地址作為標(biāo)志用戶(hù)的一個(gè)重要的參數(shù)。如果 有人盜用了合法地址并偽裝成合法用戶(hù)，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就可能被破壞、！ ！，聯(lián)至盜用，造成無(wú)法彌 補(bǔ)的損失。盜用外部網(wǎng)絡(luò)的ip地址比較因難，因?yàn)槁酚善鞯染W(wǎng)絡(luò)互連設(shè)備-

2、般祁會(huì)設(shè)置通過(guò)各個(gè)端口的ip地址 范圍，不屬于該ip地址范圍的報(bào)文將無(wú)法通過(guò)這些互連設(shè)備。但如果盜用的是ethernet內(nèi)部合法用戶(hù)的i p地址，這種網(wǎng)絡(luò)互連設(shè)備顯然無(wú)能為力了?！暗栏咭怀?，魔高一丈”，對(duì)于ethernet內(nèi)部的ip地址被盜用， 當(dāng)然也有相應(yīng)的解決辦法。綁定mac地址與ip地址就是防止內(nèi)部ip盜用的一個(gè)常用的、簡(jiǎn)單的、有效的1.2 mac與ip地址綁定原理ip地址的修改非常容易，而mac地址存儲(chǔ)在網(wǎng)卡的eeprom中，而且網(wǎng)卡的mac地址是唯-確定 的。因此，為了防止內(nèi)部人員進(jìn)行非法ip盜用（例如盜用權(quán)限更高人員的ip地址，以獲得權(quán)限外的信息）， 可以將內(nèi)部網(wǎng)絡(luò)的ip地址與ma

3、c地址綁定，盜用者即使修改了 ip地址，也因mac地址不匹配而盜用失 ?。憾矣捎诰W(wǎng)卡mac地址的唯一確定性，可以根據(jù)mac地址查出使用該mac地址的網(wǎng)卡，進(jìn)而查出 非法盜用者。忖前，很多單位的內(nèi)部網(wǎng)絡(luò)，尤其是學(xué)校校園網(wǎng)都采用了 mac地址與ip地址的綁定技術(shù)。許多防火 墻（硬件防火墻和軟件防火墻）為了防止網(wǎng)絡(luò)內(nèi)部的ip地址被盜用，也都內(nèi)置了 mac地址與ip地址的綁 定功能。從表面上看來(lái)，綁定mac地址和ip地址可以防止內(nèi)部ip地址被盜用，但實(shí)際上山于各層協(xié)議以及網(wǎng) 卡驅(qū)動(dòng)等實(shí)現(xiàn)技術(shù)，mac地址與ip地址的綁定存在很大的缺陷，并不能真正防止內(nèi)部ip地址被盜川。2破解mac與ip地址綁定策略2

4、.1 ip地址和mac地址簡(jiǎn)介現(xiàn)行的tcp/ip網(wǎng)絡(luò)是一個(gè)四層協(xié)議結(jié)構(gòu)，從下往上依次為鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。ethernet協(xié)議是鏈路層協(xié)議，使用的地址是mac地址。mac地址是ethernet網(wǎng)卡在ethernet中的 破件標(biāo)志，網(wǎng)卡生產(chǎn)時(shí)將其存于網(wǎng)卡的eeprom中。網(wǎng)卡的mac地址各不相同，mac地址可以唯-標(biāo) 志一塊網(wǎng)卡。在ethernet上傳輸?shù)拿總€(gè)報(bào)文都含有發(fā)送該報(bào)文的網(wǎng)卡的mac地址。ethernet根據(jù)ethernet報(bào)文頭中的源mac地址利目的mac來(lái)識(shí)別報(bào)文的發(fā)送端和接收端。ip協(xié)議 應(yīng)用于網(wǎng)絡(luò)層，使用的地址為ip地址。使用ip協(xié)議進(jìn)行通訊，每個(gè)ip報(bào)文頭屮必須含

5、有源ip和目的ip 地址，用以標(biāo)志該ip報(bào)文的發(fā)送端和接收端。在ethernet ±使用ip協(xié)議傳輸報(bào)文時(shí)，ip報(bào)文作為ether net報(bào)文的數(shù)據(jù)。ip地址對(duì)丁 ethernet交換機(jī)或處理器是透明的。用戶(hù)可以根據(jù)實(shí)際網(wǎng)絡(luò)的需耍為網(wǎng)卡配 置一個(gè)或多個(gè)ip地址。mac地址和ip地址2間并不存在一一-對(duì)應(yīng)的關(guān)系。mac地址存儲(chǔ)在網(wǎng)卡的eeprom中并且唯一確定，但網(wǎng)卡驅(qū)動(dòng)在發(fā)送ethernet報(bào)文時(shí)，并不從ee prom中讀取mac地址，而是在內(nèi)存中來(lái)建立一塊緩存區(qū)，ethernet報(bào)文從屮讀取源mac地址。而且, 用戶(hù)可以通過(guò)操作系統(tǒng)修改實(shí)際發(fā)送的ethernet報(bào)文中的源mac地址

6、。既然mac地址可以修改，那么 mac地址與ip地址的綁定也就失去了它原有的意義。2.2破解方案下圖是破解試驗(yàn)的結(jié)構(gòu)示意圖。其內(nèi)部服務(wù)器和外部服務(wù)器都提供web服務(wù)，防火墻中實(shí)現(xiàn)了 mac 地址和ip地址的綁定。報(bào)文屮的源mac地址與1p地址對(duì)如果無(wú)法與防火墻中設(shè)直的mac地址與1p地 址對(duì)匹配，將無(wú)法通過(guò)防火墻。主機(jī)2和內(nèi)部服務(wù)器都是內(nèi)部網(wǎng)絡(luò)屮的合法機(jī)器；主機(jī)1是為了做實(shí)驗(yàn)而 新加入的機(jī)器。女裝的操作系統(tǒng)是w2000企業(yè)版，網(wǎng)卡是3com的。試驗(yàn)船要修改主機(jī)1中網(wǎng)卡的mac和ip地址為被盜用設(shè)備的mac和ip地址。首先，在控制而板中 選擇“網(wǎng)絡(luò)和撥號(hào)連接”，選屮對(duì)應(yīng)的網(wǎng)卡并點(diǎn)擊鼠標(biāo)右鍵,選擇

7、屬性,在屬性頁(yè)的“常規(guī)”頁(yè)屮點(diǎn)擊“配置”按 鈕。在配置屬性頁(yè)中選擇“高級(jí)”,再在“屬性”欄中選擇“network address”,在“值”欄中選中輸人框,然后在 輸人框屮輸人被盜用設(shè)備的mac地址，mac地址就修改成功了。然后再將ip地址配置成被盜用設(shè)備的ip地址。盜川內(nèi)部客戶(hù)機(jī)ip地址：將主機(jī)1的mac地址和i p地址分別修改為主機(jī)2的mac地址和ip地址。主機(jī)1可以訪(fǎng)問(wèn)外部服務(wù)器，能夠順利地通過(guò)防火墻， 訪(fǎng)問(wèn)權(quán)限與主機(jī)2沒(méi)冇分別。而且，與此同時(shí)主機(jī)2也可以正常地訪(fǎng)問(wèn)外部服務(wù)器，完全不受主機(jī)1的影 響。無(wú)論是主機(jī)2述是防火墻都察覺(jué)不到主機(jī)1的存在。如果訪(fǎng)問(wèn)內(nèi)部服務(wù)器，根木無(wú)需通過(guò)防火墻，更

8、是暢通無(wú)阻了。盜用內(nèi)部服務(wù)器ip地址：將主機(jī)1的mac地址和u地址修改為內(nèi)部服務(wù)器的mac地址和ip地址。 主機(jī)1也提供web服務(wù)。為了使效果更明顯，主機(jī)1上提供的web服務(wù)內(nèi)容與內(nèi)部服務(wù)器提供的內(nèi)容不 同。因?yàn)樵趯?shí)際的實(shí)驗(yàn)屮主機(jī)1與主機(jī)2連在同一個(gè)hub上，主機(jī)2的訪(fǎng)問(wèn)請(qǐng)求總是先被主機(jī)1響應(yīng)， 主機(jī)2期與訪(fǎng)問(wèn)的是內(nèi)部服務(wù)器，得到的卻總是主機(jī)1提供的內(nèi)容。更一般地，主機(jī)2如果試圖訪(fǎng)問(wèn)內(nèi)部 服務(wù)器，獲得的到底是主機(jī)1提供的內(nèi)容還是內(nèi)部服務(wù)器提供的內(nèi)容貝有隨機(jī)性，耍看它的訪(fǎng)問(wèn)請(qǐng)求首先 被誰(shuí)響應(yīng)，在后面的分析中我們將進(jìn)一步對(duì)此進(jìn)行闡述。盜用服務(wù)器的mac和ip危害可能更大，如果主機(jī)1提供的web內(nèi)容

9、和內(nèi)部服務(wù)器中的內(nèi)容一樣， 那么主機(jī)2將無(wú)法識(shí)別它訪(fǎng)問(wèn)的到底是哪個(gè)機(jī)器；如果web內(nèi)容中要求輸人賬號(hào)、密碼等信息，那么這些 信息對(duì)于主機(jī)1來(lái)說(shuō)則是一覽無(wú)遺了。3破解成功的原因上面的實(shí)驗(yàn)驗(yàn)證了綁定mac地址與ip地址的確存在很大的缺陷,無(wú)法有效地防止內(nèi)部ip地址被盜用。 接下來(lái)，將從理論上對(duì)該缺陷進(jìn)行詳細(xì)的分析。缺陷存在的前提是網(wǎng)卡的混雜接收模式，所謂混雜接收模式是抬網(wǎng)卡可以接收網(wǎng)絡(luò)上傳輸?shù)乃袌?bào)文, 無(wú)論其h的mac地址是否為該網(wǎng)卡的mac地址。正是山于網(wǎng)卡支持混雜模式，才使網(wǎng)卡驅(qū)動(dòng)程序支持m ac地址的修改成為可能；否則，就算修改了 mac地址，但是網(wǎng)卡根本無(wú)法接收相應(yīng)地址的報(bào)文，該網(wǎng)卡 就

10、變得只能發(fā)送，無(wú)法接收，通信也就無(wú)法正常進(jìn)行了。mac地址可以被盜用的直接原因是網(wǎng)卡驅(qū)動(dòng)程序發(fā)送ethernet報(bào)文的實(shí)現(xiàn)機(jī)制。ethernet報(bào)文中的 源mac地址是驅(qū)動(dòng)程序負(fù)責(zé)填寫(xiě)的，但驅(qū)動(dòng)程序并不從網(wǎng)卡的eeprom小讀取mac,而是在內(nèi)存中建 立一個(gè)mac地址緩存區(qū)。網(wǎng)卡初始化的時(shí)候?qū)eprom屮的內(nèi)容讀入到該緩存區(qū)。如果將該緩存區(qū)屮的 內(nèi)容修改為用戶(hù)設(shè)置的mac地址，以后發(fā)出去的ethernet報(bào)文的源地址就是修改后的mac地址了。如果僅僅是修改mac地址，地址盜用并不見(jiàn)得能夠得逞。ethernet是棊丁廣播的，ethernet網(wǎng)卡都 能監(jiān)聽(tīng)到局域網(wǎng)屮傳輸?shù)乃鶅訄?bào)文，但是網(wǎng)卡只接收

11、那些目的地址與自己的mac地址相匹配的ethernet 報(bào)文。如果有兩臺(tái)具有相同mac地址的主機(jī)分別發(fā)出訪(fǎng)問(wèn)請(qǐng)求，而這兩個(gè)訪(fǎng)問(wèn)請(qǐng)求的響應(yīng)報(bào)文對(duì)于這兩 臺(tái)主機(jī)都是匹配的，那么這兩臺(tái)主機(jī)就不只接收到自己需要的內(nèi)容，而且還會(huì)接收到h的為另外一臺(tái)同m ac主機(jī)的內(nèi)容。按理說(shuō)，兩臺(tái)主機(jī)因?yàn)榻邮樟硕嘤嗟膱?bào)文后，都應(yīng)該無(wú)法正常工作，盜用馬上就會(huì)被察覺(jué)，盜用也就 無(wú)法繼續(xù)了；但是，在實(shí)驗(yàn)屮地址被盜用z后，各臺(tái)實(shí)驗(yàn)設(shè)備都可以互不于擾的正常工作。這乂是什么原 因呢？答案應(yīng)該歸結(jié)于上層使用的協(xié)議。h前，網(wǎng)絡(luò)屮故常用的協(xié)議是tcp/ip協(xié)議，網(wǎng)絡(luò)應(yīng)用程序一般都是運(yùn)行在tcp或者udp之上。例 如，實(shí)驗(yàn)中web服務(wù)器采

12、用的http協(xié)議就是基于tcp的。在tcp或者udp中，標(biāo)志通信雙方的不僅 僅是ip地址，還包括端口號(hào)。在一-般的應(yīng)用中，用戶(hù)端的端口號(hào)并不是預(yù)先設(shè)置的，而是協(xié)議根據(jù)-定的 規(guī)則生成的，具冇隨機(jī)性。像上面利用ie來(lái)訪(fǎng)問(wèn)web服務(wù)器就是這樣。udp或者tcp的端口號(hào)為16位 二進(jìn)制數(shù)，兩個(gè)16位的隨機(jī)數(shù)字相等的幾率非常小，恰好相等又談何容易？?jī)膳_(tái)主機(jī)雖然mac地址和ip 地址相同，但是應(yīng)用端口號(hào)不同，接收到的多余數(shù)據(jù)山于在tcp/udp層找不到匹配的端口號(hào)，被當(dāng)成無(wú) 用的數(shù)據(jù)簡(jiǎn)單地丟棄了，而tcp/udp層的處理對(duì)丁川戶(hù)層來(lái)說(shuō)是透明的；所以用戶(hù)可以“正確無(wú)熒哋正簾 使用相應(yīng)的服務(wù)，而不受地址盜用

13、的t擾。當(dāng)然，某些應(yīng)用程序的用戶(hù)端口號(hào)可能是用戶(hù)或者應(yīng)用程序白己設(shè)置的，而不是交給協(xié)議來(lái)隨機(jī)的生 成。那么，結(jié)果又會(huì)如何呢？例如，在兩臺(tái)mac地址和ip地址都相同的主機(jī)上，啟動(dòng)了兩個(gè)端口相同的 應(yīng)用程序，這兩個(gè)應(yīng)用是不是就無(wú)法正常工作了呢？其實(shí)不盡然。如果下層使用的是udp協(xié)議，兩個(gè)應(yīng)川將互相干擾無(wú)法正常工作。如果使川的是tcp協(xié)議，結(jié)果就 不一樣了。因?yàn)閠cp是而向連接的，為了實(shí)現(xiàn)重發(fā)機(jī)制，保證數(shù)擁的正確傳輸，tcp引入了報(bào)文序列號(hào) 和接收窗口的概念。在上述的端口號(hào)匹配的報(bào)文屮，只冇那些序列號(hào)的偏差屬于接收窗口z內(nèi)的報(bào)文才會(huì) 被接收，否則，會(huì)被認(rèn)為是過(guò)期報(bào)文而丟棄。tcp協(xié)議中的報(bào)文的序列號(hào)有32位，每個(gè)應(yīng)用程序發(fā)送的 第一個(gè)報(bào)文的序列號(hào)是嚴(yán)格按照隨機(jī)的原則產(chǎn)生的，以后每個(gè)報(bào)文的序列號(hào)依次加1。窗口的大小有16位，也就是說(shuō)窗口最大可以是216,而序列號(hào)的范圍是232,寶機(jī)期望接收的tcp 數(shù)據(jù)的序列號(hào)正好也處于對(duì)方的接收范圍z內(nèi)的概率為1/216,可謂小之乂小。tcp的序列號(hào)本來(lái)是為了 實(shí)現(xiàn)報(bào)文的正確傳輸，現(xiàn)在卻成了地址盜用的幫兇。4解決mac與ip地址綁定被破解的方法解決mac與ip