MAC地址與IP地址綁定策略的

字號:

1 引言
    對“IP地址盜用”的解決方案絕大多數(shù)都是采取MAC與IP地址綁定策略,這種做法是十分危險的,本文將就這個問題進行探討。在這里需要聲明的是,本文是處于對對MAC與IP地址綁定策略安全的憂慮,不帶有任何黑客性質(zhì)。
    1.1 為什么要綁定MAC與IP 地址
    影響網(wǎng)絡安全的因素很多,IP地址盜用或地址欺騙就是其中一個常見且危害極大的因素?,F(xiàn)實中,許多網(wǎng)絡應用是基于IP的,比如流量統(tǒng)計、賬號控制等都將IP地址作為標志用戶的一個重要的參數(shù)。如果有人盜用了合法地址并偽裝成合法用戶,網(wǎng)絡上傳輸?shù)臄?shù)據(jù)就可能被破壞、竊聽,甚至盜用,造成無法彌補的損失。
    盜用外部網(wǎng)絡的IP地址比較困難,因為路由器等網(wǎng)絡互連設備一般都會設置通過各個端口的IP地址范圍,不屬于該IP地址范圍的報文將無法通過這些互連設備。但如果盜用的是Ethernet內(nèi)部合法用戶的IP地址,這種網(wǎng)絡互連設備顯然無能為力了。“道高一尺,魔高一丈”,對于Ethernet內(nèi)部的IP地址被盜用,當然也有相應的解決辦法。綁定MAC地址與IP地址就是防止內(nèi)部IP盜用的一個常用的、簡單的、有效的措施。
    1.2 MAC與IP 地址綁定原理
    IP地址的修改非常容易,而MAC地址存儲在網(wǎng)卡的EEPROM中,而且網(wǎng)卡的MAC地址是確定的。因此,為了防止內(nèi)部人員進行非法IP盜用(例如盜用權限更高人員的IP地址,以獲得權限外的信息),可以將內(nèi)部網(wǎng)絡的IP地址與MAC地址綁定,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失?。憾矣捎诰W(wǎng)卡MAC地址的確定性,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡,進而查出非法盜用者。來源:www.examda.com
    目前,很多單位的內(nèi)部網(wǎng)絡,尤其是學校校園網(wǎng)都采用了MAC地址與IP地址的綁定技術。許多防火墻(硬件防火墻和軟件防火墻)為了防止網(wǎng)絡內(nèi)部的IP地址被盜用,也都內(nèi)置了MAC地址與IP地址的綁定功能。
    從表面上看來,綁定MAC地址和IP地址可以防止內(nèi)部IP地址被盜用,但實際上由于各層協(xié)議以及網(wǎng)卡驅(qū)動等實現(xiàn)技術,MAC地址與IP地址的綁定存在很大的缺陷,并不能真正防止內(nèi)部IP地址被盜用。
    2 *MAC與IP地址綁定策略
    2.1 IP地址和MAC地址簡介
    現(xiàn)行的TCP/IP網(wǎng)絡是一個四層協(xié)議結構,從下往上依次為鏈路層、網(wǎng)絡層、傳輸層和應用層。
    Ethernet協(xié)議是鏈路層協(xié)議,使用的地址是MAC地址。MAC地址是Ethernet網(wǎng)卡在Ethernet中的硬件標志,網(wǎng)卡生產(chǎn)時將其存于網(wǎng)卡的EEPROM中。網(wǎng)卡的MAC地址各不相同,MAC地址可以標志一塊網(wǎng)卡。在Ethernet上傳輸?shù)拿總€報文都含有發(fā)送該報文的網(wǎng)卡的MAC地址。
    Ethernet根據(jù)Ethernet報文頭中的源MAC地址和目的MAC來識別報文的發(fā)送端和接收端。IP協(xié)議應用于網(wǎng)絡層,使用的地址為IP地址。使用IP協(xié)議進行通訊,每個IP報文頭中必須含有源IP和目的IP地址,用以標志該IP報文的發(fā)送端和接收端。在Ethernet上使用IP協(xié)議傳輸報文時,IP報文作為Ethernet報文的數(shù)據(jù)。IP地址對于Ethernet交換機或處理器是透明的。用戶可以根據(jù)實際網(wǎng)絡的需要為網(wǎng)卡配置一個或多個IP地址。MAC地址和IP地址之間并不存在一一對應的關系。
    MAC地址存儲在網(wǎng)卡的EEPROM中并且確定,但網(wǎng)卡驅(qū)動在發(fā)送Ethernet報文時,并不從EEPROM中讀取MAC地址,而是在內(nèi)存中來建立一塊緩存區(qū),Ethernet報文從中讀取源MAC地址。而且,用戶可以通過操作系統(tǒng)修改實際發(fā)送的Ethernet報文中的源MAC地址。既然MAC地址可以修改,那么MAC地址與IP地址的綁定也就失去了它原有的意義。
    2.2 *方案
    下圖是*試驗的結構示意圖。其內(nèi)部服務器和外部服務器都提供Web服務,防火墻中實現(xiàn)了MAC地址和IP地址的綁定。報文中的源MAC地址與1P地址對如果無法與防火墻中設置的MAC地址與1P地址對匹配,將無法通過防火墻。主機2和內(nèi)部服務器都是內(nèi)部網(wǎng)絡中的合法機器;主機1是為了做實驗而新加入的機器。安裝的操作系統(tǒng)是W2000企業(yè)版,網(wǎng)卡是3Com的。
    試驗需要修改主機1中網(wǎng)卡的MAC和IP地址為被盜用設備的MAC和IP地址。首先,在控制面板中選擇“網(wǎng)絡和撥號連接”,選中對應的網(wǎng)卡并點擊鼠標右鍵,選擇屬性,在屬性頁的“常規(guī)”頁中點擊“配置”按鈕。在配置屬性頁中選擇“高級”,再在“屬性”欄中選擇“Network Address”,在“值”欄中選中輸人框,然后在輸人框中輸人被盜用設備的MAC地址,MAC地址就修改成功了。