+设为首页 +添加到收藏夹
1 对“ip地址盗用”的解决方案绝大多数都是采取mac与ip地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨.在这里需要声明的是,本文是处于对对mac与ip地址绑定策略安全的忧虑,不带有任何黑客性质.
影响网络安全的因素很多,ip地址盗用或地址欺骗就是其中一个常见且危害极大的因素.现实中,许多网络应用是基于ip的,比如流量统计.账号控制等都将ip 地址作为标志用户的一个重要的参数.如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏.窃听,甚至盗用,造成无法弥补的损失. 【程序编程相关:使用cisco pix防火墙】1.1 为什么要绑定mac与ip 地址 【推荐阅读:访问配置】1.2 mac与ip 地址绑定原理 【扩展信息:网络设备维护案例一】盗用外部网络的ip地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围,不属于该ip地址范围的报文将无法通过这些互连设备.但如果盗用的是ethernet内部合法用户的ip地址,这种网络互连设备显然无能为力了.“道高一尺,魔高一丈”,对于ethernet内部的ip 地址被盗用,当然也有相应的解决办法.绑定mac地址与ip地址就是防止内部ip盗用的一个常用的.简单的.有效的措施. ip地址的修改非常容易,而mac地址存储在网卡的eeprom中,而且网卡的mac地址是唯一确定的.因此,为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip地址,以获得权限外的信息),可以将内部网络的ip地址与mac地址绑定,盗用者即使修改了ip地址,也因mac地址不匹配而盗用失败:而且由于网卡mac地址的唯一确定性,可以根据mac地址查出使用该mac地址的网卡,进而查出非法盗用者. 目前,很多单位的内部网络,尤其是学校校园网都采用了mac地址与ip地址的绑定技术.许多防火墙(硬件防火墙与软件防火墙)为了防止网络内部的ip地址被盗用,也都内置了mac地址与ip地址的绑定功能. 从表面上看来,绑定mac地址与ip地址可以防止内部ip地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,mac地址与ip地址的绑定存在很大的缺陷,并不能真正防止内部ip地址被盗用. 2 破解mac与ip地址绑定策略 2.1 ip地址与mac地址简介 现行的tcp/ip网络是一个四层协议结构,从下往上依次为链路层.网络层.传输层与应用层. ethernet协议是链路层协议,使用的地址是mac地址.mac地址是ethernet网卡在ethernet中的硬件标志,网卡生产时将其存于网卡的eeprom中.网卡的mac地址各不相同,mac地址可以唯一标志一块网卡.... 下一页