2.4IP欺骗原理和防范
IP欺骗也是针对TCP/IP协议的缺陷。我们先来看看IP欺骗的过程
(图二:IP伪装示意图)
我们先做以下假定:首先,目标主机已经选定。其次,信任模式已被发现,并找到了一个被目标主机信任的主机。
黑客为了进行IP欺 骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP 序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。
要通过包过滤防火墙的过滤规则来阻挡IP欺骗的攻击,几乎是不可能的,因而我们设计了强大的身份验证来抵御这种攻击。
有一种设计方案:当一个IP数据包从一个网络内部机器到另一内部机器,但这个数据包却通过外部网络通向内部网络的入口进入,同时,我们通过包过滤和分析IP报头,可以知道该数据包有两个源地址。其中一个是伪IP源地址。这样我们就毫不犹豫地断定我们受到了IP欺骗的攻击。在处理时,我们立即丢弃该数据包,并把记录写入日志文件中。
关于这一点,请看类C语言:
If (IP 数据包入站){
If (iphdr->SrcAddr 属于本地网络&&
Iphdr->DstAddr属于本地网络){
丢弃IP数据包;
作日志纪录;
}
else{使用出站或转发规则过滤数据包;}
事实上LINUX内核本身支持防范IP欺骗得功能,我们可以用下面的命令:
ech0 1>/proc/sys/net/ipv4/conf/eth0/rp_filter
3 结束语
当网络中应用新的安全技术后,恶意用户的攻击技术也深入改造,变异。此时就需要网络管理人员或用户的细心发现计算机是否有异常情况,如反应变慢、非法连接数据、莫名程序及莫名用户等。为了能自动化防守计算机,相关人氏建议在安全策略上要做到精、细、准,在软件应用上要调节安全度,并提写相关日志文件,安装必备的防火墙,做好前置工作,才能以逸待劳!
参考文献:
[1]唐正军编著.黑客入侵防护系统源代码[M].第二版.北京:机械工业出版社, 2005.
[2]井口信口(日)著.TCP/IP网络工具篇[M].北京:科学出版社,2004.
[3]王洪宇,张福利编著.LINUX服务器管理员教程[M].北京:国防工业出版社, 2001.