IP地址欺骗与防范技术研究

摘要：随着计算机网络的飞速发展，网络业务迅速兴起，然而由于网络自身固有的脆弱和中国的网络信息技术起步比较晚使网络安全存在很多潜在的威胁。在当今这样“数字经济”的时代，网络安全显得尤为重要。本文剖析了IP地址欺骗的原理，分析了IP欺骗攻击技术，并在此基础上，给出了一些防范措施。

关键词：IP欺骗 源路由欺骗 TCP会话劫持

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）11-0000-00

随着计算机网络的快速发展，电子商务、网上银行等一些网络业务迅速兴起，那么网络安全问题就显得尤为重要了。目前造成网络不安全的因素有两大类，一类是人为因素，比如黑客；另外的就是网络体系结构本身存在的安全缺陷，比如TCP/IP协议的安全性缺陷[1]。IP地址欺骗就是通过TCP/IP协议本身存在的一些缺陷进行攻击，取得目标系统的信任以便获取机密信息。本文针对IP地址欺骗问题，分析常见攻击类型并给出解决方法。

1 IP地址欺骗的原理

在网络上，计算机之间要进行交流必须在两个前提之下：认证和信任。认证是一种鉴别

过程，两台计算机经过认证的过程，才会建立起相互信任的关系。信任和认证具有逆反关系，即如果计算机之间存在高度的信任关系，则交流时就不会要求严格的认证。而反之，如果计算机之间没有很好的信任关系，则会进行严格的认证[2]。

IP地址欺骗实质上就是冒充身份通过认证来骗取信任的攻击方式，攻击者针对认证机制的缺陷，将自己伪装成其他计算机的IP地址，骗取连接来获得信息或者得到特权。

2 常见的IP地址欺骗技术

2.1 IP源路由欺骗

TCP/IP网络中，IP包的传输路径完全由路由决定，IP报文首部的可选项中有“源站选路”，可以指定到达目的站点的路由。

源站选路给攻击者带来了很大的便利。攻击者可以使用假冒地址10.10.20.30向受害者10.10.5.5发送数据包，并指定了宽松的源站选路或者严格路由选择，并把自己的IP地址10.50.50.50填入地址清单中。

当受害者在应答的时候，按收到数据包的源路由选项反转使用源路由，传送到被更改过的路由器，由于路由器的路由表已被修改，收到受害者的数据包时，路由器根据路由表把数据包发送到攻击者所在的网络，攻击者可在其局域网内较方便地进行侦听，收取此数据包。

这样攻击者不再是盲目飞行了，因为它能获得完整的会话信息。

2.2 TCP会话劫持

在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击，而是仅仅装作是合法用户。此时，被冒充的用户可能并不在线上，而且它在整个攻击中不扮演任何角色，因此攻击者不会对它发动进攻。但是在会话劫持中，为了接管整个会话过程，攻击者需要积极攻击使被冒充用户下线。

在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接，用来交换TCP窗口大小信息，连接包含双方的序列号和确认号。在TCP连接中，每台主机会创建一个TCB数据结构，存储与连接有关的数据[3]。

TCP会话劫持过程分为五个步骤：（1）发现攻击目标。首先，通常攻击者希望这个目标是一个准予TCP会话连接（例如Telnet和FTP等）的服务器。（1）确认动态会话。与大多数攻击不同，会话劫持攻击适合在网络流通量达到高峰时才会发生的。（1）猜测序列号。TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。序列号却是随着时间的变化而改变的。因此，攻击者必须成功猜测出序列号。通过嗅探或者ARP欺骗，先发现目标机正在使用的序列号，再根据序列号机制，可以猜测出下一对SEQ/ACK序列号。（1）使客户主机下线。当攻击者获得了序列号后，为了彻底接管这个会话，他就必须使客户主机下线。使客户主机下线最简单的方式就是对其进行拒绝服务攻击，从而使其不再继续响应。（1）接管会话。既然攻击者已经获得了他所需要的一切信息，那么他就可以持续向服务器发送数据包并且接管整个会话了。

3 IP欺骗攻击的防御

3.1防范源路由欺骗

为了保护一个单位不成为基本IP地址攻击的受害者，应该在路由器上进行基本过滤。大多数路由器有内置的欺骗过滤器。过滤器的最基本形式是，不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址[4]。

保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。在一个Cisco路由器上，可以通过使用IPsource-route命令使源路由有效或者无效，在其他路由器上可以使用类似的命令使源路由无效[5]。

3.2防范会话劫持攻击

会话劫持攻击是非常危险的，因为攻击者能够直接接管合法用户的会话。在其他的攻击中可以处理那些危险并且将它消除。但是在会话劫持中，消除这个会话也就意味着禁止了一个合法的连接，从本质上来说这么做就背离了使用Internet进行连接的目的。

没有有效的办法可以从根本上防范会话劫持攻击，以下列举了一些方法可以尽量缩小会话攻击所带来危害：（1）进行加密。加密技术是可以防范会话劫持攻击为数不多的方式之一。如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。（2）使用安全协议。

无论何时当用户连入到一个远端的机器上，特别是当从事敏感工作或是管理员操作时，都应当使用安全协议。（3）限制保护措施。允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。攻击者越难进入系统，那么系统就越不容易受到会话劫持攻击。

4 结语

IP地址欺骗是冒充身份通过认证来骗取信任的攻击方式，是使一台主机信任另外一台主机的复杂技术。本文首先对IP地址欺骗的技术进行了分析，针对其攻击特点，论述了IP欺骗攻击的防范措施，尽可能降低地址欺骗所带来的网络安全风险。

参考文献

[1]李涛.网络安全概论[M].北京：电子工业出版社，2004.

[2]李春林.IP安全及安全网卡[D].西北工业大学，2001.

[3]史蒂文斯.TCP/IP详解[M].北京：机械工业出版社，2000.

[4]张立红.网络中的网桥、路由器和网关[J].山东工程学院学报，2001，15（1）：43-47.

[5]袁剑锋.计算机网络安全问题及其防范措施[J].中国科技信息.2006（15）.