IP伪装技术分析

【摘要】　本文介绍了当前网监管理工作中经常遇到的诈骗、色情、等违规网站经常使用的IP伪装技术，并结合实例讲解了此类网站的工作原理以及提出防范措施，为从事该项技术工作的工程师提供参考。

【关键词】　网监管理；NAT技术；VPN；ARP欺骗；IP伪装

1 现象

在实际网监管理工作中，管理处置网站的关键一步就是确定网站域名所对应的IP地址，这样我们就可以确定网站所在的服务器位于哪个机房，及时进行相应处置。但是我们有时会遇到一个奇怪的现象，就是某些网站经过常规ping指令反馈的IP地址，到该IP所在服务器机房查看，却发现该IP根本就没有投入使用，这样就给管理工作带来了难点和不便。譬如在工作中发现某网站的网址为：http：///bbs.htm#07.23，技术人员经直接查询发现其IP地址为：60.191.90.111，该IP位于浙江省杭州市萧山区电信机房，但是经过实际到该IP服务器所在的数据机房详细侦查发现，这个IP其实根本就没有在用，甚至线都是断开的，但该网站却仍然可以继续正常访问。后来经过技术分析，确认该网站的真实地址是222.215.152.158，物理地址位于四川成都电信机房。

2 原理分析

经过侦查分析，该网站进行了IP伪装，且我们初步查询得到的IP地址60.191.90.111就是该网站伪装后的外壳。该IP伪装过程存在两种可能：1）IP为60.191.90.111的服务器被黑客攻击并成功控制；2）ARP欺骗配合域名解析欺骗性转向。

2.1 黑客行为分析

在具体分析之前我们可以先看一下NAT技术以及VPN的原理。

NAT（Network　Address　Translation：网络地址转换）是为了解决IPv4地址数量不够而产生的一种技术。简单来说，就是在一个LAN之内的所有主机及网络设备都通过一个集中的网络地址翻译器进行与互联网互通，这个中心的翻译器维护一张映射表，负责将每一个互联网应用都映射到对应的网络设备的对应端口，举例说明。

NAT技术很好地缓解了由于网络快速发展而造成的IPv4地址紧缺的现状，但是这样跟随引发的安全问题就是，对于NAT内部的设备进行了隐藏，如果内部的网络设备进行非法攻击等行为，都被掩盖在网关之后，对于案件侦查过程中技术跟踪与取证造成了困难。同时如果要排除该类网络结构造成的安全隐患，就需要投入大量费用购置具备安全审计功能的防火墙以便落实好相应的安全技术保护措施，但是现实中很少有网络提供商会这样做，因为这样会大大提高运营成本。但是从长远来看，落实好此类网络结构的安全技术保护措施是我们网监工作的一个重点。

VPN

VPN（Virtual　Private　Network：虚拟私有网）是指是在公用网络上建立专用网络的技术。也就是在一个大型网络中任意一组计算机或局域网段组成的一个工作组，该工作组具备一个独立的物理网络的全部特征，同时还可以有条件地访问工作组外的网络资源。对工作组而言，通常他们看到的只是工作组内的资源，就像是一个独立的网络一样，但这个看似独立的网络并不是采用独立的网络技术单独建造的，而是采用了隧道、加解密、密钥管理和使用者与设备身份认证等多种技术创建的虚拟网络链路。

VPN则是从安全的角度出发，将通过互联网进行传输的数据加密，在互联的双方看起来，大家都在同一个内部网络里面，可以通过自己划分的内网IP进行互联访问，而实际上所有的报文是在Internet上进行了加密封装的，目前业界的典型VPN包括针对应用的SSL　VPN、针对IP层的IPSec　VPN，以及针对大型跨自治域网络的MPLS　VPN。其中MPLS　VPN必须部署在高端路由器上，进行大范围VPN互联，在黑客针对服务器应用所采用的手法基本上不会使用，因为这种攻击必须控制大量的高端路由器，对于专业技能以及网络规划能力的要求都有极高的门槛要求。

IPSec和SSL　VPN相对来说部署较为简单，通过软件即可实现（当然效率与速度都无法与专用硬件实现的相比），同样黑客也可以通过自己撰写或者第三方的VPN软件进行修改，隐藏后使用就成了很好的远程控制、传输工具。

回到实际的问题中来，分两种情况讨论：1）60.191.90.111是实际一台部署在互联网上的服务器；2）60.191.90.111并不存在实际机器，但是该IP被盗用。

2.2 配合域名解析欺骗性转向行为分析

这种情况是数据机房经常会遇到的，也分为两种情况。

一是60.191.90.111在该段内已经在用，这种方式的实现原理是利用ARP欺骗再配合域名解析欺骗性转向。首先我们对ARP（地址解析协议）欺骗攻击进行解释：A、B两台主机在同一网络中，网关为C，当一个从Internet发送来的报文需要传递到B，根据ARP协议原理，C会向网络中发起一个轮询广播“谁是B（IP地址），你的位置（MAC地址）在哪里？”正常情况下只有B发现这个广播通告的IP地址和自身一致，所以回应网关C“我是B（IP地址），我的位置是b（B的MAC地址）”，其他的网络设备发现不符合，就会把这个报文丢弃。

二是60.191.90.111实际没有在使用，那么配合段内一台被攻击且成功控制的服务器，在该服务器上的IIS上配置多IP，当然包括60.191.90.111。然后配合域名解析将域名指向60.191.90.111即可。

回到我们实际的问题中来，仍然以网站http：///bbs.htm#07.23为例。首先60.191.90.111没有在用，用户利用黑客技术成功控制了该数据机房中同一LAN下的其他设备，假定其为：60.191.90.112，然后对该服务器上的IIS进行配置，增加60.191.90.111地址，最后再将网站的域名解析至60.191.90.111，这样导致Internet用户访问60.191.90.111的报文全部转向到60.191.90.112，然后在60.191.90.112主机上的类VPN中转软件会将这些报文修改报头后转发到其他地方，高级的黑客会进行若干次跳转，甚至转移到国外，以逃避追踪者。经过侦查分析，我们确实在60.191.90.112服务器上找到了被黑客攻击且成功上传的跳转源代码。

对于此类行为的追踪极其复杂与困难，因为涉及到法律以及国家间配合因素，目前为止更多的手法是被动防御，对内部进行严格防范，杜绝中转现象；在法律允许的情况下，使用一些特有的追踪软件，对这些中转的数据进行修改，插入追踪，可以实施“基于技术手段”的精确追踪。

3 检测与防范

无论哪种方式，都需要60.191.90.111或者其段内某台服务器必须提供服务，不管是实际的机器还是虚拟机或者其他网络设备，而对于很多实际服务器以及DNS服务器注册都放在境外的情况，很难通过ISP或者境内法律进行整改，所以必须对此进行自身处理。

1）　如果是实际服务器被黑客控制，那自然是对服务器进行彻底的安全检测，然后剔除黑客软件，进行服务器优化和安全加固，防止再次成为中转跳板。

2）　如果机房并没有使用这个IP，那么也可以肯定这个网络中有其他的设备被黑客控制，因为不管域名怎么注册，只要指向了机房中的IP，那么http的请求必然会通过端口局路由器，进入到机房所在的网络，然后中转后再发送至网站实际架设的服务器，机房的网络中肯定会存在黑客可以利用的短板。这种情况必须对整体网络进行检测和加固。

参考文献

[1]　W．Richard　Stevens.《TCP/IP详解　卷一：协议》.机械工业出版社，2000.4.1.

[2]　（美）WEI　LUO，　CARLOS　PIGNATARO　等.《第二层VPN体系结构》.人民邮电出版社，2006.8.1.

[3]　王达.《虚拟专用网（VPN）精解》.清华大学出版社，2004.1.1.

[4]　张耀疆.《聚焦黑客—攻击手段与防护策略》.人民邮电出版社，2002.9.1.

作者简介：

王京智（1974-），男，山东平度人，杭州市萧山区公安分局网络警察大队，工程师，从事网络案件技术侦查、互联网通信技术等问题研究。

洪观甫（1963-），男，浙江萧山人，杭州市萧山区公安分局网络警察大队，大队长，从事互联网管理、公安技防等问题研究。