熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

让IIS6.0可以执行WSH

2022-06-13   來源: Windows服務器 

   引言
  對IP地址盜用的解決方案絕大多數都是采取MAC與IP地址綁定策略這種做法是十分危險的本文將就這個問題進行探討在這裡需要聲明的是本文是處於對對MAC與IP地址綁定策略安全的憂慮不帶有任何黑客性質
  
   為什麼要綁定MAC與IP 地址
  
  影響網絡安全的因素很多IP地址盜用或地址欺騙就是其中一個常見且危害極大的因素現實中許多網絡應用是基於IP的比如流量統計賬號控制等都將IP地址作為標志用戶的一個重要的參數如果有人盜用了合法地址並偽裝成合法用戶網絡上傳輸的數據就可能被破壞竊聽甚至盜用造成無法彌補的損失
  
  盜用外部網絡的IP地址比較困難因為路由器等網絡互連設備一般都會設置通過各個端口的IP地址范圍不屬於該IP地址范圍的報文將無法通過這些互連設備但如果盜用的是Ethernet內部合法用戶的IP地址這種網絡互連設備顯然無能為力了道高一尺魔高一丈對於Ethernet內部的IP地址被盜用當然也有相應的解決辦法綁定MAC地址與IP地址就是防止內部IP盜用的一個常用的簡單的有效的措施
  
   MAC與IP 地址綁定原理
  
  IP地址的修改非常容易而MAC地址存儲在網卡的EEPROM中而且網卡的MAC地址是唯一確定的因此為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址以獲得權限外的信息)可以將內部網絡的IP地址與MAC地址綁定盜用者即使修改了IP地址也因MAC地址不匹配而盜用失敗而且由於網卡MAC地址的唯一確定性可以根據MAC地址查出使用該MAC地址的網卡進而查出非法盜用者
  
  目前很多單位的內部網絡尤其是學校校園網都采用了MAC地址與IP地址的綁定技術許多防火牆(硬件防火牆和軟件防火牆)為了防止網絡內部的IP地址被盜用也都內置了MAC地址與IP地址的綁定功能
  
  從表面上看來綁定MAC地址和IP地址可以防止內部IP地址被盜用但實際上由於各層協議以及網卡驅動等實現技術MAC地址與IP地址的綁定存在很大的缺陷並不能真正防止內部IP地址被盜用
  
   破解MAC與IP地址綁定策略
   IP地址和MAC地址簡介
  
  現行的TCP/IP網絡是一個四層協議結構從下往上依次為鏈路層網絡層傳輸層和應用層
  
  Ethernet協議是鏈路層協議使用的地址是MAC地址MAC地址是Ethernet網卡在Ethernet中的硬件標志網卡生產時將其存於網卡的EEPROM中網卡的MAC地址各不相同MAC地址可以唯一標志一塊網卡在Ethernet上傳輸的每個報文都含有發送該報文的網卡的MAC地址
  
  Ethernet根據Ethernet報文頭中的源MAC地址和目的MAC來識別報文的發送端和接收端IP協議應用於網絡層使用的地址為IP地址使用IP協議進行通訊每個IP報文頭中必須含有源IP和目的IP地址用以標志該IP報文的發送端和接收端在Ethernet上使用IP協議傳輸報文時IP報文作為Ethernet報文的數據IP地址對於Ethernet交換機或處理器是透明的用戶可以根據實際網絡的需要為網卡配置一個或多個IP地址MAC地址和IP地址之間並不存在一一對應的關系
  
  MAC地址存儲在網卡的EEPROM中並且唯一確定但網卡驅動在發送Ethernet報文時並不從EEPROM中讀取MAC地址而是在內存中來建立一塊緩存區Ethernet報文從中讀取源MAC地址而且用戶可以通過操作系統修改實際發送的Ethernet報文中的源MAC地址既然MAC地址可以修改那麼MAC地址與IP地址的綁定也就失去了它原有的意義 破解方案
  
  下圖是破解試驗的結構示意圖其內部服務器和外部服務器都提供Web服務防火牆中實現了MAC地址和IP地址的綁定報文中的源MAC地址與P地址對如果無法與防火牆中設置的MAC地址與P地址對匹配將無法通過防火牆主機和內部服務器都是內部網絡中的合法機器主機是為了做實驗而新加入的機器安裝的操作系統是W企業版網卡是Com的
  
  試驗需要修改主機中網卡的MAC和IP地址為被盜用設備的MAC和IP地址首先在控制面板中選擇網絡和撥號連接選中對應的網卡並點擊鼠標右鍵選擇屬性在屬性頁的常規頁中點擊配置按鈕在配置屬性頁中選擇高級再在屬性欄中選擇Network Address欄中選中輸人框然後在輸人框中輸人被盜用設備的MAC地址MAC地址就修改成功了
  
  然後再將IP地址配置成被盜用設備的IP地址盜用內部客戶機IP地址將主機的MAC地址和IP地址分別修改為主機的MAC地址和IP地址主機可以訪問外部服務器能夠順利地通過防火牆訪問權限與主機沒有分別而且與此同時主機也可以正常地訪問外部服務器完全不受主機的影響無論是主機還是防火牆都察覺不到主機的存在主機如果訪問內部服務器根本無需通過防火牆更是暢通無阻了
  
  盜用內部服務器IP地址將主機的MAC地址和U地址修改為內部服務器的MAC地址和IP地址主機也提供Web服務為了使效果更明顯主機上提供的Web服務內容與內部服務器提供的內容不同
  
  因為在實際的實驗中主機與主機連在同一個HUB上主機的訪問請求總是先被主機響應主機期望訪問的是內部服務器得到的卻總是主機提供的內容更一般地主機如果試圖訪問內部服務器獲得的到底是主機提供的內容還是內部服務器提供的內容具有隨機性要看它的訪問請求首先被誰響應在後面的分析中我們將進一步對此進行闡述
  
  盜用服務器的MAC和IP危害可能更大如果主機提供的Web內容和內部服務器中的內容一樣那麼主機將無法識別它訪問的到底是哪個機器如果Web內容中要求輸人賬號密碼等信息那麼這些信息對於主機來說則是一覽無遺了
  
   破解成功的原因
  上面的實驗驗證了綁定MAC地址與IP地址的確存在很大的缺陷無法有效地防止內部IP地址被盜用接下來將從理論上對該缺陷進行詳細的分析
  
  缺陷存在的前提是網卡的混雜接收模式所謂混雜接收模式是指網卡可以接收網絡上傳輸的所有報文無論其目的MAC地址是否為該網卡的MAC地址正是由於網卡支持混雜模式才使網卡驅動程序支持MAC地址的修改成為可能否則就算修改了MAC地址但是網卡根本無法接收相應地址的報文該網卡就變得只能發送無法接收通信也就無法正常進行了
  
  MAC地址可以被盜用的直接原因是網卡驅動程序發送Ethernet報文的實現機制Ethernet報文中的源MAC地址是驅動程序負責填寫的但驅動程序並不從網卡的EEPROM中讀取MAC而是在內存中建立一個MAC地址緩存區網卡初始化的時候將EEPROM中的內容讀入到該緩存區如果將該緩存區中的內容修改為用戶設置的MAC地址以後發出去的Ethernet報文的源地址就是修改後的MAC地址了
  
  如果僅僅是修改MAC地址地址盜用並不見得能夠得逞Ethernet是基於廣播的Ethernet網卡都能監聽到局域網中傳輸的所有報文但是網卡只接收那些目的地址與自己的MAC地址相匹配的Ethernet報文如果有兩台具有相同MAC地址的主機分別發出訪問請求而這兩個訪問請求的響應報文對於這兩台主機都是匹配的那麼這兩台主機就不只接收到自己需要的內容而且還會接收到目的為另外一台同MAC主機的內容
  
  按理說兩台主機因為接收了多余的報文後都應該無法正常工作盜用馬上就會被察覺盜用也就無法繼續了但是在實驗中地址被盜用之後各台實驗設備都可以互不干擾的正常工作這又是什麼原因呢?答案應該歸結於上層使用的協議
  
  目前網絡中最常用的協議是TCP/IP協議網絡應用程序一般都是運行在TCP或者UDP之上例如實驗中Web服務器采用的HTTP協議就是基於TCP的在TCP或者UDP中標志通信雙方的不僅僅是IP地址還包括端口號在一般的應用中用戶端的端口號並不是預先設置的而是協議根據一定的規則生成的具有隨機性像上面利用IE來訪問Web服務器就是這樣UDP或者TCP的端口號為位二進制數兩個位的隨機數字相等的幾率非常小恰好相等又談何容易?兩台主機雖然MAC地址和IP地址相同但是應用端口號不同接收到的多余數據由於在TCP/UDP層找不到匹配的端口號被當成無用的數據簡單地丟棄了而TCP/UDP層的處理對於用戶層來說是透明的所以用戶可以正確無誤地正常使用相應的服務而不受地址盜用的干擾
  
  當然某些應用程序的用戶端口號可能是用戶或者應用程序自己設置的而不是交給協議來隨機的生成那麼結果又會如何呢?例如在兩台MAC地址和IP地址都相同的主機上啟動了兩個端口相同的應用程序這兩個應用是不是就無法正常工作了呢?其實不盡然
  
  如果下層使用的是UDP協議兩個應用將互相干擾無法正常工作如果使用的是TCP協議結果就不一樣了因為TCP是面向連接的為了實現重發機制保證數據的正確傳輸TCP引入了報文序列號和接收窗口的概念在上述的端口號匹配的報文中只有那些序列號的偏差屬於接收窗口之內的報文才會被接收否則會被認為是過期報文而丟棄TCP協議中的報文的序列號有每個應用程序發送的第一個報文的序列號是嚴格按照隨機的原則產生的以後每個報文的序列號依次加
  
  窗口的大小有也就是說窗口最大可以是而序列號的范圍是主機期望接收的TCP數據的序列號正好也處於對方的接收范圍之內的概率為/可謂小之又小 TCP的序列號本來是為了實現報文的正確傳輸現在卻成了地址盜用的幫凶
  
   解決MAC與IP地址綁定被破解的方法
  解決MAC與IP地址綁定被破解的方法很多主要以下幾種
  
  交換機端口MAC地址和IP地址三者綁定的方法代理服務與防火牆相
From:http://tw.wingwit.com/Article/os/fwq/201311/29840.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.