1 / 12 如何破解MAC 地址与IP 地址绑定策略 互联网 1 引言 对“IP 地址盗用”的解决方案绝大多数都是采取 MAC 与IP 地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨。在这里需要声明的是,本文是处于对对MAC 与IP 地址绑定策略安全的忧虑,不带有任何黑客性质。 1.1 为什么要绑定MAC 与IP 地址 影响网络安全的因素很多,IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于 IP 的,比如流量统计、账号控制等都将 IP 地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。 盗用外部网络的 IP 地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口 的 IP 地址范 围 ,不属 于该 IP 地址范 围 的报 文将无法通过这些 互连设备。但 如果盗用的是 Ethernet 内 部合法用户的 IP 地址,这种网络互连设备显 然 无能为力 了。“道 高 一尺 ,魔 高 一丈 ”,对于 Ethernet 内 部的 IP 地址被盗用,当 然 也 有相 应的解决办 法。绑定MAC 地址与IP 地址就是防 止 内 部IP 盗用的一个常用的、简 单 的、有效 的措 施 。 1.2 MAC 与IP 地址绑定原 理 IP 地址的修 改 非 常容 易 ,而 MAC 地址存 储 在网卡 的 EEPROM 中,而 且网卡 的MAC 地址是唯 一确 定的。因此 ,为了防 止 内 部人员 进行非 法 IP 盗用( 例 如盗用权 限 更 高 人员 的 IP 地址,以 获 得 权 限 外的信 息 ) ,可以 将内 部网络的 IP 地址与MAC 地址绑定,盗用者 即 使 修 改 了 IP 地址,也 因 MAC 地址不匹 配 而 盗用失败 :而 且由于网卡MAC 地址的唯 一确 定性,可以 根 据 MAC 地址查 出 使 用该MAC 地址的网卡 ,进而 查 出 非 法盗用者 。 2 / 12 目前,很多单位的内部网络,尤其是学校校园网都采用了MAC 地址与IP 地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP 地址被盗用,也都内置了MAC 地址与IP 地址的绑定功能。 从表面上看来,绑定MAC 地址和IP 地址可以防止内部IP 地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC 地址与IP 地址的绑定存在很大的缺陷,并不能真正防止内部IP ...