畢業(yè)設(shè)計（論文）網(wǎng)絡(luò)IP欺騙技術(shù)研究利用IP技術(shù)提高公安網(wǎng)上作戰(zhàn)能力

1、網(wǎng)絡(luò)ip欺騙技術(shù)研究利用ip技術(shù)提高公安網(wǎng)上作戰(zhàn)能力摘 要：ip 欺騙是利用主機之間的正常信任關(guān)系, 偽造他人的 ip 地址達到欺騙某些主機的目的。ip 地址欺騙只適用于那些通過 ip 地址實現(xiàn)訪問控制的系統(tǒng)。實施 ip 欺騙攻擊就能夠有效地隱藏攻擊者的身份。ip 地址的欺騙行為侵害了網(wǎng)絡(luò)正常用戶的合法權(quán)益,并且給網(wǎng)絡(luò)安全、網(wǎng)絡(luò)正常運行帶來了巨大的負面影響, 因此研究 ip 欺騙問題, 找到有效的防范措施, 是當(dāng)前的一個緊迫課題。論文在介紹tcp/ip相關(guān)知識的基礎(chǔ)上對ip欺騙的原理進行了全面、詳盡的分析。在今后的公安工作中我們可以利用qq這樣的常用軟件進行案件偵查破案。將ip技術(shù)靈活運用在工

2、作中，反其道而行之。以此快速提升公安民警的網(wǎng)上作戰(zhàn)能力，高效遏制以ip欺騙為手段的網(wǎng)絡(luò)犯罪的發(fā)生。關(guān)鍵詞: ip 欺騙；網(wǎng)絡(luò)犯罪；防范手段； research on ip spoofing technology- promoting police operational ability by using ip technologyabstract：internet protocol (ip) spoofing refers to counterfeiting others ip address by taking the advantage of trust relationship betw

3、een mainframes to deceive some mainframes. it often occurs to the systems that need ip address to achieve access control. conducting ip spoofing can effectively conceal the identity of the attackers. ip address spoofing infringes upon the legitimate rights and interests of internet users and in the

4、meantime, exerts considerable negative impact on the internet security and the normal operation of internet. hence, it is necessary and urgent to do research on the problem of ip spoofing and trying to find out effective precautionary measures. based on introduction of relevant knowledge about tco/i

5、p, the essay makes a comprehensive and detailed analysis on the theory of ip spoofing. moreover, it mentions that some common used software like qq can be applied into investigation on criminal cases in the future. putting ip technology into practice will promote the polices operational ability, whi

6、ch can effectively hinder the occurrence of ip spoofing criminal cases.key words: ip spoofing; internet criminal; precautionary measure; 目 錄1引言11.1選題背景11.2文章結(jié)構(gòu)11.3課題研究意義11.4ip欺騙技術(shù)12ip協(xié)議基本原理及ip偽裝32.1ip協(xié)議32.2什么是ip偽裝32.3靠軟件實現(xiàn)的簡單ip隱藏43 ip 欺騙的攻擊63.1欺騙攻擊的原理63.2 ip 欺騙過程73.3模擬ip欺騙分子攻擊過程104利用ip欺騙引起的網(wǎng)絡(luò)犯罪124.1

7、網(wǎng)絡(luò)犯罪概念124.2ip欺騙犯罪的特點分析124.3黑客采用ip欺騙手段進行攻擊實例124.4ip欺騙攻擊的防護手段134.5公安偵查中追查犯罪嫌疑人的技術(shù)手段164.6模擬追查攻擊者真實ip地址過程175.總結(jié)與展望235.1總結(jié)：235.2展望23致 謝25參考文獻261引言1.1選題背景20世紀40年代以來,隨著計算機應(yīng)用的日益普及,特別是在軍事和科學(xué)工程領(lǐng)域的應(yīng)用,計算機犯罪也日益猖獗,對社會造成的危害也越來越嚴重,必須引起高度的重視。隨著計算機網(wǎng)絡(luò)的發(fā)展, 對網(wǎng)絡(luò)資源的破壞及黑客的攻擊不斷增多, “網(wǎng)絡(luò)安全性”和“信息安全性”越來越被重視?？v觀網(wǎng)絡(luò)上的各種安全性攻擊特征, 可歸結(jié)為

8、消極性和主動性兩種。其中, 身份欺騙就是一種主動性攻擊。從本質(zhì)上講, 它是針對網(wǎng)絡(luò)結(jié)構(gòu)及其有關(guān)協(xié)議在實現(xiàn)過程中存在某些安全漏洞而進行安全攻擊的。網(wǎng)絡(luò)技術(shù)的應(yīng)用在為人們的生活工作帶來便利的同時也帶來了不容忽視的安全隱患。這些安全隱患同時也滋生了網(wǎng)絡(luò)上的各種攻擊技術(shù)。對這些攻擊技術(shù)的研究不僅促使人們不斷完善各種網(wǎng)絡(luò)協(xié)議的設(shè)計，也能夠幫助人們逐步建立起安全防范意識與安全防御機制。1.2文章結(jié)構(gòu)本文將常見的ip欺騙技術(shù)通俗易懂的闡釋出來，對可用于從中犯罪的部分進行了側(cè)重介紹，對獲取犯罪信息的技術(shù)進行了說明，并通過案例闡述了這些技術(shù)在公安工作中的應(yīng)用，對公安實際工作具有指導(dǎo)意義。1.3課題研究意義現(xiàn)如今

9、，全球網(wǎng)民數(shù)量已接近10億，網(wǎng)絡(luò)已經(jīng)成為生活離不開的工具，經(jīng)濟、文化、軍事和社會活動都強烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。特別是internet在全球的爆炸性增長。隨著網(wǎng)絡(luò)的飛速發(fā)展，一些新的問題也隨之而來。一些不法之徒利用網(wǎng)絡(luò)非實名制的隱蔽性進行各種各樣的ip欺騙攻擊，使其中一些網(wǎng)民們信以為真，來獲取他們所需的利益，我們網(wǎng)絡(luò)安全防護起步晚、基礎(chǔ)差，解決網(wǎng)絡(luò)安全問題刻不容緩。本文搜集了網(wǎng)絡(luò)ip欺騙的一些常見手法以及所使用的技術(shù)手段和實現(xiàn)方法，以達到了解ip欺騙的手法，辨認網(wǎng)絡(luò)ip欺騙，能夠更好的打擊網(wǎng)絡(luò)犯罪的目的。1

10、.4ip欺騙技術(shù)ip欺騙技術(shù)就是一種融合多種攻擊技術(shù)的網(wǎng)絡(luò)攻擊行為。它將ip地址偽造技術(shù)、tcp、syn洪流攻擊技術(shù)與tcp序列號猜測技術(shù)融為一體，并且在攻擊過程中利用了具有信任關(guān)系的主機間采取的基于地址的認證方式。ip欺騙技術(shù)是一把雙刃劍，有時，可以解決ip越來越緊張的矛盾，當(dāng)用在不法問題時，就會產(chǎn)生很多危害。論文的目的就是通過對它進行全面分析來深刻認識這種攻擊行為的本質(zhì)以進一步探討針對它的防御措施。2ip協(xié)議基本原理及ip偽裝2.1ip協(xié)議ip協(xié)議是tcp/ip協(xié)議族中的核心協(xié)議，它獨立于下層的網(wǎng)絡(luò)技術(shù)實現(xiàn)，為上層協(xié)議提供服務(wù)tcp連接正是建立在ip數(shù)據(jù)報服務(wù)之上，提供面向連接的、可靠的字

11、節(jié)流服務(wù)。每一個tcp報文與ip報文都由控制信息與數(shù)據(jù)組成。ip報文首部的控制信息中包含源與目的主機的ip地址。tcp報文首部的控制信息包含源與目的協(xié)議端口號。ip地址的作用是將數(shù)據(jù)報經(jīng)由網(wǎng)絡(luò)從一個主機傳送到另一個主機。協(xié)議端口號用于標(biāo)識一臺機器上的多個進程。由ip地址與端口號組成的二元組(ip地址，端口號）被稱作端點。一個tcp連接是用一對端點，即：源與目的端點來唯一標(biāo)識的。2.2什么是ip偽裝隨著計算機技術(shù)的普及和網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)用戶數(shù)量飛速增加，而ip地址資源是固定的，ip地址資源已變得越來越緊張。為解決這個矛盾，ip偽裝技術(shù)應(yīng)運而生。偽裝是把局域網(wǎng)內(nèi)部的ip地址偽裝成防火墻的合法i

12、p地址。當(dāng)局域網(wǎng)內(nèi)某臺主機傳送數(shù)據(jù)到internet時，ip包首先通過防火墻，防火墻過濾規(guī)則并不允許該ip包直接通過，而是截取該ip包，把這個包的源地址和端口號記錄下來并改寫為防火墻的合法ip地址和選定端口號，然后送到internet。這樣從internet服務(wù)端看來，這個ip包是直接從防火墻送來的。當(dāng)具有偽裝功能的防火墻收到從internet來的ip包時，首先檢查此包的目的端口號，若此端口號是先前用于偽裝的，則把此ip包的目的地址和端口號改為被偽裝的ip地址和端口號，并把它發(fā)送到內(nèi)部網(wǎng)。從局域網(wǎng)內(nèi)部客戶端看來，此ip包好像是直接從internet送來的。用此方法即可實現(xiàn)用一個ip地址代替所有

13、內(nèi)部網(wǎng)地址，達到保護內(nèi)部ip地址的目的。如果一臺linux主機使用ip偽裝功能連接到互聯(lián)網(wǎng)上，那么其它計算機，不論是在同一個局域網(wǎng)上還是通過調(diào)制解調(diào)器連接，只要連接到這個linux主機上，就可以與國際互聯(lián)網(wǎng)相連，即使它們沒有獲得正式指定的ip地址。這樣就可以將一些計算機隱藏在網(wǎng)關(guān)后面連接互聯(lián)網(wǎng)，而不被發(fā)現(xiàn)，看起來就像只有一臺linux系統(tǒng)主機與互聯(lián)網(wǎng)相連。它允許用戶擴展ip地址，允許沒有注冊ip地址的計算機經(jīng)由linux主機連接到互聯(lián)網(wǎng)上。由于可以多人使用一條調(diào)制解調(diào)器(或網(wǎng)卡)連線來接入互聯(lián)網(wǎng)，因此降低了上網(wǎng)費用，同時也增加了安全性。從某些方面來看，其功能像是一個防火墻，因為外界網(wǎng)絡(luò)無法連接

14、非正式分配的ip地址。而其安全功能比數(shù)據(jù)包過濾式防火墻要強。2.3靠軟件實現(xiàn)的簡單ip隱藏 圖1 增加新ip 圖2 設(shè)置新ip 圖3 添加ip3 ip 欺騙的攻擊3.1欺騙攻擊的原理ip欺騙的技術(shù)比較復(fù)雜，不是簡單地照貓畫老虎就能掌握，但作為常規(guī)攻擊手段，有必要理解其原理，至少有利于自己的安全防范，易守難攻。tcp/ip協(xié)議本身有著一些不安全的地方，從而可以對網(wǎng)絡(luò)進行攻擊。這些攻擊包括序列號欺騙，路由攻擊，源地址欺騙和授權(quán)欺騙。本文除了介紹ip欺騙攻擊方法外，還介紹怎樣防止這個攻擊手段。上述攻擊是建立在攻擊者的計算機（包括路由）是連在internet上的。這里的攻擊方法是針對tcp/ip本身的

15、缺陷的，而不是某一具體的實現(xiàn)3。實際上，ip 欺騙不是進攻的結(jié)果，而是進攻的手段。進攻實際上是信任關(guān)系的破壞。所謂 ip 欺騙, 就是利用主機之間的正常信任關(guān)系, 偽造他人的 ip 地址達到欺騙某些主機的目的。ip 地址欺騙只適用于那些通過 ip 地址實現(xiàn)訪問控制的系統(tǒng)。實施 ip 欺騙攻擊就能夠有效地隱藏攻擊者的身份。ip 地址欺騙攻擊是指攻擊者使用未經(jīng)授權(quán)的 ip 地址來配置網(wǎng)上的計算機, 以達到非法使用網(wǎng)上資源或隱藏身份從事破壞活動的目的1。tcp/ip 協(xié)議早期是為了方便地實現(xiàn)網(wǎng)絡(luò)的連接, 但是其本身存在一些不安全的地方, 從而使一些別有用心的人可以對tcp/ip 網(wǎng)絡(luò)進行攻擊, ip

16、 欺騙就是其中的一種。ip 欺騙是利用了主機之間的正常信任關(guān)系來進行的, 如 unix 主機中, 存在著一種特殊的信任關(guān)系。假設(shè)用戶在主機 a 和主機b 上各有一個賬號 abc, 用戶在主機 a 上登期待重新發(fā)送, 但是這個 icmp報文可能會丟失。ip 不提供保障可靠性的任何機制, 每個數(shù)據(jù)包被松散地發(fā)送出去, 可以這樣對 ip 堆棧進行更改, 在源地址和目的地址中放人任何滿足要求的 ip 地址, 即提供虛假的 ip 地址。正是因為 ip 協(xié)議自身的缺陷給 ip 欺騙提供了機會。但 tcp 協(xié)議要對 ip 包進行進一步地封裝, 它是一種相對可靠的協(xié)議, tcp協(xié)議作為保障兩臺通訊設(shè)備之間數(shù)據(jù)

17、包順序傳輸協(xié)議, 是面向連接的, 它需要連接雙方確認同意才能進行數(shù)據(jù)交換。它的可靠性是由數(shù)據(jù)包中的多位控制字來提供的。tcp 協(xié)議在雙方正式傳輸數(shù)據(jù)之前, 需要用“三次握手”來建立一個穩(wěn)健的連接。在實際利用 tcp/ip 協(xié)議進行通信時, 為了提供對 tcp 模塊的并行訪問, tcp 提供了特殊的用戶接收(即端口)。端口是操作系統(tǒng)內(nèi)核用來表示不同的網(wǎng)絡(luò)進程, 是嚴格區(qū)分傳輸層人口的標(biāo)示。tcp 端口與 ip 地址一起提供網(wǎng)絡(luò)端到端的通信。在 internet 上, 任何一個連接都包含了源 ip 地址、源地址端口、目的 ip地址和目的地址端口。服務(wù)器程序一般都是被綁定在標(biāo)準(zhǔn)的端口號上。如 ftp

18、 服務(wù)被綁定在 21 號端口, www 服務(wù)被綁定在 80 號端口, internet 服務(wù)被綁定在 23 號端口。3.2 ip 欺騙過程在攻擊某一主機前, 首先要查找被這臺主機信任的計算機。計算機用戶可以通過許多命令或端口掃描確定下來, 許多黑客就是利用端口掃描技術(shù)非常方便地在一個局域網(wǎng)絡(luò)內(nèi)捕捉主機間的相互信任關(guān)系, 為進一步的 ip 欺騙提供了機會。假設(shè)主機 z 企圖入侵主機 a, 而主機 a 信任主機 b。如果冒充主機 b 對主機 a 進行攻擊, 簡單使用主機 b 的 ip 地址發(fā)送 syn 標(biāo)志給主機 a, 但是當(dāng)主機 a 收到后, 并不把 syn+ack 發(fā)送到攻擊的主機上, 而是發(fā)

19、送到真正的主機 b 上去, 而主機 b 根本沒有發(fā)送 syn 請求, 導(dǎo)致欺騙失敗。所以如果要冒充主機 b, 首先要看主機 b 是否關(guān)機, 否則應(yīng)設(shè)法讓主機 b 癱瘓, 確保它不能收到任何有效的網(wǎng)絡(luò)數(shù)據(jù)。事實上有許多方法可以達到這個目的, 如 syn 洪水攻擊、ttn、land 等攻擊。對目標(biāo)主機 a 進行攻擊, 必須知道主機 a 的數(shù)據(jù)包序列號?？梢韵扰c被攻擊主機的一個端口建立起正常連接, 并記錄主機 a的 isn, 以及主機 z 到主機 a 的大致的 rtt(round trip time)值。這個步驟需要重復(fù)多次以便得出 rtt 的平均值。主機 z 知道了主機 a 的 isn 的值和增加

20、規(guī)律(例如每秒增加 12 800, 每次連接增加 64 000)后, 也就知道了從主機 z 到主機 a 需要 rtt/2 的時間2。例如如何讓自己成為被信任的主機去登錄一臺終端服務(wù)器，甚至接管已經(jīng)有的會話關(guān)系。為了解決這個問題我們可以按照由易到難的思路去實現(xiàn)，既然已經(jīng)可以構(gòu)造單一的syn包那仍然可以構(gòu)造第二個ack包,ap包.等所有的應(yīng)用包。理論上完全可行，但是這可是非常大的工作量。相當(dāng)于用pcap完全自己實ip/tcp應(yīng)用層協(xié)議，即使實現(xiàn)了網(wǎng)絡(luò)層的通用模塊，也需要根據(jù)不同的應(yīng)用來繼續(xù)實現(xiàn)高層協(xié)議。通過一個實例來講解一次ip欺騙流程，場景中有攻擊者a，受信任者b，服務(wù)器c。第一步:a中的ie訪

21、問一個不存在的ip地址 /ip.asp，正常情況下將不會有任何回應(yīng)。a中我們抓取并修改剛才這個發(fā)往數(shù)據(jù)包的目標(biāo)ip為c, 源ip為b,目標(biāo)mac為c后重發(fā)。a 中啟動一個arp線程刷告訴c，b的ip地址對應(yīng)的mac是a。第二步:c 收到原ip為b的數(shù)據(jù)包后做出響應(yīng)，目標(biāo)ip為b,目標(biāo)mac為a。第三步a 收到c發(fā)往b的響應(yīng)包，修改此包目標(biāo)ip為a, 原ip為 后重發(fā)給a，a收到重發(fā)的數(shù)據(jù), 對于a中ie來說，發(fā)送給請求并得到了來自的回應(yīng)，ie會接受并處理這個數(shù)據(jù)包。至此ip欺騙完成，上面的流程使攻擊者可以偽裝成任

22、意的子網(wǎng)ip地址取得服務(wù)器c的信任。 圖4 ip欺騙過程流程如何偽裝成外網(wǎng)的ip地址呢？很簡單，用第一步中的arp 線程刷c的ip-mac關(guān)系為a.ip=gate.mac，這樣就可以實現(xiàn)在同一內(nèi)網(wǎng)偽造任意的ip地址。通過上面兩步中可以看到我們無需關(guān)心tcp序列號，無需關(guān)心信任者的存活狀態(tài)，無需關(guān)心上層協(xié)議，可應(yīng)用于rdp,ftp,ssh,http等任何ip協(xié)議。3.3模擬ip欺騙分子攻擊過程3.3.1隱藏自身真實ip地址首先說說隱藏真實ip的方法，最簡單的方法就是使用代理服務(wù)器。與直接連接到internet相比，使用代理服務(wù)器能保護上網(wǎng)用戶的ip地址，從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客戶

23、機和遠程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當(dāng)客戶機向遠程服務(wù)器提出服務(wù)要求后，代理服務(wù)器首先截取用戶的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠程服務(wù)器，從而實現(xiàn)客戶機和遠程服務(wù)器之間的聯(lián)系。很顯然，使用代理服務(wù)器后遠端服務(wù)器包括其它用戶只能探測到代理服務(wù)器的ip地址而不是用戶的ip地址，這就實現(xiàn)了隱藏用戶ip地址的目的。（1） 利用代理服務(wù)器，隱藏qqip地址第一步：進入代理服務(wù)器網(wǎng)站尋找免費代理服務(wù)器。第二步：如果是http代理，就在qq的代理設(shè)置下面的類型里面選擇http代理，然后地址寫上那個服務(wù)器的地址，端口寫上代理服務(wù)器給的端口比如 23:8008地址就是218.12

24、3.123.123，端口就是8008。socket代理一樣做法。寫好地址以后按qq代理設(shè)置里的測試，如果測試成功，說明可以用，然后qq下線重新上線就行了。（2） 利用其他軟件，隱藏計算機ip地址 a.借助一下軟件“網(wǎng)絡(luò)新手ip隱藏器”能夠隱藏我們真實的ip地址，減少受攻擊的機會或隱藏身份去攻擊1、首先確定已經(jīng)與網(wǎng)絡(luò)連接好了，然后點擊“最新代理服務(wù)器”按鈕，在右側(cè)的窗口中會給出一些代理服務(wù)器的信息。2、選擇其中一個http代理服務(wù)器。并在界面上方的“代理服務(wù)器ip”和“代理服務(wù)器端口”欄里填入相應(yīng)的ip地址和端口號。填好后，點擊“開始測試”按鈕，測試一下該服務(wù)器的速度，如果“速度快、可使用”處于

25、顯亮狀態(tài)，那么就可以使用此服務(wù)器。反之則重新選擇。3、選中合適的代理服務(wù)器后，再點擊“使用代理”按鈕，即可把自己的ip地址替換成代理服務(wù)器的ip地址。b.或者可以尋找代理服務(wù)器，找到免費代理服務(wù)器后，就可以使用它了。以ie瀏覽器為例，運行ie，點擊“工具”“internet選項”，在彈出的“internet選項”對話框中選擇“連接”標(biāo)簽，再點擊“設(shè)置”按鈕，在彈出的對話框中把“對此連接使用代理服務(wù)器”前面的框勾選上，然后在“地址”和“端口”欄中填入你找到的代理服務(wù)器ip和所用端口即可。 同時在“高級”設(shè)置中你還可以對不同的服務(wù)器，例如http、ftp設(shè)定不同的代理服務(wù)器地址和端口。這樣一來，當(dāng)

26、你再訪問那些網(wǎng)頁時，頁面上顯示的就不再是你的真實ip了。（3） 利用“肉雞”，成功隱藏ip隱藏ip的另外一個方法是利用受控于你的電腦上的木馬（也就是利用肉雞），該電腦可以自由訪問網(wǎng)絡(luò)且不限于和你在一起（比方說單位或?qū)W校的電腦）。一些國外的木馬如sub7，具有“端口轉(zhuǎn)向”功能，假設(shè)你想看 這個網(wǎng)站的內(nèi)容，而這個網(wǎng)站會記錄訪問者的ip，那么你可以這樣做：假設(shè)受控電腦上有木馬sub7服務(wù)端程序在運行，請在自己的電腦上運行sub7客戶端，連接上那臺電腦，使用端口轉(zhuǎn)向的功能，在那臺電腦上打開一個90端口，設(shè)定凡是從這個端口進去的數(shù)據(jù)都會轉(zhuǎn)向到 這個網(wǎng)站的80端口去（80端口是默認的www服務(wù)端口）。假設(shè)

27、那個感染了sub7的電腦的ip是02，那么只要在瀏覽器上輸入02:90 ，就可以看到 這個網(wǎng)站的內(nèi)容的了，而且那個網(wǎng)站記錄下的訪問的ip是02，不是我們真正的ip，這樣就安全多了。 3.3.2藏好身份，進行攻擊（1）首先獲得受攻擊者的ip地址和端口，可以利用qq對其發(fā)送消息。qq采用的是udp數(shù)據(jù)包通訊，攻擊者只要向受攻擊者發(fā)送一個信息，他就可以通過監(jiān)視udp數(shù)據(jù)包來獲得受攻擊者的ip和qq的端口號。（或者利用流光等黑客攻擊軟件進行攻擊，竊取所需利益）（2）qq炸彈，郵件炸彈，后門程序，網(wǎng)絡(luò)監(jiān)聽，拒絕服務(wù)

28、（由于如何攻擊不是本論文討論范圍，故在此對攻擊的步驟不做詳細論述）4利用ip欺騙引起的網(wǎng)絡(luò)犯罪4.1網(wǎng)絡(luò)犯罪概念計算機犯罪與計算機技術(shù)密切相關(guān)。隨著計算機技術(shù)的飛速發(fā)展,“計算機犯罪”這一術(shù)語隨著時間的推移,應(yīng)用領(lǐng)域急劇擴大而不斷獲得新的含義。在學(xué)術(shù)研究上關(guān)于計算機犯罪迄今為止尚無統(tǒng)一的定義。結(jié)合刑法條文的有關(guān)規(guī)定和我國計算機犯罪的實際情況,我認為計算機犯罪就是指行為人故意直接對計算機實施侵入或破壞,或利用計算機實施犯罪行為的總稱4。4.2ip欺騙犯罪的特點分析1作案手段智能化,隱蔽性強大多數(shù)的計算機犯罪,都是行為人經(jīng)過狡詐而周密的安排,運用計算機專業(yè)知識,所從事的智力犯罪行為。另外,有些計算

29、機犯罪,經(jīng)過一段時間之后,犯罪行為才能發(fā)生作用而達到犯罪目的。如計算機“邏輯炸彈”。2犯罪侵害的目標(biāo)較集中就國內(nèi)已經(jīng)破獲的計算機犯罪案件來看,以金融、證券等部門尤為突出。3破案難度大,偵查取證困難計算機犯罪黑數(shù)相當(dāng)高。90%的計算機犯罪不能被人們發(fā)現(xiàn);即使發(fā)現(xiàn),在受理這類案件中,偵查工作和犯罪證據(jù)的采集相當(dāng)困難。4犯罪后果嚴重,對社會危害大計算機犯罪對社會危害性的大小,取決于計算機信息系統(tǒng)的社會作用,取決于社會資產(chǎn)計算機化的程度和計算機普及應(yīng)用的程度,其作用越大,危害也越大。4.3黑客采用ip欺騙手段進行攻擊實例近期,國內(nèi)外一批大網(wǎng)站均受到了黑客的攻擊,其大多采用了ip欺騙的方法。這些攻擊首先

30、是要獲得被攻擊者的ip。在網(wǎng)絡(luò)上，每臺計算機有惟一的ip地址，計算機把目標(biāo)ip地址和一個惟一的順序號加載于傳輸?shù)拿恳粋€數(shù)據(jù)包上。在一個tcp連接中，接收機只收到具有正確ip地址和順序號的那個包裹。許多安全設(shè)備，如路由器，只允許有一定ip地址的計算機收發(fā)傳送。tcp/ip 順序號預(yù)測入侵將使用網(wǎng)絡(luò)給計算機賦址的方式和包裹交換的順序來企圖訪問網(wǎng)絡(luò)。一般來說，黑客進行tcp/ip 順序號預(yù)測攻擊分兩步： 第一，得到服務(wù)器的ip地址。黑客一般通過網(wǎng)上報文嗅探，順序測試號碼，由web瀏覽器連接到結(jié)點上并在狀態(tài)欄中尋找結(jié)點的ip地址。因為黑客知道其他計算機有一個與服務(wù)器ip地址部分公用的ip地址，他便盡力

31、模擬一個能讓其通過路由器和作為網(wǎng)絡(luò)用戶訪問系統(tǒng)的ip號碼。例如，如果系統(tǒng)的ip地址為5，黑客便知有近256臺計算機可以連入一個c級網(wǎng)，并猜出所有最后位在序列中出現(xiàn)過的地址號碼。ip地址指示了一個網(wǎng)絡(luò)連接的計算機數(shù)，同時上述地址的高字節(jié)中兩個最重要的位設(shè)定指出了該網(wǎng)為c級網(wǎng)。第二，黑客在試過網(wǎng)上ip地址之后，便開始監(jiān)視網(wǎng)下傳送包的序列號，然后，黑客將試圖推測服務(wù)器能產(chǎn)生的下一個序列號，再將自己有效地插入服務(wù)器和用戶之間。因為黑客有服務(wù)器的ip地址，就能產(chǎn)生有正確ip地址和順序碼的包裹以截獲用戶的傳遞。黑客通過斷開和模仿實際客戶端的連接來實施tcp劫持入侵 成功地劫持了可信任計算

32、機之后，黑客將用自己的ip地址更換入侵目標(biāo)機的每一個包的ip地址，并模仿其順序號。安全專家稱順序號偽裝為ip模仿，黑客用ip模仿在自己機器上模擬一個可信系統(tǒng)的ip地址，黑客模仿了目標(biāo)計算機之后，便用靈巧的順序號模仿法成為一個服務(wù)器的目標(biāo)。 黑客實施一個tcp劫持入侵后更易于實施一個ip模仿入侵，而且tcp劫持讓黑客通過一個一次性口令請求響應(yīng)系統(tǒng)（如共享口令系統(tǒng)），再讓一個擁有更高安全性的主機妥協(xié)。通過口令系統(tǒng)也讓黑客穿過一個操作系統(tǒng)而不是黑客自己的系統(tǒng)。4.4ip欺騙攻擊的防護手段4.4.1ip欺騙技術(shù)的特征首先我們要了解ip欺騙技術(shù)的特征，特征如下：1只有少數(shù)的平臺被這種技術(shù)攻擊，也就是說很

33、多平臺都沒有這方面的缺陷，所以不會被ip欺騙的技術(shù)攻擊。 2這種技術(shù)的出現(xiàn)的可能性比較小，因為這種技術(shù)不好理解，也不好操作，只有一些真正的網(wǎng)絡(luò)高手才能做到這點。 3 很容易防備這種攻擊方法，如可以使用防火墻等。ip欺騙只能攻擊那些運行真正的tcp/ip的機器，真正的tcp/ip指的是那些完全實現(xiàn)了tcp/ip協(xié)議，包括所有的端口和服務(wù)。4.4.2防范手段一關(guān)閉安全隱患大的端口最直接的方法就是關(guān)閉一些安全隱患比較大的服務(wù)和端口默認情況下windows有很多端口是開放的，在你上網(wǎng)的時候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有：tcp 135

34、、139、445、593、1025 端口和 udp 135、137、138、445 端口，一些流行病毒的后門端口（如 tcp 2745、3127、6129 端口），以及遠程服務(wù)訪問端口3389。下面介紹如何在winxp/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口：第一步，點擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“ip 安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 ip 安全策略”，于是彈出一個向?qū)?。在向?qū)е悬c擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應(yīng)規(guī)則”左邊的鉤去掉

35、，點擊“完成”按鈕就創(chuàng)建了一個新的ip 安全策略。第二步，右擊該ip安全策略，在“屬性”對話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對話框，在畫面上點擊“添加”按鈕，彈出ip篩選器列表窗口；在列表中，首先把“使用添加向?qū)А弊筮叺你^去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器。第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何 ip 地址”，目標(biāo)地址選“我的 ip 地址”；點擊“協(xié)議”選項卡，在“選擇協(xié)議類型”的下拉列表中選擇“tcp”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽

36、tcp 135（rpc）端口的篩選器，它可以防止外界通過135端口連上你的電腦。 點擊“確定”后回到篩選器列表的對話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 tcp 137、139、445、593 端口和 udp 135、139、445 端口，為它們建立相應(yīng)的篩選器。 重復(fù)以上步驟添加tcp 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最后點擊“確定”按鈕。第四步，在“新規(guī)則屬性”對話框中，選擇“新 ip 篩選器列表”，然后點擊其左邊的圓圈上加一個點，表示已經(jīng)激活，最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向?qū)?/p>

37、”左邊的鉤去掉，點擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然后點擊“確定”按鈕。第五步、進入“新規(guī)則屬性”對話框，點擊“新篩選器操作”，其左邊的圓圈會加了一個點，表示已經(jīng)激活，點擊“關(guān)閉”按鈕，關(guān)閉對話框；最后回到“新ip安全策略屬性”對話框，在“新的ip篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對話框。在“本地安全策略”窗口，用鼠標(biāo)右ip 安全策略，然后選擇“指派”。于是重新啟動后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再也不能連上這些端口，從而保護了你的電腦5。4.4.3ip欺騙防范手段二隱藏ip雖然偵察ip的方法多樣，但用戶可以隱藏i

38、p的方法同樣多樣。就拿對付最有效的“數(shù)據(jù)包分析方法”而言，就可以安裝能夠自動去掉發(fā)送數(shù)據(jù)包包頭ip信息的一些軟件。不過使用這些軟件有些缺點，譬如：它耗費資源嚴重，降低計算機性能;在訪問一些論壇或者網(wǎng)站時會受影響;不適合網(wǎng)吧用戶使用等等?，F(xiàn)在的個人用戶采用最普及隱藏ip的方法應(yīng)該是使用代理，由于使用代理服務(wù)器后，“轉(zhuǎn)址服務(wù)”會對發(fā)送出去的數(shù)據(jù)包有所修改，致使“數(shù)據(jù)包分析”的方法失效。一些容易泄漏用戶ip的網(wǎng)絡(luò)軟件(qq、msn、ie等)都支持使用代理方式連接internet，特別是qq使用“ezproxy”等代理軟件連接后，ip版的qq都無法顯示該ip地址。這里筆者介紹一款比較適合個人用戶的簡易

39、代理軟件網(wǎng)絡(luò)新手ip隱藏器，只要在“代理服務(wù)器”和“代理服務(wù)器端”填入正確的代理服務(wù)器地址和端口，即可對http使用代理，比較適合由于ie和qq泄漏ip的情況。不過使用代理服務(wù)器，同樣有一些缺點，如：會影響網(wǎng)絡(luò)通訊的速度;需要網(wǎng)絡(luò)上的一臺能夠提供代理能力的計算機，如果用戶無法找到這樣的代理服務(wù)器就不能使用代理(查找代理服務(wù)器時，可以使用“代理獵手”等工具軟件掃描網(wǎng)絡(luò)上的代理服務(wù)器)。雖然代理可以有效地隱藏用戶ip，但高深的黑客亦可以繞過代理，查找到對方的真實ip地址，用戶在何種情況下使用何種方法隱藏ip，也要因情況而論。另外防火墻也可以在某種程度上使用ip的隱藏，如zone alarm防火墻就

40、有一個隱藏在網(wǎng)上的ip的功能。4.4.4依法治網(wǎng)如果僅從技術(shù)層面來防范ip欺騙技術(shù)犯罪，還是不夠的，因為再先進的技術(shù)，總有破解的方法，而一旦陷入攻防循環(huán)中，就有可能造成社會財富的極大浪費，而且達不到預(yù)防犯罪的目的。所以，要更有效地防范網(wǎng)絡(luò)ip犯罪，還得靠法律，實行依法治網(wǎng)。然而，互聯(lián)網(wǎng)發(fā)展迅速且是一個無國界、無時空的虛擬世界現(xiàn)有的法律法規(guī)在許多方面都還更不上這個發(fā)展的虛擬世界。相關(guān)法律、法規(guī)不健全不完善，造成立案不明確，取證難這一問題已經(jīng)成為當(dāng)前制約公安機關(guān)有效打擊網(wǎng)絡(luò)犯罪的主要矛盾。電子證據(jù)，它并不包括在刑法里的七種證據(jù)里。在法庭上，要想獲得法律認可，公安機關(guān)要對電子物證進行轉(zhuǎn)換，而有些電子

41、物證的轉(zhuǎn)換非常困難的，且我國現(xiàn)行刑法由于規(guī)定的罪名比較單一，且范圍偏窄，不利于打擊網(wǎng)絡(luò)犯罪我國須：1完善相關(guān)法律2制定新的法律3加強法制教育4.5公安偵查中追查犯罪嫌疑人的技術(shù)手段長期的公安工作實踐表明，要想不斷的提高公安工作效能，有效的應(yīng)對當(dāng)前社會的新形式挑戰(zhàn)，依靠傳統(tǒng)的警務(wù)工作模式已經(jīng)遠遠達不到要求，必須走信息化建設(shè)和科技強警之路，才能更好的維護社會的治安，保障人民的生活。4.5.1電子證據(jù)采集的步驟相對于其他證據(jù)，電子證據(jù)具有高科技性和無形性、內(nèi)容的易破壞性和不安全性、多媒體性和復(fù)合性的特點。于是在借鑒美國和西方發(fā)達國家的證據(jù)采集經(jīng)驗，電子證據(jù)的采集步驟一般為：1案發(fā)后保護計算機犯罪現(xiàn)場

42、2保存涉案計算機和各種資料3收集相關(guān)資料4詢問當(dāng)事人5證據(jù)的分析、提取6按照法律程序進行計算機模擬和鑒定4.5.2利用類qq類聊天工具進行證據(jù)采集網(wǎng)絡(luò)聊天是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展出現(xiàn)的一種及時雙向溝通的通信方式，主要有兩種：聊天室聊天和qq聊天。在采集網(wǎng)絡(luò)聊天證據(jù)時主要收集三類證據(jù)：一是內(nèi)容證據(jù)，也包括聊天者簡單的個人信息，當(dāng)然這些信息一般是虛假的，須借助收集到的上網(wǎng)ip地址及上網(wǎng)使用的網(wǎng)絡(luò)進行佐證；二是系統(tǒng)環(huán)境證據(jù)，即我們結(jié)束的計算機硬件和軟件的數(shù)據(jù)是否正常，輔助證明證據(jù)的可靠性；三是附屬信息證明，如ip地址、所借助的服務(wù)器、上網(wǎng)賬號、信息傳遞路徑等，從而將聊天者與某個特定的行為人聯(lián)系起來。對于

43、聊天記錄被人為篡改的，可以進行數(shù)據(jù)恢復(fù)、技術(shù)恢復(fù)。偵查員可以運用qq對高危人群進行監(jiān)控分析，進行逆向追蹤分析，對在逃人員對比查控，通過不斷的研判和實踐，不斷獲取更多的信息資源，提供可靠的事實依據(jù)，使之在控制措施的取舍上，有更明確的針對性。4.6模擬追查攻擊者真實ip地址過程4.6.1被攻擊者的抓包分析受攻擊端在沒有有效防火墻的情況下，利用sniffer軟件進行實時數(shù)據(jù)抓包，對其進行分析，存在攻擊行為的，打開數(shù)據(jù)包，分析攻擊者真是ip .確定攻擊者身份地址。 圖5 打開軟件 圖6 設(shè)置網(wǎng)卡監(jiān)聽 圖7 操作面板 圖8 開始捕獲 圖9 分析模塊 圖10 查看詳細統(tǒng)計對于某項統(tǒng)計分析可以通過用鼠標(biāo)雙擊

44、此條記錄可以查看詳細統(tǒng)計信息且對于每一項都可以通過查看幫助來了解起產(chǎn)生的原因。 圖11解碼分析原ip和mac點地址對于mac地址，sniffer軟件進行了頭部的替換，如00e0fc開頭的就替換成huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。1、鏈路層捕獲，按源mac和目的mac地址進行捕獲，輸入方式為十六進制連續(xù)輸入，如：00e0fc123456。 圖12 設(shè)定捕獲條件來確定mac地址和真正ip地址 圖13 各層對應(yīng)服務(wù) 圖14 網(wǎng)絡(luò)監(jiān)視功能可以自動分析出錯誤報文，和具有攻擊性的報文 圖15詳細信息 圖16 獲得攻擊者的ip發(fā)現(xiàn)攻擊后可以啟動防火墻，一般來說防火墻都可以攔截類似

45、的攻擊，并向有關(guān)部門舉報。5.總結(jié)與展望5.1總結(jié)：在畢業(yè)論文寫作過程中，通過翻閱大量科技資料，在指導(dǎo)教師的指導(dǎo)下，學(xué)習(xí)各種與ip欺騙技術(shù)有關(guān)的理論知識，通過整個論文的寫作，更直觀的感覺到了理論和實踐之間存在的差距。本文將從以下幾個方面來進行總結(jié)：本文首先分析了當(dāng)今的網(wǎng)絡(luò)形式，網(wǎng)絡(luò)犯罪問題日益突出，結(jié)合現(xiàn)在網(wǎng)絡(luò)流行的網(wǎng)絡(luò)ip欺騙犯罪案例，并進行具體分析總結(jié)了網(wǎng)絡(luò)ip欺騙犯罪的幾種常見的方式。同時查閱相關(guān)方面的書籍，經(jīng)過老師的指導(dǎo)并結(jié)合自己所學(xué)的知識，模擬ip欺騙分子或者黑客團伙完成這些攻擊的過程，重點闡述了現(xiàn)在廣為流行的利用代理服務(wù)器隱藏ip與“肉雞法”隱藏ip的技術(shù)，并且在最后給出了如何應(yīng)對這些詐騙的方法。由于網(wǎng)絡(luò)技術(shù)發(fā)展迅速，各種黑客軟件也是層出不窮，網(wǎng)絡(luò)ip欺騙的方式也是越來越多令人防不勝防，在通過本文的寫作之后，更應(yīng)該努