毕业设计（论文）网络IP欺骗技术研究利用IP技术提高公安网上作战能力.doc

网络IP欺骗技术研究利用IP技术提高公安网上作战能力摘 要：IP 欺骗是利用主机之间的正常信任关系, 伪造他人的 IP 地址达到欺骗某些主机的目的。IP 地址欺骗只适用于那些通过 IP 地址实现访问控制的系统。实施 IP 欺骗攻击就能够有效地隐藏攻击者的身份。IP 地址的欺骗行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响, 因此研究 IP 欺骗问题, 找到有效的防范措施, 是当前的一个紧迫课题。论文在介绍TCP/IP相关知识的基础上对IP欺骗的原理进行了全面、详尽的分析。在今后的公安工作中我们可以利用QQ这样的常用软件进行案件侦查破案。将IP技术灵活运用在工作中，反其道而行之。以此快速提升公安民警的网上作战能力，高效遏制以IP欺骗为手段的网络犯罪的发生。关键词: IP 欺骗；网络犯罪；防范手段； Research on IP Spoofing Technology- Promoting Police Operational Ability by Using IP TechnologyAbstract：Internet Protocol (IP) Spoofing refers to counterfeiting others IP address by taking the advantage of trust relationship between mainframes to deceive some mainframes. It often occurs to the systems that need IP address to achieve access control. Conducting IP spoofing can effectively conceal the identity of the attackers. IP address spoofing infringes upon the legitimate rights and interests of internet users and in the meantime, exerts considerable negative impact on the internet security and the normal operation of internet. Hence, it is necessary and urgent to do research on the problem of IP spoofing and trying to find out effective precautionary measures. Based on introduction of relevant knowledge about TCO/IP, the essay makes a comprehensive and detailed analysis on the theory of IP spoofing. Moreover, it mentions that some common used software like QQ can be applied into investigation on criminal cases in the future. Putting IP technology into practice will promote the polices operational ability, which can effectively hinder the occurrence of IP spoofing criminal cases.Key words: IP spoofing; Internet criminal; precautionary measure; 目 录1引言11.1选题背景11.2文章结构11.3课题研究意义11.4IP欺骗技术12IP协议基本原理及IP伪装32.1IP协议32.2什么是IP伪装32.3靠软件实现的简单IP隐藏43 IP 欺骗的攻击63.1欺骗攻击的原理63.2 IP 欺骗过程73.3模拟IP欺骗分子攻击过程104利用IP欺骗引起的网络犯罪124.1网络犯罪概念124.2IP欺骗犯罪的特点分析124.3黑客采用IP欺骗手段进行攻击实例124.4IP欺骗攻击的防护手段134.5公安侦查中追查犯罪嫌疑人的技术手段164.6模拟追查攻击者真实IP地址过程175.总结与展望235.1总结：235.2展望23致 谢25参考文献261引言1.1选题背景20世纪40年代以来,随着计算机应用的日益普及,特别是在军事和科学工程领域的应用,计算机犯罪也日益猖獗,对社会造成的危害也越来越严重,必须引起高度的重视。随着计算机网络的发展, 对网络资源的破坏及黑客的攻击不断增多, “网络安全性”和“信息安全性”越来越被重视。纵观网络上的各种安全性攻击特征, 可归结为消极性和主动性两种。其中, 身份欺骗就是一种主动性攻击。从本质上讲, 它是针对网络结构及其有关协议在实现过程中存在某些安全漏洞而进行安全攻击的。网络技术的应用在为人们的生活工作带来便利的同时也带来了不容忽视的安全隐患。这些安全隐患同时也滋生了网络上的各种攻击技术。对这些攻击技术的研究不仅促使人们不断完善各种网络协议的设计，也能够帮助人们逐步建立起安全防范意识与安全防御机制。1.2文章结构本文将常见的IP欺骗技术通俗易懂的阐释出来，对可用于从中犯罪的部分进行了侧重介绍，对获取犯罪信息的技术进行了说明，并通过案例阐述了这些技术在公安工作中的应用，对公安实际工作具有指导意义。1.3课题研究意义现如今，全球网民数量已接近10亿，网络已经成为生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。特别是Internet在全球的爆炸性增长。随着网络的飞速发展，一些新的问题也随之而来。一些不法之徒利用网络非实名制的隐蔽性进行各种各样的IP欺骗攻击，使其中一些网民们信以为真，来获取他们所需的利益，我们网络安全防护起步晚、基础差，解决网络安全问题刻不容缓。本文搜集了网络IP欺骗的一些常见手法以及所使用的技术手段和实现方法，以达到了解IP欺骗的手法，辨认网络IP欺骗，能够更好的打击网络犯罪的目的。1.4IP欺骗技术IP欺骗技术就是一种融合多种攻击技术的网络攻击行为。它将IP地址伪造技术、TCP、SYN洪流攻击技术与TCP序列号猜测技术融为一体，并且在攻击过程中利用了具有信任关系的主机间采取的基于地址的认证方式。IP欺骗技术是一把双刃剑，有时，可以解决IP越来越紧张的矛盾，当用在不法问题时，就会产生很多危害。论文的目的就是通过对它进行全面分析来深刻认识这种攻击行为的本质以进一步探讨针对它的防御措施。2IP协议基本原理及IP伪装2.1IP协议IP协议是TCP/IP协议族中的核心协议，它独立于下层的网络技术实现，为上层协议提供服务TCP连接正是建立在IP数据报服务之上，提供面向连接的、可靠的字节流服务。每一个TCP报文与IP报文都由控制信息与数据组成。IP报文首部的控制信息中包含源与目的主机的IP地址。TCP报文首部的控制信息包含源与目的协议端口号。IP地址的作用是将数据报经由网络从一个主机传送到另一个主机。协议端口号用于标识一台机器上的多个进程。由IP地址与端口号组成的二元组(IP地址，端口号）被称作端点。一个TCP连接是用一对端点，即：源与目的端点来唯一标识的。2.2什么是IP伪装随着计算机技术的普及和网络的迅速发展，网络用户数量飞速增加，而IP地址资源是固定的，IP地址资源已变得越来越紧张。为解决这个矛盾，IP伪装技术应运而生。伪装是把局域网内部的IP地址伪装成防火墙的合法IP地址。当局域网内某台主机传送数据到Internet时，IP包首先通过防火墙，防火墙过滤规则并不允许该IP包直接通过，而是截取该IP包，把这个包的源地址和端口号记录下来并改写为防火墙的合法IP地址和选定端口号，然后送到Internet。这样从internet服务端看来，这个IP包是直接从防火墙送来的。当具有伪装功能的防火墙收到从Internet来的IP包时，首先检查此包的目的端口号，若此端口号是先前用于伪装的，则把此IP包的目的地址和端口号改为被伪装的IP地址和端口号，并把它发送到内部网。从局域网内部客户端看来，此IP包好像是直接从internet送来的。用此方法即可实现用一个IP地址代替所有内部网地址，达到保护内部IP地址的目的。如果一台Linux主机使用IP伪装功能连接到互联网上，那么其它计算机，不论是在同一个局域网上还是通过调制解调器连接，只要连接到这个Linux主机上，就可以与国际互联网相连，即使它们没有获得正式指定的IP地址。这样就可以将一些计算机隐藏在网关后面连接互联网，而不被发现，看起来就像只有一台Linux系统主机与互联网相连。它允许用户扩展IP地址，允许没有注册IP地址的计算机经由Linux主机连接到互联网上。由于可以多人使用一条调制解调器(或网卡)连线来接入互联网，因此降低了上网费用，同时也增加了安全性。从某些方面来看，其功能像是一个防火墙，因为外界网络无法连接非正式分配的IP地址。而其安全功能比数据包过滤式防火墙要强。2.3靠软件实现的简单IP隐藏 图1 增加新IP 图2 设置新IP 图3 添加IP3 IP 欺骗的攻击3.1欺骗攻击的原理IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难攻。TCP/IP协议本身有着一些不安全的地方，从而可以对网络进行攻击。这些攻击包括序列号欺骗，路由攻击，源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外，还介绍怎样防止这个攻击手段。上述攻击是建立在攻击者的计算机（包括路由）是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的，而不是某一具体的实现3。实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。所谓 IP 欺骗, 就是利用主机之间的正常信任关系, 伪造他人的 IP 地址达到欺骗某些主机的目的。IP 地址欺骗只适用于那些通过 IP 地址实现访问控制的系统。实施 IP 欺骗攻击就能够有效地隐藏攻击者的身份。IP 地址欺骗攻击是指攻击者使用未经授权的 IP 地址来配置网上的计算机, 以达到非法使用网上资源或隐藏身份从事破坏活动的目的1。TCP/IP 协议早期是为了方便地实现网络的连接, 但是其本身存在一些不安全的地方, 从而使一些别有用心的人可以对TCP/IP 网络进行攻击, IP 欺骗就是其中的一种。IP 欺骗是利用了主机之间的正常信任关系来进行的, 如 Unix 主机中, 存在着一种特殊的信任关系。假设用户在主机 A 和主机B 上各有一个账号 ABC, 用户在主机 A 上登期待重新发送, 但是这个 ICMP报文可能会丢失。IP 不提供保障可靠性的任何机制, 每个数据包被松散地发送出去, 可以这样对 IP 堆栈进行更改, 在源地址和目的地址中放人任何满足要求的 IP 地址, 即提供虚假的 IP 地址。正是因为 IP 协议自身的缺陷给 IP 欺骗提供了机会。但 TCP 协议要对 IP 包进行进一步地封装, 它是一种相对可靠的协议, TCP协议作为保障两台通讯设备之间数据包顺序传输协议, 是面向连接的, 它需要连接双方确认同意才能进行数据交换。它的可靠性是由数据包中的多位控制字来提供的。TCP 协议在双方正式传输数据之前, 需要用“三次握手”来建立一个稳健的连接。在实际利用 TCP/IP 协议进行通信时, 为了提供对 TCP 模块的并行访问, TCP 提供了特殊的用户接收(即端口)。端口是操作系统内核用来表示不同的网络进程, 是严格区分传输层人口的标示。TCP 端口与 IP 地址一起提供网络端到端的通信。在 Internet 上, 任何一个连接都包含了源 IP 地址、源地址端口、目的 IP地址和目的地址端口。服务器程序一般都是被绑定在标准的端口号上。如 FTP 服务被绑定在 21 号端口, WWW 服务被绑定在 80 号端口, Internet 服务被绑定在 23 号端口。3.2 IP 欺骗过程在攻击某一主机前, 首先要查找被这台主机信任的计算机。计算机用户可以通过许多命令或端口扫描确定下来, 许多黑客就是利用端口扫描技术非常方便地在一个局域网络内捕捉主机间的相互信任关系, 为进一步的 IP 欺骗提供了机会。假设主机 Z 企图入侵主机 A, 而主机 A 信任主机 B。如果冒充主机 B 对主机 A 进行攻击, 简单使用主机 B 的 IP 地址发送 SYN 标志给主机 A, 但是当主机 A 收到后, 并不把 SYN+ACK 发送到攻击的主机上, 而是发送到真正的主机 B 上去, 而主机 B 根本没有发送 SYN 请求, 导致欺骗失败。所以如果要冒充主机 B, 首先要看主机 B 是否关机, 否则应设法让主机 B 瘫痪, 确保它不能收到任何有效的网络数据。事实上有许多方法可以达到这个目的, 如 SYN 洪水攻击、TTN、Land 等攻击。对目标主机 A 进行攻击, 必须知道主机 A 的数据包序列号。可以先与被攻击主机的一个端口建立起正常连接, 并记录主机 A的 ISN, 以及主机 Z 到主机 A 的大致的 RTT(Round Trip Time)值。这个步骤需要重复多次以便得出 RTT 的平均值。主机 Z 知道了主机 A 的 ISN 的值和增加规律(例如每秒增加 12 800, 每次连接增加 64 000)后, 也就知道了从主机 Z 到主机 A 需要 RTT/2 的时间2。例如如何让自己成为被信任的主机去登录一台终端服务器，甚至接管已经有的会话关系。为了解决这个问题我们可以按照由易到难的思路去实现，既然已经可以构造单一的SYN包那仍然可以构造第二个ACK包,AP包.等所有的应用包。理论上完全可行，但是这可是非常大的工作量。相当于用pcap完全自己实IP/TCP应用层协议，即使实现了网络层的通用模块，也需要根据不同的应用来继续实现高层协议。通过一个实例来讲解一次IP欺骗流程，场景中有攻击者A，受信任者B，服务器C。第一步:A中的IE访问一个不存在的IP地址 http:/1.1.1.1/ip.asp，正常情况下将不会有任何回应。A中我们抓取并修改刚才这个发往1.1.1.1数据包的目标IP为C, 源IP为B,目标MAC为C后重发。A 中启动一个ARP线程刷告诉C，B的IP地址对应的MAC是A。第二步:C 收到原IP为B的数据包后做出响应，目标IP为B,目标MAC为A。第三步A 收到C发往B的响应包，修改此包目标IP为A, 原IP为1.1.1.1 后重发给A，A收到重发的数据, 对于A中IE来说，发送给1.1.1.1请求并得到了来自1.1.1.1的回应，IE会接受并处理这个数据包。至此IP欺骗完成，上面的流程使攻击者可以伪装成任意的子网IP地址取得服务器C的信任。 图4 IP欺骗过程流程如何伪装成外网的IP地址呢？很简单，用第一步中的ARP 线程刷C的IP-MAC关系为a.ip=gate.mac，这样就可以实现在同一内网伪造任意的IP地址。通过上面两步中可以看到我们无需关心TCP序列号，无需关心信任者的存活状态，无需关心上层协议，可应用于RDP,FTP,SSH,HTTP等任何IP协议。3.3模拟IP欺骗分子攻击过程3.3.1隐藏自身真实IP地址首先说说隐藏真实IP的方法，最简单的方法就是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的。（1） 利用代理服务器，隐藏QQIP地址第一步：进入代理服务器网站寻找免费代理服务器。第二步：如果是HTTP代理，就在QQ的代理设置下面的类型里面选择HTTP代理，然后地址写上那个服务器的地址，端口写上代理服务器给的端口比如 218.123.123.123:8008地址就是218.123.123.123，端口就是8008。socket代理一样做法。写好地址以后按QQ代理设置里的测试，如果测试成功，说明可以用，然后QQ下线重新上线就行了。（2） 利用其他软件，隐藏计算机IP地址 A.借助一下软件“网络新手IP隐藏器”能够隐藏我们真实的IP地址，减少受攻击的机会或隐藏身份去攻击1、首先确定已经与网络连接好了，然后点击“最新代理服务器”按钮，在右侧的窗口中会给出一些代理服务器的信息。2、选择其中一个HTTP代理服务器。并在界面上方的“代理服务器IP”和“代理服务器端口”栏里填入相应的IP地址和端口号。填好后，点击“开始测试”按钮，测试一下该服务器的速度，如果“速度快、可使用”处于显亮状态，那么就可以使用此服务器。反之则重新选择。3、选中合适的代理服务器后，再点击“使用代理”按钮，即可把自己的IP地址替换成代理服务器的IP地址。B.或者可以寻找代理服务器，找到免费代理服务器后，就可以使用它了。以IE浏览器为例，运行IE，点击“工具”“Internet选项”，在弹出的“Internet选项”对话框中选择“连接”标签，再点击“设置”按钮，在弹出的对话框中把“对此连接使用代理服务器”前面的框勾选上，然后在“地址”和“端口”栏中填入你找到的代理服务器IP和所用端口即可。 同时在“高级”设置中你还可以对不同的服务器，例如HTTP、FTP设定不同的代理服务器地址和端口。这样一来，当你再访问那些网页时，页面上显示的就不再是你的真实IP了。（3） 利用“肉鸡”，成功隐藏IP隐藏IP的另外一个方法是利用受控于你的电脑上的木马（也就是利用肉鸡），该电脑可以自由访问网络且不限于和你在一起（比方说单位或学校的电脑）。一些国外的木马如Sub7，具有“端口转向”功能，假设你想看 这个网站的内容，而这个网站会记录访问者的IP，那么你可以这样做：假设受控电脑上有木马Sub7服务端程序在运行，请在自己的电脑上运行Sub7客户端，连接上那台电脑，使用端口转向的功能，在那台电脑上打开一个90端口，设定凡是从这个端口进去的数据都会转向到 这个网站的80端口去（80端口是默认的www服务端口）。假设那个感染了Sub7的电脑的IP是202.202.202.202，那么只要在浏览器上输入http:/202.202.202.202:90 ，就可以看到 这个网站的内容的了，而且那个网站记录下的访问的IP是202.202.202.202，不是我们真正的IP，这样就安全多了。 3.3.2藏好身份，进行攻击（1）首先获得受攻击者的IP地址和端口，可以利用QQ对其发送消息。QQ采用的是UDP数据包通讯，攻击者只要向受攻击者发送一个信息，他就可以通过监视UDP数据包来获得受攻击者的IP和QQ的端口号。（或者利用流光等黑客攻击软件进行攻击，窃取所需利益）（2）QQ炸弹，邮件炸弹，后门程序，网络监听，拒绝服务（由于如何攻击不是本论文讨论范围，故在此对攻击的步骤不做详细论述）4利用IP欺骗引起的网络犯罪4.1网络犯罪概念计算机犯罪与计算机技术密切相关。随着计算机技术的飞速发展,“计算机犯罪”这一术语随着时间的推移,应用领域急剧扩大而不断获得新的含义。在学术研究上关于计算机犯罪迄今为止尚无统一的定义。结合刑法条文的有关规定和我国计算机犯罪的实际情况,我认为计算机犯罪就是指行为人故意直接对计算机实施侵入或破坏,或利用计算机实施犯罪行为的总称4。4.2IP欺骗犯罪的特点分析1·作案手段智能化,隐蔽性强大多数的计算机犯罪,都是行为人经过狡诈而周密的安排,运用计算机专业知识,所从事的智力犯罪行为。另外,有些计算机犯罪,经过一段时间之后,犯罪行为才能发生作用而达到犯罪目的。如计算机“逻辑炸弹”。2·犯罪侵害的目标较集中就国内已经破获的计算机犯罪案件来看,以金融、证券等部门尤为突出。3·破案难度大,侦查取证困难计算机犯罪黑数相当高。90%的计算机犯罪不能被人们发现;即使发现,在受理这类案件中,侦查工作和犯罪证据的采集相当困难。4·犯罪后果严重,对社会危害大计算机犯罪对社会危害性的大小,取决于计算机信息系统的社会作用,取决于社会资产计算机化的程度和计算机普及应用的程度,其作用越大,危害也越大。4.3黑客采用IP欺骗手段进行攻击实例近期,国内外一批大网站均受到了黑客的攻击,其大多采用了IP欺骗的方法。这些攻击首先是要获得被攻击者的IP。 在网络上，每台计算机有惟一的IP地址，计算机把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中，接收机只收到具有正确IP地址和顺序号的那个包裹。许多安全设备，如路由器，只允许有一定IP地址的计算机收发传送。TCP/IP 顺序号预测入侵将使用网络给计算机赋址的方式和包裹交换的顺序来企图访问网络。一般来说，"黑客"进行TCP/IP 顺序号预测攻击分两步： 第一，得到服务器的IP地址。黑客一般通过网上报文嗅探，顺序测试号码，由WEB浏览器连接到结点上并在状态栏中寻找结点的IP地址。因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址，他便尽力模拟一个能让其通过路由器和作为网络用户访问系统的IP号码。例如，如果系统的IP地址为192.0.0.15，黑客便知有近256台计算机可以连入一个C级网，并猜出所有最后位在序列中出现过的地址号码。IP地址指示了一个网络连接的计算机数，同时上述地址的高字节中两个最重要的位设定指出了该网为C级网。第二，黑客在试过网上IP地址之后，便开始监视网下传送包的序列号，然后，黑客将试图推测服务器能产生的下一个序列号，再将自己有效地插入服务器和用户之间。因为黑客有服务器的IP地址，就能产生有正确IP地址和顺序码的包裹以截获用户的传递。黑客通过断开和模仿实际客户端的连接来实施TCP劫持入侵 成功地劫持了可信任计算机之后，黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址，并模仿其顺序号。安全专家称顺序号伪装为"IP模仿"，黑客用IP模仿在自己机器上模拟一个可信系统的IP地址，黑客模仿了目标计算机之后，便用灵巧的顺序号模仿法成为一个服务器的目标。 黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵，而且TCP劫持让黑客通过一个一次性口令请求响应系统（如共享口令系统），再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。4.4IP欺骗攻击的防护手段4.4.1IP欺骗技术的特征首先我们要了解IP欺骗技术的特征，特征如下：1只有少数的平台被这种技术攻击，也就是说很多平台都没有这方面的缺陷，所以不会被IP欺骗的技术攻击。 2这种技术的出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。 3 很容易防备这种攻击方法，如可以使用防火墙等。IP欺骗只能攻击那些运行真正的TCP/IP的机器，真正的TCP/IP指的是那些完全实现了TCP/IP协议，包括所有的端口和服务。4.4.2防范手段一关闭安全隐患大的端口最直接的方法就是关闭一些安全隐患比较大的服务和端口默认情况下Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口： 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。 第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。 第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右IP 安全策略，然后选择“指派”。 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑5。4.4.3IP欺骗防范手段二隐藏IP虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点，譬如：它耗费资源严重，降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件网络新手IP隐藏器，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。另外防火墙也可以在某种程度上使用IP的隐藏，如Zone Alarm防火墙就有一个隐藏在网上的IP的功能。4.4.4依法治网如果仅从技术层面来防范IP欺骗技术犯罪，还是不够的，因为再先进的技术，总有破解的方法，而一旦陷入攻防循环中，就有可能造成社会财富的极大浪费，而且达不到预防犯罪的目的。所以，要更有效地防范网络IP犯罪，还得靠法律，实行依法治网。然而，互联网发展迅速且是一个无国界、无时空的虚拟世界现有的法律法规在许多方面都还更不上这个发展的虚拟世界。相关法律、法规不健全不完善，造成立案不明确，取证难这一问题已经成为当前制约公安机关有效打击网络犯罪的主要矛盾。电子证据，它并不包括在刑法里的七种证据里。在法庭上，要想获得法律认可，公安机关要对电子物证进行转换，而有些电子物证的转换非常困难的，且我国现行刑法由于规定的罪名比较单一，且范围偏窄，不利于打击网络犯罪我国须：1完善相关法律2制定新的法律3加强法制教育4.5公安侦查中追查犯罪嫌疑人的技术手段长期的公安工作实践表明，要想不断的提高公安工作效能，有效的应对当前社会的新形式挑战，依靠传统的警务工作模式已经远远达不到要求，必须走信息化建设和科技强警之路，才能更好的维护社会的治安，保障人民的生活。4.5.1电子证据采集的步骤相对于其他证据，电子证据具有高科技性和无形性、内容的易破坏性和不安全性、多媒体性和复合性的特点。于是在借鉴美国和西方发达国家的证据采集经验，电子证据的采集步骤一般为：1案发后保护计算机犯罪现场2保存涉案计算机和各种资料3收集相关资料4询问当事人5证据的分析、提取6按照法律程序进行计算机模拟和鉴定4.5.2利用类QQ类聊天工具进行证据采集网络聊天是随着网络技术的发展出现的一种及时双向沟通的通信方式，主要有两种：聊天室聊天和QQ聊天。在采集网络聊天证据时主要收集三类证据：一是内容证据，也包括聊天者简单的个人信息，当然这些信息一般是虚假的，须借助收集到的上网IP地址及上网使用的网络进行佐证；二是系统环境证据，即我们结束的计算机硬件和软件的数据是否正常，辅助证明证据的可靠性；三是附属信息证明，如IP地址、所借助的服务器、上网账号、信息传递路径等，从而将聊天者与某个特定的行为人联系起来。对于聊天记录被人为篡改的，可以进行数据恢复、技术恢复。侦查员可以运用QQ对高危人群进行监控分析，进行逆向追踪分析，对在逃人员对比查控，通过不断的研判和实践，不断获取更多的信息资源，提供可靠的事实依据，使之在控制措施的取舍上，有更明确的针对性。4.6模拟追查攻击者真实IP地址过程4.6.1被攻击者的抓包分析受攻击端在没有有效防火墙的情况下，利用sniffer软件进行实时数据抓包，对其进行分析，存在攻击行为的，打开数据包，分析攻击者真是IP .确定攻击者身份地址。 图5 打开软件 图6 设置网卡监听 图7 操作面板 图8 开始捕获 图9 分析模块 图10 查看详细统计对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。 图11解码分析原IP和MAC点地址对于MAC地址，Sniffer软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 图12 设定捕获条件来确定MAC地址和真正IP地址 图13 各层对应服务 图14 网络监视功能可以自动分析出错误报文，和具有攻击性的报文 图15详细信息 图16 获得攻击者的IP发现攻击后可以启动防火墙，一般来说防火墙都可以拦截类似的攻击，并向有关部门举报。5.总结与展望5.1总结：在毕业论文写作过程中，通过翻阅大量科技资料，在指导教师的指导下，学习各种与IP欺骗技术有关的理论知识，通过整个论文的写作，更直观的感觉到了理论和实践之间存在的差距。本文将从以下几个方面来进行总结：本文首先分析了当今的网络形式，网络犯罪问题日益突出，结合现在网络流行的网络IP欺骗犯罪案例，并进行具体分析总结了网络IP欺骗犯罪的几种常见的方式。同时查阅相关方面的书籍，经过老师的指导并结合自己所学的知识，模拟IP欺骗分子或者黑客团伙完成这些攻击的过程，重点阐述了现在广为流行的利用代理服务器隐藏IP与“肉鸡法”隐藏IP的技术，并且在最后给出了如何应对这些诈骗的方法。由于网络技术发展迅速，各种黑客软件也是层出不穷，网络IP欺骗的方式也是越来越多令人防不胜防，在通过本文的写作之后，更应该努力学习，研究更多更全的网络IP欺骗技术，为我国网络安全事业做出自己的一份贡献。 在完成这篇文章的同时也是自我学习，自我提高的一个过程，在论文写作过程中，为了了解IP欺骗的手法，熟悉黑客人员的实际操作，询问了老师的意见，查阅了大量书籍，结合自己在学校学到的电脑网络技术知识，学习了大量IP欺骗技术手段，与此同时本人也学习到了很多知识，为将来的工作奠定了基础。计算机及互联网的发展是人类智慧的结晶，我们应该正确合理地利用计算机与网络更好地为人们服务，对于一些不法分子通过网络进行诈骗的行为，我们应该严密防范和严厉打击网络犯罪。5.2展望我认为在今后的公安工作中我们可以利用QQ这样的常用软件进行案件侦查破案。将IP技术灵活运用在工作中，反其道而行之。以此快速提升公安民警的网上作战能力，高效遏制以