论文部分内容阅读
摘 要:本文主要介绍了业局域网IP地址、IP地址冲突、防止被盗及被盗之后解决方案。
关键字:IP地址;IP冲突;解决方案
引言
IP地址盗用是一个普遍存在的问题,长期以来一直困扰着广大的网络管理人员。尤其是在企业局域网环境下,IP地址盗用更加频繁,解决的难度也较大;同时,IP地址盗用给网络正常运行带来许多负面影响,它还影响着整个企业信息化的进程,是一个急待解决的问题。
本文从解决企业局域网IP地址防盗用问题出发,分析了企业局域网的基本架构和TCP/IP协议基础,阐述了IP地址盗用问题的基本理论,研究了目前国内外对IP地址盗用问题的各种解决方案。
1、IP地址
在Internet上,主机的IP地址是由IANA(Internet分配编号机构)进行分配的,IANA向一些组织分配一组IP地址,这些组织再将这些IP地址分配给单独的计算机。公网上主机的IP地址分配是非常严格的,因此不会出现IP地址冲突的情况。
企业局域网计算机的IP地址通常由网络管理员进行分配,根据网络的结构、规模以及管理模式,在局域网中通常可以采取三种IP地址分配方式:静态地址分配方式、动态地址分配方式(DHCP)、主机自动寻址方式(APIPA)的分配方式。
静态地址分配方式由于不需要额外的设备投入,常用于一些计算机数量较少的中小型局域网中;动态地址分配方式(DHCP)需要一定的设备投入,但可以降低管理成本,通常用于计算机数量较多的中大型局域网和力求简化管理的网络中;而主机自动寻址方式(APIPA)的分配方式不要额外的设备投入也没有任何的管理开销,但是要求网络是有路由器和交换机的单一子网的封闭网络,网络不能与Internet存在连接,因此这种方式存在较大的局限性。
2、IP地址冲突
在实际企业局域网应用中,导致IP地址冲突的主要原因还是使用人员私自设置了非法的静态IP地址,此外,由于管理員的管理不当或地址设置失误也会导致IP地址冲突。
2.1手工设置地址失误
在静态地址分配方式下,出现IP地址冲突通常由于手工设置地址失误或管理员分配地址不当造成的。一种情形是,管理员对IP地址分配记录维护不完整,当分配IP地址时,管理员为其分配了一个之前已经分配给其他计算机的IP地址;另一种情形是,计算机的使用人员知道IP地址设置规则,当需要重新设定时,自己私自设置IP地址,而不知此IP地址正被其他计算机使用,此时,将会提示重新配置IP地址的对话框,如图1所示。
图1
2.2盗用他人地址
不论是静态地址分配还是动态地址分配方式,使用人员出于某种目的会盗用他人的IP地址,从而引起IP地址冲突。例如:很多单位为了加强Internet用户的管理,通常会将Internet用户的IP地址设置为静态地址,并在代理网关或代理服务器中进行IP地址的绑定,一些非Internet用户为了能够访问Internet,在他获取Internet用户的IP地址信息后,可能会通过地址欺骗的手段盗用该地址,进而引起合法用户计算机的地址而不能正常加入网络,造成IP地址冲突,如图2所示。
图2
2.3动态与静态IP冲突
在动态地址分配方式下,产生地址冲突的主要原因还是由于使用人员私自设置了静态IP地址。当一个用户手工设置了其他的计算机已经自动获得IP地址,可能因为那台计算机不在网络上而成功设置。如果设置成功,当那台计算机再次加入网络,系统会提示发生地址冲突,并且不能正常加入网络。在这种情况下,使用人员可以通过地址修复的方式,通过DHCP服务器重新获得一个可用的IP地址,而DHCP服务器将视原有地址为坏地址不再进行动态分配直至租约到期,这样会造成DHCP服务器的地址垃圾。
3、预防IP地址冲突
IP地址冲突的发生绝大多数是由于人为因素造成的,这应该属于管理方面的问题。在这方面我们应该制定严格的计算机设置和管理规范以及相应的惩罚措施。例如:管理员要建立完善的网络IP地址管理档案,计算机主机名称要采取实名制,严禁使用人员私自更改IP寻址方式和滥设地址,严禁启用除DHCP服务器外其他计算机的DHCP服务等。但是仅仅加强对使用人员和计算机的管理是很不够的,在预防IP地址冲突方面,充分利用网络资源和先进的网络技术同样是非常重要的。
将一个包含计算机数量较多的网络划分为多个子网,这样即可以有效减少广播风暴,同时由于一个子网内包含计算机的数量较少,当出现地址冲突时,查找的目标范围大大减少。划分子网需要一定的网络硬件设施,例如:路由器或交换机。
3.1进行交换机端口+主机IP地址+主机MAC地址的绑定
对于采取静态地址分配方式的网络,可以利用交换机的端口安全特性,将网络交换机中所有计算机连接的交换机端口与计算机的IP地址和网卡的MAC地址进行绑定。这样,当计算机加入网络时,交换机首先会验证与该端口连接的计算机IP地址和MAC地址是否有效,如果有效,则计算机通过验证成功加入网络;否则无效,将禁止计算机加入网络。
由于普通的使用人员是不能接触到网络交换机的,因此,即使有个别用户盗用了他人的IP地址和MAC地址,由于计算机连接的交换机端口不能改变,也不能加入网络。这个措施需要网络交换机支持端口安全特性。
3.2对DHCP服务器进行认证
对于采用动态地址分配方式的网络,如果DHCP服务器基于Windows 2000/2003 Server操作系统,可以利用“域”应用环境对服务器进行认证。即在活动目录(Active Directory)中创建DPCH服务器对象,将合法的DHCP服务器的IP地址添加到认证服务器列表中。当一台启用DHCP服务的计算机试图加入网络时,Active Directory首先将计算机的IP地址和认证的IP地址进行对照,如果发现匹配,则此计算机被认证为DHCP服务器而成功加入到网络中提供DHCP服务;如果不匹配,则认为此计算机为非法,同时这台计算机的DHCP服务将被自动的关闭。通过DHCP服务器认证,可以杜绝非法DHCP服务器引起的地址分配混乱和冲突,这项预防措施需要在网络中部署域环境并配置活动目录。 3.3组策略阻止更改协议
我们还可以通过设置组策略来阻止使用人员更改“Internet协议(TCP/IP)”组件属性的设置。在“开始”菜单的“运行”处执行gpedit.msc,打开“组策略”管理单元,依次展开“本地计算机策略->用户配置->管理模板->网络”,点击“网络连接”子项,这时可以在右侧窗格看到用于“网络连接”策略列表,如图3所示。
图3
为限制使用人员更改IP地址,需要启用两个策略:“禁止访问LAN连接组件的属性”和“为管理员启用Windows 2000网络连接设置”。启用这两个策略后,使用人员将不能访问包括“Internet协议(TCP/IP)”在内的所有网络连接组件,由于更改IP地址的设置需要通过“Internet协议(TCP/IP)”的属性实现,禁止访问该组件的属性,使用人员就不能更改IP地址的设置了,其他组件很少需要进行配置。但是设置组策略的措施存在两个弱点:有经验的用户可以通过设置组策略恢复对“网络连接”属性的访问;重新安装了操作系统后,原有的策略设置丢失,需要重新设置。
4、地址冲突解决方案
IP地址冲突的解决过程由两个部分组成:查找和更正。查找是篩选设置了不合规范的IP地址的计算机;更改就是中断引起地址冲突的计算机网络连接,并重新为其设定规范的IP地址。
4.1获取冲突IP地址信息
如果地址分配方式为静态方式,首先查看本地网络连接属性,可以获取IP地址信息。如果地址是通过DHCP服务器动态获得的,那获取IP地址信息分两种情形:一种是显示地址冲突的计算机可以进行正常的网络通信,(下转第72页)可以通过IPconfig命令或查看“本地连接”的状态获取IP地址。在“命令提示符”窗口执行IPconfig命令,可以获取到IP地址、子网掩码和默认网关等信息。要获取更多信息,可以执行带有/all参数的IPconfig命令。另一种是显示地址冲突的计算机不能进行正常通信或进行了地址修复,通过IPconfig命令或“本地连接”的状态是不能查看发生地址冲突时所使用IP地址信息,我们可以利用"事件查看器"工具获取非法设置的IP地址。
4.2获取冲突计算机的主机名
确定了冲突IP地址后,可以使用pathping命令、带有-a参数的ping命令、带有-A参数命令的nbtstat命令以及第三方的具有IP扫描功能的网络工具,来探测引起冲突计算机的主机名称,如果网络内所有计算机都采用了实名制,对查找冲突计算机帮助非常大。、
4.3获取MAC地址
如果探测到主机名称没有任何参考价值,就要从计算机的MAC地址着手。获取目标IP地址计算机的MAC地址,通常可以使用arp命令、nbtstat命令、"事件查看器"工具或借助第三方网络工具实现。Arp命令用来显示或修改本地计算机ARP缓冲区保存的IP地址和MAC地址的对应列表,通常使用带有-a或-g参数的arp命令来显示当前的IP地址-MAC地址映射条目;而通过nbtstat命令、"事件查看器"工具或第三方网络工具查看目的IP地址主机的MAC地址的操作方法和前面相同。
5、结束语
目前,很多单位网络管理部门将网络管理中心放在网络安全方面,认为IP地址冲突是小事,只需加强人员管理就可以;但是在实际应用中,我们在考虑IP地址冲突问题同时,还应该从加强人员管理,优化地址分配管理、采取有效技术措施等方面入手,打造一个和谐网络应用环境。IP地址的安全与防止技术在企业局域网管理上有一定的借鉴价值。
参考文献
[1]林闯编著《计算机网络和计算机系统的性能评价》,清华大学出版社
[2]龚兵编著《计算机维护及维修》,北京:北京航天航空大学出版社.电子工业出版
[3]胡道远主编《计算机网络工程指南》,北京:电子工业出版社
关键字:IP地址;IP冲突;解决方案
引言
IP地址盗用是一个普遍存在的问题,长期以来一直困扰着广大的网络管理人员。尤其是在企业局域网环境下,IP地址盗用更加频繁,解决的难度也较大;同时,IP地址盗用给网络正常运行带来许多负面影响,它还影响着整个企业信息化的进程,是一个急待解决的问题。
本文从解决企业局域网IP地址防盗用问题出发,分析了企业局域网的基本架构和TCP/IP协议基础,阐述了IP地址盗用问题的基本理论,研究了目前国内外对IP地址盗用问题的各种解决方案。
1、IP地址
在Internet上,主机的IP地址是由IANA(Internet分配编号机构)进行分配的,IANA向一些组织分配一组IP地址,这些组织再将这些IP地址分配给单独的计算机。公网上主机的IP地址分配是非常严格的,因此不会出现IP地址冲突的情况。
企业局域网计算机的IP地址通常由网络管理员进行分配,根据网络的结构、规模以及管理模式,在局域网中通常可以采取三种IP地址分配方式:静态地址分配方式、动态地址分配方式(DHCP)、主机自动寻址方式(APIPA)的分配方式。
静态地址分配方式由于不需要额外的设备投入,常用于一些计算机数量较少的中小型局域网中;动态地址分配方式(DHCP)需要一定的设备投入,但可以降低管理成本,通常用于计算机数量较多的中大型局域网和力求简化管理的网络中;而主机自动寻址方式(APIPA)的分配方式不要额外的设备投入也没有任何的管理开销,但是要求网络是有路由器和交换机的单一子网的封闭网络,网络不能与Internet存在连接,因此这种方式存在较大的局限性。
2、IP地址冲突
在实际企业局域网应用中,导致IP地址冲突的主要原因还是使用人员私自设置了非法的静态IP地址,此外,由于管理員的管理不当或地址设置失误也会导致IP地址冲突。
2.1手工设置地址失误
在静态地址分配方式下,出现IP地址冲突通常由于手工设置地址失误或管理员分配地址不当造成的。一种情形是,管理员对IP地址分配记录维护不完整,当分配IP地址时,管理员为其分配了一个之前已经分配给其他计算机的IP地址;另一种情形是,计算机的使用人员知道IP地址设置规则,当需要重新设定时,自己私自设置IP地址,而不知此IP地址正被其他计算机使用,此时,将会提示重新配置IP地址的对话框,如图1所示。
图1
2.2盗用他人地址
不论是静态地址分配还是动态地址分配方式,使用人员出于某种目的会盗用他人的IP地址,从而引起IP地址冲突。例如:很多单位为了加强Internet用户的管理,通常会将Internet用户的IP地址设置为静态地址,并在代理网关或代理服务器中进行IP地址的绑定,一些非Internet用户为了能够访问Internet,在他获取Internet用户的IP地址信息后,可能会通过地址欺骗的手段盗用该地址,进而引起合法用户计算机的地址而不能正常加入网络,造成IP地址冲突,如图2所示。
图2
2.3动态与静态IP冲突
在动态地址分配方式下,产生地址冲突的主要原因还是由于使用人员私自设置了静态IP地址。当一个用户手工设置了其他的计算机已经自动获得IP地址,可能因为那台计算机不在网络上而成功设置。如果设置成功,当那台计算机再次加入网络,系统会提示发生地址冲突,并且不能正常加入网络。在这种情况下,使用人员可以通过地址修复的方式,通过DHCP服务器重新获得一个可用的IP地址,而DHCP服务器将视原有地址为坏地址不再进行动态分配直至租约到期,这样会造成DHCP服务器的地址垃圾。
3、预防IP地址冲突
IP地址冲突的发生绝大多数是由于人为因素造成的,这应该属于管理方面的问题。在这方面我们应该制定严格的计算机设置和管理规范以及相应的惩罚措施。例如:管理员要建立完善的网络IP地址管理档案,计算机主机名称要采取实名制,严禁使用人员私自更改IP寻址方式和滥设地址,严禁启用除DHCP服务器外其他计算机的DHCP服务等。但是仅仅加强对使用人员和计算机的管理是很不够的,在预防IP地址冲突方面,充分利用网络资源和先进的网络技术同样是非常重要的。
将一个包含计算机数量较多的网络划分为多个子网,这样即可以有效减少广播风暴,同时由于一个子网内包含计算机的数量较少,当出现地址冲突时,查找的目标范围大大减少。划分子网需要一定的网络硬件设施,例如:路由器或交换机。
3.1进行交换机端口+主机IP地址+主机MAC地址的绑定
对于采取静态地址分配方式的网络,可以利用交换机的端口安全特性,将网络交换机中所有计算机连接的交换机端口与计算机的IP地址和网卡的MAC地址进行绑定。这样,当计算机加入网络时,交换机首先会验证与该端口连接的计算机IP地址和MAC地址是否有效,如果有效,则计算机通过验证成功加入网络;否则无效,将禁止计算机加入网络。
由于普通的使用人员是不能接触到网络交换机的,因此,即使有个别用户盗用了他人的IP地址和MAC地址,由于计算机连接的交换机端口不能改变,也不能加入网络。这个措施需要网络交换机支持端口安全特性。
3.2对DHCP服务器进行认证
对于采用动态地址分配方式的网络,如果DHCP服务器基于Windows 2000/2003 Server操作系统,可以利用“域”应用环境对服务器进行认证。即在活动目录(Active Directory)中创建DPCH服务器对象,将合法的DHCP服务器的IP地址添加到认证服务器列表中。当一台启用DHCP服务的计算机试图加入网络时,Active Directory首先将计算机的IP地址和认证的IP地址进行对照,如果发现匹配,则此计算机被认证为DHCP服务器而成功加入到网络中提供DHCP服务;如果不匹配,则认为此计算机为非法,同时这台计算机的DHCP服务将被自动的关闭。通过DHCP服务器认证,可以杜绝非法DHCP服务器引起的地址分配混乱和冲突,这项预防措施需要在网络中部署域环境并配置活动目录。 3.3组策略阻止更改协议
我们还可以通过设置组策略来阻止使用人员更改“Internet协议(TCP/IP)”组件属性的设置。在“开始”菜单的“运行”处执行gpedit.msc,打开“组策略”管理单元,依次展开“本地计算机策略->用户配置->管理模板->网络”,点击“网络连接”子项,这时可以在右侧窗格看到用于“网络连接”策略列表,如图3所示。
图3
为限制使用人员更改IP地址,需要启用两个策略:“禁止访问LAN连接组件的属性”和“为管理员启用Windows 2000网络连接设置”。启用这两个策略后,使用人员将不能访问包括“Internet协议(TCP/IP)”在内的所有网络连接组件,由于更改IP地址的设置需要通过“Internet协议(TCP/IP)”的属性实现,禁止访问该组件的属性,使用人员就不能更改IP地址的设置了,其他组件很少需要进行配置。但是设置组策略的措施存在两个弱点:有经验的用户可以通过设置组策略恢复对“网络连接”属性的访问;重新安装了操作系统后,原有的策略设置丢失,需要重新设置。
4、地址冲突解决方案
IP地址冲突的解决过程由两个部分组成:查找和更正。查找是篩选设置了不合规范的IP地址的计算机;更改就是中断引起地址冲突的计算机网络连接,并重新为其设定规范的IP地址。
4.1获取冲突IP地址信息
如果地址分配方式为静态方式,首先查看本地网络连接属性,可以获取IP地址信息。如果地址是通过DHCP服务器动态获得的,那获取IP地址信息分两种情形:一种是显示地址冲突的计算机可以进行正常的网络通信,(下转第72页)可以通过IPconfig命令或查看“本地连接”的状态获取IP地址。在“命令提示符”窗口执行IPconfig命令,可以获取到IP地址、子网掩码和默认网关等信息。要获取更多信息,可以执行带有/all参数的IPconfig命令。另一种是显示地址冲突的计算机不能进行正常通信或进行了地址修复,通过IPconfig命令或“本地连接”的状态是不能查看发生地址冲突时所使用IP地址信息,我们可以利用"事件查看器"工具获取非法设置的IP地址。
4.2获取冲突计算机的主机名
确定了冲突IP地址后,可以使用pathping命令、带有-a参数的ping命令、带有-A参数命令的nbtstat命令以及第三方的具有IP扫描功能的网络工具,来探测引起冲突计算机的主机名称,如果网络内所有计算机都采用了实名制,对查找冲突计算机帮助非常大。、
4.3获取MAC地址
如果探测到主机名称没有任何参考价值,就要从计算机的MAC地址着手。获取目标IP地址计算机的MAC地址,通常可以使用arp命令、nbtstat命令、"事件查看器"工具或借助第三方网络工具实现。Arp命令用来显示或修改本地计算机ARP缓冲区保存的IP地址和MAC地址的对应列表,通常使用带有-a或-g参数的arp命令来显示当前的IP地址-MAC地址映射条目;而通过nbtstat命令、"事件查看器"工具或第三方网络工具查看目的IP地址主机的MAC地址的操作方法和前面相同。
5、结束语
目前,很多单位网络管理部门将网络管理中心放在网络安全方面,认为IP地址冲突是小事,只需加强人员管理就可以;但是在实际应用中,我们在考虑IP地址冲突问题同时,还应该从加强人员管理,优化地址分配管理、采取有效技术措施等方面入手,打造一个和谐网络应用环境。IP地址的安全与防止技术在企业局域网管理上有一定的借鉴价值。
参考文献
[1]林闯编著《计算机网络和计算机系统的性能评价》,清华大学出版社
[2]龚兵编著《计算机维护及维修》,北京:北京航天航空大学出版社.电子工业出版
[3]胡道远主编《计算机网络工程指南》,北京:电子工业出版社