论文部分内容阅读
众所周之,IP地址的盗用对网络的正常运行是十分有害的。一方面,非法用户盗用合法用户的IP地址以获得特殊的访问权限;另一方面,非法用户盗用未分配的IP地址,对正常的网络运行和应用进行破坏。因此,当前找出在通用网络模型下IP地址防盗用的方法是十分有必要的。
IP地址防盗用方案模式分析
1.IP-MAC模型。IP-MAC模型是人们较早提出的一种模型。IP地址盗用的问题归根结底是解决IP地址的唯一性的问题,而在实践中IP地址的唯一性很难保证。
2.IP-MAC-USER模型。IP-MAC-USER模型的原理是,在采用IP-MAC模型实现IP绑定MAC地址的基础上,在重点、高危险网段实施IP同时绑定MAC地址和用户,即在IP-MAC绑定的同时,检验与IP相对应的用户名和口令,实现IP绑定用户。
3.IP-MAC-PORT模型。IP-MAC-PORT模型的原理是,在交换以太网环境下,将IP地址与MAC地址、主机所连接的交换机端口同时绑定,即在检验(IP,MAC)地址对的同时,检验IP对应的交换机端口。
基于ARP伪装技术的IP地址防盗用方案
1.ARP协议。ARP(地址解析协议)用于将IP地址映射为硬件地址(MAC地址),它是TCP/IP协议组中的一个非常重要的协议,在OSI七层网络模型中,网络层下面是数据链路层,为了它们可以互通,需要转换协议。ARP(地址解析协议)用于把网络层(第三层)地址映射到数据链路层(第二层)地址,RARP(反向地址解析协议)则反之。
2.ARP伪装技术。利用ARP协议的无认证特性,假设主机Q与X、Y在同一局域网内,Y向X发送ARP应答后,Q伪装成Y,再向X发送一个以为源地址的ARP包或向Y发一个以为源地址的ARP包,就会更新X或Y的ARP缓存表,使X将Ipy的MAC地址解析为MACq或使Y将Ipx的地址解析为MACq,这就是ARP伪装技术。
Q应用ARP伪装技术修改X和Y的ARP缓存表后,X和Y发给对方的IP数据报都会发向MAC地址MACq.若MACq为网络内不存在的空MAC地址,则X、Y可以继续向对方发IP数据包,但对方收不到,X、Y之间的网络通信无法实现,本文称之为ARP截断。
基于ARP伪装技术的IP防盗用方法就是采用ARP截断的方法,使IP盗用主机无法进行网络通信,从而实现IP地址防盗用。
3.应用ARP伪装技术实现IP-MAC模型。随着技术的发展,有些IP盗用者采用修改主机MAC地址的方法,来避开IP防盗用系统。虽然修改MAC并不容易,但IP防盗用系统也应对其防范。
对于修改MAC的盗用方法,可在子网的IP-MAC地址库中增加一项IP开关状态标志,此标志项由用户自行管理,当用户要退出网络时,访问IP-MAC地址库,将分配给他的IP地址所对应的开关状态标志项设置为关闭;当用户重新使用网络时,再次访问IP-MAC地址库将开关状态标志打开。
对于ARP监听模块,在将ARP包中的源IP地址与IP-MAC地址库比对时,增加一个判断IP地址开关状态标志项的进程。
通过以上方案的实施即实现了基于IP-MAC-USER三元素的IP地址防盗用模型,又可对成对修改IP-MAC地址和动态修改IP地址的IP地址盗用方式进行有效地防范。
4.通过ARP地址欺骗技术防范IP地址盗用。下面以例子的方式说明ARP地址解析和ARP地址欺骗防止IP地址盗用。
A机器上运行如下:
C:\>arp - a
Interface 1 92 1 68 1 0 1 on Interface 0x1 000003
Internet Address PhysicaI Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
这是192. 168. 1 0.1(主机A)上的ARP缓存表,假设A进行一次ping 192. 168. 10 .3(主机C)操作,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址。以便对传输的帧进行封装,这样就可以进行数据传输,帧的目的MAC地址就是C的MAC地址。如果A中没有C的ARP记录,那么A首先要广播一次ARP请求。当C接收到A的请求后就发送一个应答,应答中包含有C的MAC地址,这就是ARP地址解析的过程,然后A接收到C的应答就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。但是ARP协议并不只在发送了ARP请求才接收ARP应答。这也就是利用ARP地址欺骗技术达到防止IP地址盗用的理论基础了。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP-TnMAC地址存储在ARP缓存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192. 168. 10.3(C的IP地址) MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC 这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
小结
盗用技术的发展与反盗用技术的进步是一个此长彼消,互相促进的过程。要很好解决这个问题,一方面需要依靠反盗用技术的不断提高,另一方面还需要法律、法规和各项网络管理制度的健全和完善。亦即,一方面要不断地提高网络的管理水平,研究新的网络技术,另一方面还要对敢于进行IP地址盗用、破坏网络安全的人,按照有关法规严惩,使盗用者既对先进的反盗用技术望而生畏,又对盗用后所承担的后果心有余悸,才能很好解决IP地址盗用问题。
作者单位:河南省平顶山工业职业技术学院
IP地址防盗用方案模式分析
1.IP-MAC模型。IP-MAC模型是人们较早提出的一种模型。IP地址盗用的问题归根结底是解决IP地址的唯一性的问题,而在实践中IP地址的唯一性很难保证。
2.IP-MAC-USER模型。IP-MAC-USER模型的原理是,在采用IP-MAC模型实现IP绑定MAC地址的基础上,在重点、高危险网段实施IP同时绑定MAC地址和用户,即在IP-MAC绑定的同时,检验与IP相对应的用户名和口令,实现IP绑定用户。
3.IP-MAC-PORT模型。IP-MAC-PORT模型的原理是,在交换以太网环境下,将IP地址与MAC地址、主机所连接的交换机端口同时绑定,即在检验(IP,MAC)地址对的同时,检验IP对应的交换机端口。
基于ARP伪装技术的IP地址防盗用方案
1.ARP协议。ARP(地址解析协议)用于将IP地址映射为硬件地址(MAC地址),它是TCP/IP协议组中的一个非常重要的协议,在OSI七层网络模型中,网络层下面是数据链路层,为了它们可以互通,需要转换协议。ARP(地址解析协议)用于把网络层(第三层)地址映射到数据链路层(第二层)地址,RARP(反向地址解析协议)则反之。
2.ARP伪装技术。利用ARP协议的无认证特性,假设主机Q与X、Y在同一局域网内,Y向X发送ARP应答后,Q伪装成Y,再向X发送一个以
Q应用ARP伪装技术修改X和Y的ARP缓存表后,X和Y发给对方的IP数据报都会发向MAC地址MACq.若MACq为网络内不存在的空MAC地址,则X、Y可以继续向对方发IP数据包,但对方收不到,X、Y之间的网络通信无法实现,本文称之为ARP截断。
基于ARP伪装技术的IP防盗用方法就是采用ARP截断的方法,使IP盗用主机无法进行网络通信,从而实现IP地址防盗用。
3.应用ARP伪装技术实现IP-MAC模型。随着技术的发展,有些IP盗用者采用修改主机MAC地址的方法,来避开IP防盗用系统。虽然修改MAC并不容易,但IP防盗用系统也应对其防范。
对于修改MAC的盗用方法,可在子网的IP-MAC地址库中增加一项IP开关状态标志,此标志项由用户自行管理,当用户要退出网络时,访问IP-MAC地址库,将分配给他的IP地址所对应的开关状态标志项设置为关闭;当用户重新使用网络时,再次访问IP-MAC地址库将开关状态标志打开。
对于ARP监听模块,在将ARP包中的源IP地址与IP-MAC地址库比对时,增加一个判断IP地址开关状态标志项的进程。
通过以上方案的实施即实现了基于IP-MAC-USER三元素的IP地址防盗用模型,又可对成对修改IP-MAC地址和动态修改IP地址的IP地址盗用方式进行有效地防范。
4.通过ARP地址欺骗技术防范IP地址盗用。下面以例子的方式说明ARP地址解析和ARP地址欺骗防止IP地址盗用。
A机器上运行如下:
C:\>arp - a
Interface 1 92 1 68 1 0 1 on Interface 0x1 000003
Internet Address PhysicaI Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
这是192. 168. 1 0.1(主机A)上的ARP缓存表,假设A进行一次ping 192. 168. 10 .3(主机C)操作,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址。以便对传输的帧进行封装,这样就可以进行数据传输,帧的目的MAC地址就是C的MAC地址。如果A中没有C的ARP记录,那么A首先要广播一次ARP请求。当C接收到A的请求后就发送一个应答,应答中包含有C的MAC地址,这就是ARP地址解析的过程,然后A接收到C的应答就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。但是ARP协议并不只在发送了ARP请求才接收ARP应答。这也就是利用ARP地址欺骗技术达到防止IP地址盗用的理论基础了。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP-TnMAC地址存储在ARP缓存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192. 168. 10.3(C的IP地址) MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC 这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
小结
盗用技术的发展与反盗用技术的进步是一个此长彼消,互相促进的过程。要很好解决这个问题,一方面需要依靠反盗用技术的不断提高,另一方面还需要法律、法规和各项网络管理制度的健全和完善。亦即,一方面要不断地提高网络的管理水平,研究新的网络技术,另一方面还要对敢于进行IP地址盗用、破坏网络安全的人,按照有关法规严惩,使盗用者既对先进的反盗用技术望而生畏,又对盗用后所承担的后果心有余悸,才能很好解决IP地址盗用问题。
作者单位:河南省平顶山工业职业技术学院