论文部分内容阅读
[摘 要]文章针对 Internet网络中存在的局域网IP盗用的问题,通过对局域网IP地址盗用的常用方法进行分析,根据TCP/IP理论,提出了四种防范IP盗用的方法,并且都有详细的实现过程,还对这些方法的实现效果以及优缺点进行了说明。
[关键词]IP地址;盗用;防范措施
中图分类号:V984.8 文献标识码:A 文章编号:1009-914X(2017)20-0300-01
局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用成了网络管理人员最头疼的问题。下面就这个问题简单的讨论一下。
1、IP地址盗用方法分析
IP地址是给每一台连接在Internet上的主机分配的一个在世界范围内惟一的32bit地址,Internet通过IP地址来准确定位。若局域网上有两台主机IP地址相同,则两台主机相互报警,造成混乱,形成IP地址盗用。
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于I P地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
1.2 成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
1.3 动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
2、常用的防范IP被盗技术研究
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
2.1 交换机控制
交换机实质上是多端口网桥,一个端口连接一台PC,为用户提供独占的、点对点的连接,而且数据包只被发送到目的端口。
交换机控制是用交换机端口的单地址工作模式来实现交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝,使得网线、端口和MAC地址一一对应,让每个用户单独占用一个端口,即使有人盗用了IP地址也将无济于事。
采用交换机控制可以自动跟踪IP地址冲突,让IP盗用者无法使用非法的IP。但是交换机控制需要在网络上全部采用交换机提供用户接入,而相对昂贵的交换机决定了这不是一个能够普遍采用的解决方案;另外,解决监测冲突需要人工完成 ,而且对非冲突、非分配IP地址的故障处理具有一定的滞后性。
2.2 路由器隔离
用路由器隔离来防范IP盗用的依据是MAC地址作为以太网卡地址全球惟一不能改变。实现方法有两种:a.通过SNMP协议定期扫描网络各路由器ARP表,获得当前IP—MAC对照关系,与存储的合法IP—MAC地址比较,不一致者即为非法访问;b.使用静态ARP表,静态设置MAC和IP地址映射关系。
当访问的IP—MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机,IP盗用也就失去意义。对于非法访问,有几种办法可以制止:a.使用合法的IP与MAC地址映射表覆盖非法的IP—MAC表项;b.修改路由器的存取控制列表,禁止非法访问;C.向非法访问的主机发送ICMP(Internet Control Message Protocol,Internet控制报文协议)不可达的欺骗包,干扰其数据发送。
路由器隔离方法管理接入Internet的IP地址效果明显,它能自动锁定非法IP地址的路由出口,断开其与外部网络的连接,使之仅能访问内部网络,并能实时处理非冲突、非分配IP地址的故障。它保证注册用户的合法权益,也给系统维护提供了更多的便利。当然,路由器隔离也有它自身的局限性,这主要体现在无法防止用户通过修改网卡的MAC地址来盗取IP地址。
2.3 代理服务型防火墙隔离
防火墙是一类防范措施的总称,其目的是在内部网与外部网之间设立惟一的通道,简化网络安全管理。代理服务型防火墙通常由服务器端程序和客户端程序两部分构成,客户端程序与代理中间节点连接,代理中间节点再与外部服务器实际连接。
采用代理服务型防火墙进行隔离,可以较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行,这样就将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理。
这种实现的好处在于:合法用户可以从任意IP主机使用代理服务器访问外部网络,而非法用户即使盗取IP,因没有注册身份和密码,盗用的IP地址只能在子网内使用,无法与外部网络连接。
使用这种代理服务型防火墙的缺点也是明显的:由于代理服务器访问外部网络对用户不是透明的,增加用戶操作的麻烦;另外,代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时(如ATM或千兆以太网等),代理防火墙就会成为内外网络之间的瓶颈,这种情况下应该考虑用自适应代理型防火墙,它结合代理型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。
3、结束语
本文具体分析了局域网内非法用户盗用IP地址的方法过程,从中总结出非法用户盗用IP的一般原理,并由此阐述了几种常用的防范措施。但上述这些方法也只是在某一方面有些优点和作用,并不是非常完善。
参考文献
[1] 谢希仁,《计算机网络(第二版)》.电子工业出版社,2000年.
[2] 刘振安,《实用网络技术》.中国科学技术大学出版社,1996年.
[关键词]IP地址;盗用;防范措施
中图分类号:V984.8 文献标识码:A 文章编号:1009-914X(2017)20-0300-01
局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用成了网络管理人员最头疼的问题。下面就这个问题简单的讨论一下。
1、IP地址盗用方法分析
IP地址是给每一台连接在Internet上的主机分配的一个在世界范围内惟一的32bit地址,Internet通过IP地址来准确定位。若局域网上有两台主机IP地址相同,则两台主机相互报警,造成混乱,形成IP地址盗用。
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1.1 静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于I P地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
1.2 成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
1.3 动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
2、常用的防范IP被盗技术研究
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
2.1 交换机控制
交换机实质上是多端口网桥,一个端口连接一台PC,为用户提供独占的、点对点的连接,而且数据包只被发送到目的端口。
交换机控制是用交换机端口的单地址工作模式来实现交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝,使得网线、端口和MAC地址一一对应,让每个用户单独占用一个端口,即使有人盗用了IP地址也将无济于事。
采用交换机控制可以自动跟踪IP地址冲突,让IP盗用者无法使用非法的IP。但是交换机控制需要在网络上全部采用交换机提供用户接入,而相对昂贵的交换机决定了这不是一个能够普遍采用的解决方案;另外,解决监测冲突需要人工完成 ,而且对非冲突、非分配IP地址的故障处理具有一定的滞后性。
2.2 路由器隔离
用路由器隔离来防范IP盗用的依据是MAC地址作为以太网卡地址全球惟一不能改变。实现方法有两种:a.通过SNMP协议定期扫描网络各路由器ARP表,获得当前IP—MAC对照关系,与存储的合法IP—MAC地址比较,不一致者即为非法访问;b.使用静态ARP表,静态设置MAC和IP地址映射关系。
当访问的IP—MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机,IP盗用也就失去意义。对于非法访问,有几种办法可以制止:a.使用合法的IP与MAC地址映射表覆盖非法的IP—MAC表项;b.修改路由器的存取控制列表,禁止非法访问;C.向非法访问的主机发送ICMP(Internet Control Message Protocol,Internet控制报文协议)不可达的欺骗包,干扰其数据发送。
路由器隔离方法管理接入Internet的IP地址效果明显,它能自动锁定非法IP地址的路由出口,断开其与外部网络的连接,使之仅能访问内部网络,并能实时处理非冲突、非分配IP地址的故障。它保证注册用户的合法权益,也给系统维护提供了更多的便利。当然,路由器隔离也有它自身的局限性,这主要体现在无法防止用户通过修改网卡的MAC地址来盗取IP地址。
2.3 代理服务型防火墙隔离
防火墙是一类防范措施的总称,其目的是在内部网与外部网之间设立惟一的通道,简化网络安全管理。代理服务型防火墙通常由服务器端程序和客户端程序两部分构成,客户端程序与代理中间节点连接,代理中间节点再与外部服务器实际连接。
采用代理服务型防火墙进行隔离,可以较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行,这样就将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理。
这种实现的好处在于:合法用户可以从任意IP主机使用代理服务器访问外部网络,而非法用户即使盗取IP,因没有注册身份和密码,盗用的IP地址只能在子网内使用,无法与外部网络连接。
使用这种代理服务型防火墙的缺点也是明显的:由于代理服务器访问外部网络对用户不是透明的,增加用戶操作的麻烦;另外,代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时(如ATM或千兆以太网等),代理防火墙就会成为内外网络之间的瓶颈,这种情况下应该考虑用自适应代理型防火墙,它结合代理型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。
3、结束语
本文具体分析了局域网内非法用户盗用IP地址的方法过程,从中总结出非法用户盗用IP的一般原理,并由此阐述了几种常用的防范措施。但上述这些方法也只是在某一方面有些优点和作用,并不是非常完善。
参考文献
[1] 谢希仁,《计算机网络(第二版)》.电子工业出版社,2000年.
[2] 刘振安,《实用网络技术》.中国科学技术大学出版社,1996年.