防范校園網(wǎng)內(nèi)盜用IP地址的方法
作者:徐 博
字?jǐn)?shù):2868 字號(hào): 【大 中 小】
【摘要】 IP地址的盜用給網(wǎng)絡(luò)管理帶來(lái)了安全隱患,,本文針對(duì)常見(jiàn)的 IP地址盜用方法,,靜態(tài)修改 IP地址、成對(duì)修改 IP-MAC地址,;分析了 IP地址盜用原理,;提出了有效的防范措施,靜態(tài) IP-MAC捆綁技術(shù),、防火墻與代理服務(wù)器相結(jié)合,、動(dòng)態(tài)配置 MAC地址這些方案能較好地解決校園網(wǎng)中 IP地址盜用問(wèn)題。
【關(guān)鍵詞】IP地址,;MAC地址,;IP地址盜用;動(dòng)態(tài) MAC地址
一,、問(wèn)題的引出
IP地址盜用指在局域網(wǎng)中,,利用固定 IP地址直接接入到網(wǎng)絡(luò)時(shí),某些用戶(hù)非法利用別人的合法 IP地址聯(lián)網(wǎng)
通信的現(xiàn)象,。盜用主要是為了逃避網(wǎng)絡(luò)計(jì)費(fèi),,或不暴露自身身份來(lái)實(shí)現(xiàn)其他說(shuō)非常規(guī)目的而隱藏自己的身份。
校園網(wǎng)中,,網(wǎng)絡(luò)中心在規(guī)劃網(wǎng)絡(luò)時(shí),,為入網(wǎng)用戶(hù)分配了相應(yīng)的 IP地址,網(wǎng)絡(luò)管理員在分配 IP地址資源時(shí),,分配的 IP地址對(duì)任何聯(lián)網(wǎng)的主機(jī)是惟一的且均在規(guī)劃的子網(wǎng)網(wǎng)段范圍內(nèi),,以保證網(wǎng)絡(luò)通信的正常傳輸。但是由于 IP地址是一個(gè)邏輯地址,,是一個(gè)用戶(hù)可以任意設(shè)置的值,,要限制用戶(hù)修改 IP地址顯然是不可能的。校園網(wǎng)中若有兩臺(tái)或多臺(tái)主機(jī) IP地址相同,,操作系統(tǒng)就會(huì)提示"IP地址沖突",。出現(xiàn)了搶 IP地址的現(xiàn)象,用戶(hù)不但無(wú)法訪問(wèn)網(wǎng)絡(luò),,而且還會(huì)造成應(yīng)用上的混亂,形成了較為嚴(yán)重的 IP地址盜用現(xiàn)象,。這是一個(gè)讓網(wǎng)絡(luò)管理人員很頭痛的問(wèn)題,。
二、IP地址盜用原理
IP地址盜用只可能發(fā)生在一個(gè) IP子網(wǎng)內(nèi),,通常一個(gè) IP子網(wǎng)可能包含多個(gè)局域網(wǎng),。例如在圖 1中,無(wú)論 IP子網(wǎng)如何劃分,,從布線的角度來(lái)說(shuō),,校園網(wǎng)網(wǎng)絡(luò)中心至少有一個(gè)核心交換機(jī),,從這個(gè)交換機(jī)的各個(gè)端口出來(lái)連接到學(xué)院各大樓上的二級(jí)交換機(jī),二級(jí)交換機(jī)的端口連接的是各房間中的接線盒,。由于每幢大樓交換機(jī)各端口均屬于一個(gè) IP子網(wǎng),,所以IP盜用只可能發(fā)生在一個(gè) IP子網(wǎng)也即一幢大樓內(nèi)。若用戶(hù)因某種原因改動(dòng)客戶(hù)端 IP地址或更換網(wǎng)絡(luò)適配器的屬性,,它將直接造成地址解析的響應(yīng)混亂,,容易引起 IP地址的沖突,威脅網(wǎng)絡(luò)資源環(huán)境的安全運(yùn)行,。用非法 IP地址聯(lián)網(wǎng)可能導(dǎo)致三種結(jié)果:
(1)該地址不在規(guī)劃的網(wǎng)段內(nèi),,網(wǎng)絡(luò)通信中斷;
(2)該 IP地址與正在聯(lián)網(wǎng)運(yùn)行的合法 IP地址發(fā)生資源沖突,,無(wú)法鏈接,;
前兩種情況可被網(wǎng)絡(luò)系統(tǒng)自動(dòng)識(shí)別而屏蔽,導(dǎo)致運(yùn)行中斷,,第三種情況操作系統(tǒng)不能有效判別,。如果網(wǎng)絡(luò)管理員未采取防范措施,第三種情況將涉及到注冊(cè)用戶(hù)的合法權(quán)益,,危害很大,。
三、IP地址盜用的常用手段
1.靜態(tài)修改 IP地址
對(duì)于任何一個(gè) TCP/IP實(shí)現(xiàn)來(lái)說(shuō),,IP地址都是其用戶(hù)配置的必選項(xiàng),。IP地址是邏輯值,所以無(wú)法限制用戶(hù)對(duì) IP地址的靜態(tài)修改,,如果用戶(hù)在配置 TCP/IP或修改 TCP/IP配置時(shí),,使用的不是網(wǎng)絡(luò)管理員分配的 IP地址,就形成了 IP地址盜用,。
2.成對(duì)修改 IP-MAC地址
對(duì)于靜態(tài)修改 IP地址的問(wèn)題,,網(wǎng)絡(luò)管理員可以采用靜態(tài)路由技術(shù)加以解決。針對(duì)靜態(tài)路由技術(shù),,IP盜用技術(shù)又有了新的發(fā)展,,即成對(duì)修改 IP-MAC地址。MAC地址是設(shè)備的硬件地址,,就是俗稱(chēng)的計(jì)算機(jī)網(wǎng)卡地址,。每一個(gè)網(wǎng)卡的 MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的,它由 IEEE分配,,是固化在網(wǎng)卡上的,,一般不能隨意改動(dòng)。如果將一臺(tái)計(jì)算機(jī)的 IP地址和 MAC地址都改為另外一臺(tái)合法主機(jī)的 IP地址和 MAC地址,,這就形成 IP-MAC地址成對(duì)盜用,,這時(shí)靜態(tài)路由技術(shù)就無(wú)能為力了,。
四、IP地址盜用的防范手段
1.靜態(tài) IP-MAC捆綁技術(shù)
對(duì)于靜態(tài) IP地址盜用問(wèn)題,,可采用 IP地址與MAC地址的綁定來(lái)保證合法 IP地址的唯一性,。如分配給用戶(hù)的 IP是 192.168.0.100,用戶(hù)的網(wǎng)卡MAC是 44-45-53-54-00-00,,可由網(wǎng)絡(luò)管理員在代理服務(wù)器端把用戶(hù)上網(wǎng)的靜態(tài) IP地址與所記錄的計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁,,具體命令是:
ARP-s192.168.0.10044-45-53-54-00-00
其中網(wǎng)卡的 MAC地址可在Windows下用ipcomfig命令查到。這種方法只能解決靜態(tài)地址的修改,,有一定的局限性,,當(dāng)非法用戶(hù)成對(duì)修改 IP和MAC地址,或在網(wǎng)卡變更頻繁的環(huán)境中時(shí),,這種方法就無(wú)能為力了,。
2.動(dòng)態(tài)配置 MAC地址
在 TCP/IP協(xié)議中,IP地址屬于網(wǎng)絡(luò)層概念,,是用來(lái)提供網(wǎng)絡(luò)層以上的主機(jī)標(biāo)識(shí),,在網(wǎng)絡(luò)接口層(OSI數(shù)據(jù)鏈路層和物理層)IP地址毫無(wú)意義,因?yàn)樵诰W(wǎng)絡(luò)低層數(shù)據(jù)幀不是按 IP來(lái)傳送的,,而是按以太網(wǎng) MAC地址來(lái)分辨不同的主機(jī)的,。
MAC地址是協(xié)議的底層地址,只出現(xiàn)在數(shù)據(jù)鏈路層,。數(shù)據(jù)鏈路層數(shù)據(jù)幀格式為:
由此可知任一臺(tái)主機(jī)的MAC地址不會(huì)在本網(wǎng)絡(luò)以外的物理網(wǎng)絡(luò)中起作用,。
每一個(gè)網(wǎng)卡的 MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的,它由IEEE分配 是固化在網(wǎng)卡上的,,一般不能隨意改動(dòng),,但是在操作系統(tǒng)實(shí)現(xiàn)時(shí),基于IP 軟件效率的考慮,, 系統(tǒng)一般并不每收發(fā)一幀,,都直接從網(wǎng)絡(luò)適配器中讀取 MAC地址,而是在系統(tǒng)特定的緩沖區(qū)中獲取 MAC地址,。通過(guò)以上分析可以知道,,動(dòng)態(tài)修改 MAC地址,不會(huì)影響到該主機(jī)所在物理網(wǎng)絡(luò)以外的其他網(wǎng)絡(luò),。因此可以采用動(dòng)態(tài)配置 MAC的方法來(lái)防止 IP地址的盜用,。
五、結(jié)束語(yǔ)
以上幾種方法各有優(yōu)缺點(diǎn),,采用路由器將網(wǎng)卡MAC地址與 IP地址綁定的方法,只能解決靜態(tài)地址的修改,,對(duì)于成對(duì)修改 IP-MAC地址卻無(wú)能為力,;代理服務(wù)器與防火墻相結(jié)合的辦法,,采用統(tǒng)一身份認(rèn)證,代理防火墻往往會(huì)制約網(wǎng)絡(luò)速度,。動(dòng)態(tài)配置MAC地址防止 IP盜用的技術(shù)在實(shí)現(xiàn)上很容易,,該方案有很強(qiáng)的可操作性,效果不錯(cuò),,但它無(wú)法檢查到盜用者,。從本質(zhì)上來(lái)說(shuō),無(wú)論哪種方案,,都是從 IP地址的角度出發(fā)解決 IP地址的盜用,,變 IP盜用問(wèn)題為用戶(hù)身份認(rèn)證問(wèn)題。
【參考文獻(xiàn)】
?。?]華為3com網(wǎng)絡(luò)學(xué)院教材 華為3COM技術(shù)有限公司 編者
?。?]計(jì)算機(jī)教育教學(xué)網(wǎng)絡(luò)中心
責(zé)任編輯:王利強(qiáng)
