防范校園網內盜用IP地址的方法
作者:徐 博
字數:2868 字號: 【大 中 小】
【摘要】 IP地址的盜用給網絡管理帶來了安全隱患,本文針對常見的 IP地址盜用方法����,靜態(tài)修改 IP地址、成對修改 IP-MAC地址����;分析了 IP地址盜用原理�;提出了有效的防范措施����,靜態(tài) IP-MAC捆綁技術、防火墻與代理服務器相結合�、動態(tài)配置 MAC地址這些方案能較好地解決校園網中 IP地址盜用問題。
【關鍵詞】IP地址�;MAC地址;IP地址盜用����;動態(tài) MAC地址
一、問題的引出
IP地址盜用指在局域網中�,利用固定 IP地址直接接入到網絡時,某些用戶非法利用別人的合法 IP地址聯網
通信的現象����。盜用主要是為了逃避網絡計費����,或不暴露自身身份來實現其他說非常規(guī)目的而隱藏自己的身份。
校園網中����,網絡中心在規(guī)劃網絡時�,為入網用戶分配了相應的 IP地址�����,網絡管理員在分配 IP地址資源時�����,分配的 IP地址對任何聯網的主機是惟一的且均在規(guī)劃的子網網段范圍內�,以保證網絡通信的正常傳輸。但是由于 IP地址是一個邏輯地址�,是一個用戶可以任意設置的值,要限制用戶修改 IP地址顯然是不可能的����。校園網中若有兩臺或多臺主機 IP地址相同,操作系統(tǒng)就會提示"IP地址沖突"�。出現了搶 IP地址的現象,用戶不但無法訪問網絡����,而且還會造成應用上的混亂,形成了較為嚴重的 IP地址盜用現象�����。這是一個讓網絡管理人員很頭痛的問題。
二�����、IP地址盜用原理
IP地址盜用只可能發(fā)生在一個 IP子網內�,通常一個 IP子網可能包含多個局域網。例如在圖 1中����,無論 IP子網如何劃分,從布線的角度來說�����,校園網網絡中心至少有一個核心交換機�����,從這個交換機的各個端口出來連接到學院各大樓上的二級交換機�,二級交換機的端口連接的是各房間中的接線盒。由于每幢大樓交換機各端口均屬于一個 IP子網�,所以IP盜用只可能發(fā)生在一個 IP子網也即一幢大樓內�。若用戶因某種原因改動客戶端 IP地址或更換網絡適配器的屬性,它將直接造成地址解析的響應混亂,容易引起 IP地址的沖突�����,威脅網絡資源環(huán)境的安全運行�。用非法 IP地址聯網可能導致三種結果:
(1)該地址不在規(guī)劃的網段內,網絡通信中斷�����;
(2)該 IP地址與正在聯網運行的合法 IP地址發(fā)生資源沖突����,無法鏈接;
前兩種情況可被網絡系統(tǒng)自動識別而屏蔽����,導致運行中斷,第三種情況操作系統(tǒng)不能有效判別�����。如果網絡管理員未采取防范措施�����,第三種情況將涉及到注冊用戶的合法權益,危害很大�����。
三�、IP地址盜用的常用手段
1.靜態(tài)修改 IP地址
對于任何一個 TCP/IP實現來說,IP地址都是其用戶配置的必選項����。IP地址是邏輯值,所以無法限制用戶對 IP地址的靜態(tài)修改����,如果用戶在配置 TCP/IP或修改 TCP/IP配置時,使用的不是網絡管理員分配的 IP地址�����,就形成了 IP地址盜用�����。
2.成對修改 IP-MAC地址
對于靜態(tài)修改 IP地址的問題�����,網絡管理員可以采用靜態(tài)路由技術加以解決。針對靜態(tài)路由技術�����,IP盜用技術又有了新的發(fā)展�,即成對修改 IP-MAC地址����。MAC地址是設備的硬件地址,就是俗稱的計算機網卡地址����。每一個網卡的 MAC地址在所有以太網設備中必須是唯一的,它由 IEEE分配�����,是固化在網卡上的�,一般不能隨意改動。如果將一臺計算機的 IP地址和 MAC地址都改為另外一臺合法主機的 IP地址和 MAC地址����,這就形成 IP-MAC地址成對盜用,這時靜態(tài)路由技術就無能為力了����。
四����、IP地址盜用的防范手段
1.靜態(tài) IP-MAC捆綁技術
對于靜態(tài) IP地址盜用問題�,可采用 IP地址與MAC地址的綁定來保證合法 IP地址的唯一性。如分配給用戶的 IP是 192.168.0.100�����,用戶的網卡MAC是 44-45-53-54-00-00�,可由網絡管理員在代理服務器端把用戶上網的靜態(tài) IP地址與所記錄的計算機的網卡地址進行捆綁,具體命令是:
ARP-s192.168.0.10044-45-53-54-00-00
其中網卡的 MAC地址可在Windows下用ipcomfig命令查到����。這種方法只能解決靜態(tài)地址的修改,有一定的局限性�����,當非法用戶成對修改 IP和MAC地址����,或在網卡變更頻繁的環(huán)境中時,這種方法就無能為力了�����。
2.動態(tài)配置 MAC地址
在 TCP/IP協議中,IP地址屬于網絡層概念�,是用來提供網絡層以上的主機標識,在網絡接口層(OSI數據鏈路層和物理層)IP地址毫無意義�,因為在網絡低層數據幀不是按 IP來傳送的�,而是按以太網 MAC地址來分辨不同的主機的。
MAC地址是協議的底層地址�,只出現在數據鏈路層。數據鏈路層數據幀格式為:
由此可知任一臺主機的MAC地址不會在本網絡以外的物理網絡中起作用�。
每一個網卡的 MAC地址在所有以太網設備中必須是唯一的,它由IEEE分配 是固化在網卡上的����,一般不能隨意改動,但是在操作系統(tǒng)實現時����,基于IP 軟件效率的考慮, 系統(tǒng)一般并不每收發(fā)一幀����,都直接從網絡適配器中讀取 MAC地址,而是在系統(tǒng)特定的緩沖區(qū)中獲取 MAC地址�。通過以上分析可以知道�����,動態(tài)修改 MAC地址�����,不會影響到該主機所在物理網絡以外的其他網絡�����。因此可以采用動態(tài)配置 MAC的方法來防止 IP地址的盜用�����。
五����、結束語
以上幾種方法各有優(yōu)缺點�����,采用路由器將網卡MAC地址與 IP地址綁定的方法����,只能解決靜態(tài)地址的修改����,對于成對修改 IP-MAC地址卻無能為力�����;代理服務器與防火墻相結合的辦法�,采用統(tǒng)一身份認證,代理防火墻往往會制約網絡速度����。動態(tài)配置MAC地址防止 IP盜用的技術在實現上很容易����,該方案有很強的可操作性,效果不錯����,但它無法檢查到盜用者。從本質上來說����,無論哪種方案,都是從 IP地址的角度出發(fā)解決 IP地址的盜用�,變 IP盜用問題為用戶身份認證問題����。
【參考文獻】
?���。?]華為3com網絡學院教材 華為3COM技術有限公司 編者
[2]計算機教育教學網絡中心
責任編輯:王利強
|
