论文部分内容阅读
【摘要】 IP地址的盗用给网络管理带来了安全隐患,本文针对常见的 IP地址盗用方法,静态修改 IP地址、成对修改 IP-MAC地址;分析了 IP地址盗用原理;提出了有效的防范措施,静态 IP-MAC捆绑技术、防火墙与代理服务器相结合、动态配置 MAC地址这些方案能较好地解决校园网中 IP地址盗用问题。
【关键词】IP地址;MAC地址;IP地址盗用;动态 MAC地址
一、问题的引出
IP地址盗用指在局域网中,利用固定 IP地址直接接入到网络时,某些用户非法利用别人的合法 IP地址联网
通信的现象。盗用主要是为了逃避网络计费,或不暴露自身身份来实现其他说非常规目的而隐藏自己的身份。
校园网中,网络中心在规划网络时,为入网用户分配了相应的 IP地址,网络管理员在分配 IP地址资源时,分配的 IP地址对任何联网的主机是惟一的且均在规划的子网网段范围内,以保证网络通信的正常传输。但是由于 IP地址是一个逻辑地址,是一个用户可以任意设置的值,要限制用户修改 IP地址显然是不可能的。校园网中若有两台或多台主机 IP地址相同,操作系统就会提示"IP地址冲突"。出现了抢 IP地址的现象,用户不但无法访问网络,而且还会造成应用上的混乱,形成了较为严重的 IP地址盗用现象。这是一个让网络管理人员很头痛的问题。
二、IP地址盗用原理
IP地址盗用只可能发生在一个 IP子网内,通常一个 IP子网可能包含多个局域网。例如在图 1中,无论 IP子网如何划分,从布线的角度来说,校园网网络中心至少有一个核心交换机,从这个交换机的各个端口出来连接到学院各大楼上的二级交换机,二级交换机的端口连接的是各房间中的接线盒。由于每幢大楼交换机各端口均属于一个 IP子网,所以IP盗用只可能发生在一个 IP子网也即一幢大楼内。若用户因某种原因改动客户端 IP地址或更换网络适配器的属性,它将直接造成地址解析的响应混乱,容易引起 IP地址的冲突,威胁网络资源环境的安全运行。用非法 IP地址联网可能导致三种结果:
(1)该地址不在规划的网段内,网络通信中断;
(2)该 IP地址与正在联网运行的合法 IP地址发生资源冲突,无法链接;
前两种情况可被网络系统自动识别而屏蔽,导致运行中断,第三种情况操作系统不能有效判别。如果网络管理员未采取防范措施,第三种情况将涉及到注册用户的合法权益,危害很大。
三、IP地址盗用的常用手段
1.静态修改 IP地址
对于任何一个 TCP/IP实现来说,IP地址都是其用户配置的必选项。IP地址是逻辑值,所以无法限制用户对 IP地址的静态修改,如果用户在配置 TCP/IP或修改 TCP/IP配置时,使用的不是网络管理员分配的 IP地址,就形成了 IP地址盗用。
2.成对修改 IP-MAC地址
对于静态修改 IP地址的问题,网络管理员可以采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改 IP-MAC地址。MAC地址是设备的硬件地址,就是俗称的计算机网卡地址。每一个网卡的 MAC地址在所有以太网设备中必须是唯一的,它由 IEEE分配,是固化在网卡上的,一般不能随意改动。如果将一台计算机的 IP地址和 MAC地址都改为另外一台合法主机的 IP地址和 MAC地址,这就形成 IP-MAC地址成对盗用,这时静态路由技术就无能为力了。
四、IP地址盗用的防范手段
1.静态 IP-MAC捆绑技术
对于静态 IP地址盗用问题,可采用 IP地址与MAC地址的绑定来保证合法 IP地址的唯一性。如分配给用户的 IP是 192.168.0.100,用户的网卡MAC是 44-45-53-54-00-00,可由网络管理员在代理服务器端把用户上网的静态 IP地址与所记录的计算机的网卡地址进行捆绑,具体命令是:
ARP-s192.168.0.10044-45-53-54-00-00
其中网卡的 MAC地址可在Windows下用ipcomfig命令查到。这种方法只能解决静态地址的修改,有一定的局限性,当非法用户成对修改 IP和MAC地址,或在网卡变更频繁的环境中时,这种方法就无能为力了。
2.动态配置 MAC地址
在 TCP/IP协议中,IP地址属于网络层概念,是用来提供网络层以上的主机标识,在网络接口层(OSI数据链路层和物理层)IP地址毫无意义,因为在网络低层数据帧不是按 IP来传送的,而是按以太网 MAC地址来分辨不同的主机的。
MAC地址是协议的底层地址,只出现在数据链路层。数据链路层数据帧格式为:
由此可知任一台主机的MAC地址不会在本网络以外的物理网络中起作用。
每一个网卡的 MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配 是固化在网卡上的,一般不能随意改动,但是在操作系统实现时,基于IP 软件效率的考虑, 系统一般并不每收发一帧,都直接从网络适配器中读取 MAC地址,而是在系统特定的缓冲区中获取 MAC地址。通过以上分析可以知道,动态修改 MAC地址,不会影响到该主机所在物理网络以外的其他网络。因此可以采用动态配置 MAC的方法来防止 IP地址的盗用。
五、结束语
以上几种方法各有优缺点,采用路由器将网卡MAC地址与 IP地址绑定的方法,只能解决静态地址的修改,对于成对修改 IP-MAC地址却无能为力;代理服务器与防火墙相结合的办法,采用统一身份认证,代理防火墙往往会制约网络速度。动态配置MAC地址防止 IP盗用的技术在实现上很容易,该方案有很强的可操作性,效果不错,但它无法检查到盗用者。从本质上来说,无论哪种方案,都是从 IP地址的角度出发解决 IP地址的盗用,变 IP盗用问题为用户身份认证问题。
【参考文献】
[1]华为3com网络学院教材 华为3COM技术有限公司 编者
[2]计算机教育教学网络中心
责任编辑:王利强
【关键词】IP地址;MAC地址;IP地址盗用;动态 MAC地址
一、问题的引出
IP地址盗用指在局域网中,利用固定 IP地址直接接入到网络时,某些用户非法利用别人的合法 IP地址联网
通信的现象。盗用主要是为了逃避网络计费,或不暴露自身身份来实现其他说非常规目的而隐藏自己的身份。
校园网中,网络中心在规划网络时,为入网用户分配了相应的 IP地址,网络管理员在分配 IP地址资源时,分配的 IP地址对任何联网的主机是惟一的且均在规划的子网网段范围内,以保证网络通信的正常传输。但是由于 IP地址是一个逻辑地址,是一个用户可以任意设置的值,要限制用户修改 IP地址显然是不可能的。校园网中若有两台或多台主机 IP地址相同,操作系统就会提示"IP地址冲突"。出现了抢 IP地址的现象,用户不但无法访问网络,而且还会造成应用上的混乱,形成了较为严重的 IP地址盗用现象。这是一个让网络管理人员很头痛的问题。
二、IP地址盗用原理
IP地址盗用只可能发生在一个 IP子网内,通常一个 IP子网可能包含多个局域网。例如在图 1中,无论 IP子网如何划分,从布线的角度来说,校园网网络中心至少有一个核心交换机,从这个交换机的各个端口出来连接到学院各大楼上的二级交换机,二级交换机的端口连接的是各房间中的接线盒。由于每幢大楼交换机各端口均属于一个 IP子网,所以IP盗用只可能发生在一个 IP子网也即一幢大楼内。若用户因某种原因改动客户端 IP地址或更换网络适配器的属性,它将直接造成地址解析的响应混乱,容易引起 IP地址的冲突,威胁网络资源环境的安全运行。用非法 IP地址联网可能导致三种结果:
(1)该地址不在规划的网段内,网络通信中断;
(2)该 IP地址与正在联网运行的合法 IP地址发生资源冲突,无法链接;
前两种情况可被网络系统自动识别而屏蔽,导致运行中断,第三种情况操作系统不能有效判别。如果网络管理员未采取防范措施,第三种情况将涉及到注册用户的合法权益,危害很大。
三、IP地址盗用的常用手段
1.静态修改 IP地址
对于任何一个 TCP/IP实现来说,IP地址都是其用户配置的必选项。IP地址是逻辑值,所以无法限制用户对 IP地址的静态修改,如果用户在配置 TCP/IP或修改 TCP/IP配置时,使用的不是网络管理员分配的 IP地址,就形成了 IP地址盗用。
2.成对修改 IP-MAC地址
对于静态修改 IP地址的问题,网络管理员可以采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改 IP-MAC地址。MAC地址是设备的硬件地址,就是俗称的计算机网卡地址。每一个网卡的 MAC地址在所有以太网设备中必须是唯一的,它由 IEEE分配,是固化在网卡上的,一般不能随意改动。如果将一台计算机的 IP地址和 MAC地址都改为另外一台合法主机的 IP地址和 MAC地址,这就形成 IP-MAC地址成对盗用,这时静态路由技术就无能为力了。
四、IP地址盗用的防范手段
1.静态 IP-MAC捆绑技术
对于静态 IP地址盗用问题,可采用 IP地址与MAC地址的绑定来保证合法 IP地址的唯一性。如分配给用户的 IP是 192.168.0.100,用户的网卡MAC是 44-45-53-54-00-00,可由网络管理员在代理服务器端把用户上网的静态 IP地址与所记录的计算机的网卡地址进行捆绑,具体命令是:
ARP-s192.168.0.10044-45-53-54-00-00
其中网卡的 MAC地址可在Windows下用ipcomfig命令查到。这种方法只能解决静态地址的修改,有一定的局限性,当非法用户成对修改 IP和MAC地址,或在网卡变更频繁的环境中时,这种方法就无能为力了。
2.动态配置 MAC地址
在 TCP/IP协议中,IP地址属于网络层概念,是用来提供网络层以上的主机标识,在网络接口层(OSI数据链路层和物理层)IP地址毫无意义,因为在网络低层数据帧不是按 IP来传送的,而是按以太网 MAC地址来分辨不同的主机的。
MAC地址是协议的底层地址,只出现在数据链路层。数据链路层数据帧格式为:
由此可知任一台主机的MAC地址不会在本网络以外的物理网络中起作用。
每一个网卡的 MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配 是固化在网卡上的,一般不能随意改动,但是在操作系统实现时,基于IP 软件效率的考虑, 系统一般并不每收发一帧,都直接从网络适配器中读取 MAC地址,而是在系统特定的缓冲区中获取 MAC地址。通过以上分析可以知道,动态修改 MAC地址,不会影响到该主机所在物理网络以外的其他网络。因此可以采用动态配置 MAC的方法来防止 IP地址的盗用。
五、结束语
以上几种方法各有优缺点,采用路由器将网卡MAC地址与 IP地址绑定的方法,只能解决静态地址的修改,对于成对修改 IP-MAC地址却无能为力;代理服务器与防火墙相结合的办法,采用统一身份认证,代理防火墙往往会制约网络速度。动态配置MAC地址防止 IP盗用的技术在实现上很容易,该方案有很强的可操作性,效果不错,但它无法检查到盗用者。从本质上来说,无论哪种方案,都是从 IP地址的角度出发解决 IP地址的盗用,变 IP盗用问题为用户身份认证问题。
【参考文献】
[1]华为3com网络学院教材 华为3COM技术有限公司 编者
[2]计算机教育教学网络中心
责任编辑:王利强