[计算机]IP地址盗用技术及防范措施.docVIP

IP地址盗用技术及防范措施！ 一、IP地址盗用方法分析 IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响。IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1、静态修改IP地址 对于任何一个TCP/IP实现来 说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。 3、动态修改IP地址 对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。 目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。 这些机制都有一定的局限性，比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。 二、防范技术 针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 1、交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。 2、路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如： a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项； b.向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送； c.修改路由器的存取控制列表，禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。 路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 3、防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解