校园网内IP地址盗用技术及防范措施.docVIP

校园网内IP地址盗用技术及防范措施 　　摘要:IP地址盗用行为是目前校园网管理所面对的一大难题。该文以IP地址盗用的概念及常见盗用方法为出发点,着重介绍了如何针对不同的盗用方式实施有效的防范措施,并对各种防盗措施进行了适用性分析。 　　关键词:校园网;IP地址;盗用技术;防范技术 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)13-3577-02 　　 　　1 引言 　　Internet是建立在TCP/IP协议上的互联网络。在TCP/IP网络环境下, 每个主机都被分配了一个IP地址。IP地址是标识主机的一种逻辑地址, 用户可以任意设置和修改。如有两台或多台主机IP地址相同, 则两台或多台主机将相互报警, 且无法上网, 造成网络混乱。 　　IP地址盗用是指盗用者将本机的IP地址修改为本子网内的另外一个合法用户的IP地址或未分配的IP地址, 然后利用该IP地址去访问网络, 以达到非法使用网络资源或隐藏身份从事非法活动的行为。 　　目前在各校园网内,IP地址盗用行为非常常见,许多“不法之徒”利用这种技术来进行网络欺骗。IP地址的盗用行为不但会侵害网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。 　　 　　2 常见IP地址盗用方法剖析 　　IP地址是在网际范围标识主机的一种逻辑地址,但不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。所以,TCP/IP协议族提供了地址解析协议(ARP)来实现IP地址到物理地址(即MAC地址)的映射。 　　每一台主机都设有一个 ARP 高速缓存(ARP cache),里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就可查出其对应的硬件地址,再将此硬件地址写入MAC帧,然后通过局域网将该MAC帧发往此硬件地址。 　　如果某台主机的IP地址被非法占用,或者受到其他虚假IP数据报的欺骗,其ARP映射表里的映射关系就会出现紊乱,无法正常接收其他主机发来的数据,或者接收到虚假的数据信息,因而出现无法上网的情况。目前,有如下几种常见的IP地址盗用方法。 　　2.1 静态修改IP地址 　　由于IP地址是一个协议逻辑地址,是一个需要用户设置并可以随时修改的值,因此无法限制用户对于IP地址的静态修改。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就会形成IP地址盗用,并会因为IP地址冲突造成相关主机上不了网。除非使用动态主机分配协议(DHCP)服务器分配IP地址,并在DHCP服务器上将IP地址与MAC地址绑定,限制用户设置静态IP。但这种方法会带来许多管理上的不便。 　　2.2 成对修改IP - MAC地址 　　对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定,在网络转发设备上建立IP-MAC地址映射表。对此,IP盗用技术又有了新的发展,出现了成对修改IP-MAC地址的技术。 　　MAC地址是网络设备的硬件地址,对于以太网来说,也就是网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,厂家在生产网卡时,固化在网卡上,一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。若将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那么静态路由技术就无能为力了。 　　另外, 对于那些MAC地址不能直接修改的网卡来说, 用户还可以采用软件的办法来修改MAC地址, 即通过修改底层网络软件达到欺骗上层网络软件的目的。 　　2.3 动态修改IP地址 　　动态修改IP地址的盗用技术也就是我们常说的IP伪地址欺骗。网络数据包的转发,是根据数据包中的IP地址进行的,只要能通过一定的方法,把数据包的非法IP地址修改为合法的IP地址,非法的数据包就会像合法的数据包一样被路由转发。修改数据包的IP地址并不是一件很困难的事情,只需要通过SOCKET编程,在发送数据包时,动态修改自己的非法IP地址为合法IP地址,就能达到IP欺骗的目的。 　　 　　3 常见IP地址防盗技术 　　针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。 　　3.1 路由器隔离技术 　　采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP(Simpl