校园网IP地址盗用防范措施.docVIP

校园网IP地址盗用防范措施 　　【摘 要】 校园网IP 地址的盗用，破坏了正常的网络运行和应用，因此解决IP 地址盗用问题是保证校园网安全运行的首要条件。本文分析了常用的IP盗用技术和防范措施，并结合我校网络现状，提出几种可行的IP防盗方案，以此来解决我校IP 地址盗用与防范的一系列问题。 　　【关键词】 校园网络 IP地址 盗用防范 　　进入信息时代，许多大中专院校都组建了各自的校园网。校园网络中心在规划自己的内部网段时，为用户分配并制定了相应的网络IP地址资源，以保证通信数据的正常传输。在校园网络上，任何用户使用未经授权的IP地址的行为称为IP地址盗用，这会造成校园网络的安全隐患、网络资源损耗及IP地址冲突等问题。目前我校实现了行政楼、教学楼等区域的网络建设，随着校园网信息点的日益增多，IP分配方式及管理问题日益突出。针对校园网络的拓朴结构和规模、用户数量及应用状况，采用何种IP分配方式直接影响到校园网络管理的安全性。另一方面，由于我校开展了校企合作项目，加上年轻人对新鲜事物强烈的好奇心，常使用未经授权的IP地址，所以IP地址的防盗与防范措施成了首要问题。 　　1 IP地址盗用的基本途径及防范措施 　　1.1 IP地址盗用的基本途径。 　　1.1.1 静态修改IP地址。网络中的IP地址通常采用静态和动态分配两种方法，如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是网络管理中心分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改；而经过DHCP服务器动态分配的IP地址，网络管理人员无法确切的知道该IP的实际用户，又会带来其它管理问题。由于我校目前主要采用的是手动分配IP地址，以及划分了大量VLAN，所以使用此种方式盗用IP地址、盗用网络资源是最主要的。修改IP地址示意图如图1。 　　图1：手动修改IP地址 　　1.1.2 成对修改MAC地址和IP地址。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是由国际IEEE组织分配，是固化在网卡上的，一般不能随意改动。但现在的一些兼容网卡，其MAC地址可以使用网卡配置程序或者软件进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术防止IP盗用就无能为力了。手动修改MAC地址示意图如图2。 　　图2：使用万能软件进行MAC地址修改 　　1.1.3 IP电子欺骗。IP欺骗就是指伪造某台主机的IP地址的技术，通常需要用编程来实现。通过使用SOCK-ET编程或者使用“黑客”工具，发送带有假冒源IP地址的IP数据包，绕过上层网络软件，达到正常数据通信。当前，借助一些“黑客”工具就可以实现IP动态修改，即对于普通用户来说，达到IP欺骗并不是一件很困难的事。实施IP欺骗示意图如图3。 　　图3：使用软件IpMap进行IP欺骗 　　1.2 基本防范措施。 　　1.2.1 交换机控制。解决lP地址盗用首先推荐使用的是应用交换机进行控制，即在TCP/IP第二层（数据链路层）进行控制。使用交换机提供的端口的单位地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机访问都被拒绝。通过交换机端口管理，可以在实际使用中迅速发现并阻断IP地址的盗用行为，尤其是解决了IP-MAC成对盗用的问题，同时也不影响网络的运行效率。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在高端交换机相对昂贵的今天并不是一个能够普遍采用的解决方案。 　　1.2.2 路由器隔离。路由器隔离具体的实现方法有两种：①使用静态路由表，即在路由器中建立一个MAC 地址与IP地址的对应表，只有“MAC-IP 地址对”合法匹配的机器才能得到正确的ARP应答；②通过SNMP协议定期扫描网络各路由器ARP表，获得当前IP-MAC对照关系，与存储的合法IP-MAC地址比较，不一致者即为非法访问。路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 　　1.2.3 防火墙与代理服务器。使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题，这是一种应用层面上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令，即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是网络的应用。合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无帐户的用户即使盗用IP，也没有用户名和密码，不能使用外部