網(wǎng)絡(luò)技師論文

1、網(wǎng)絡(luò)安全I(xiàn)P盜用的分析與解決I 摘 要隨著學(xué)校規(guī)模的不斷發(fā)展，計(jì)算機(jī)機(jī)房越來越多，對(duì)于機(jī)房管理的工作者來說工作量也越來越大。近年來，雖然機(jī)房制度明文規(guī)定學(xué)生不允許私自更改IP地址,但是機(jī)房還是經(jīng)常出現(xiàn)IP地址更改的情況，教師控制電腦在講臺(tái)上課，部分學(xué)生還是在下面玩游戲，甚至有個(gè)別學(xué)生看些不健康的東西,嚴(yán)重影響了課堂秩序,對(duì)教學(xué)效果產(chǎn)生了極其壞的影響。本文主要針對(duì)如何防止局域網(wǎng)內(nèi)IP更改的問題進(jìn)行論述。IP地址更改是指學(xué)生在未經(jīng)教師同意的情況下擅自更改IP地址，使得教師機(jī)不能控制學(xué)生機(jī)，達(dá)到不能正常上課的目的，給老師的教學(xué)，其他學(xué)生的正常學(xué)習(xí)環(huán)境帶來了極大的不良影響。為了更好地保護(hù)教師的正常上課

2、，其他學(xué)生的合法權(quán)益和機(jī)房的網(wǎng)絡(luò)安全，本文詳細(xì)介紹了常見的IP盜用方法（靜態(tài)修改IP地址，成對(duì)修改IP-MAC地址，動(dòng)態(tài)修改IP地址），并進(jìn)一步比較分析各種方法，針對(duì)各種盜用方法給出相應(yīng)防范策略（路由器隔離，交換機(jī)控制，防火墻與代理服務(wù)器）。并以CISCO路由和交換機(jī)為例進(jìn)行安全設(shè)置。關(guān)鍵詞：網(wǎng)絡(luò)安全，IP地址盜用，防范策略一、緒 論Internet是一個(gè)開放的、互操作的通信系統(tǒng)，其基礎(chǔ)協(xié)議是TCP/IP協(xié)議。Internet協(xié)議地址（簡稱IP地址）是TCP/IP網(wǎng)絡(luò)中可尋址設(shè)施的唯一邏輯標(biāo)識(shí)，它是一個(gè)32位的二進(jìn)制無符號(hào)數(shù)。對(duì)于Internet上的任一主機(jī)，它都必須有一個(gè)唯一的IP地址。IP

3、地址由InterNIC及其下級(jí)授權(quán)機(jī)構(gòu)分配，沒有分配到自己的IP地址的主機(jī)不能夠直接連接到Internet。隨著網(wǎng)絡(luò)的普及，IP地址的消耗非常快，據(jù)權(quán)威機(jī)構(gòu)預(yù)測，現(xiàn)行IPv4版本的IP只夠用到2009年?，F(xiàn)在，企業(yè)、機(jī)構(gòu)、個(gè)人要申請(qǐng)到足夠的IP地址都非常困難，作為一種稀缺資源，IP地址的盜用就成為很常見的問題。特別是在按IP流量計(jì)費(fèi)的CERNET網(wǎng)絡(luò)，由于費(fèi)用是按IP地址進(jìn)行統(tǒng)計(jì)的，許多用戶為了逃避網(wǎng)絡(luò)計(jì)費(fèi)，用IP地址盜用的辦法，將網(wǎng)絡(luò)流量計(jì)費(fèi)轉(zhuǎn)嫁到他人身上。另外，一些用戶因?yàn)橐恍┎豢筛嫒说哪康模捎肐P地址盜用的方式來逃避追蹤，隱藏自己的身份。IP地址盜用侵害了Internet網(wǎng)絡(luò)的正常用戶

4、的權(quán)利，并且給網(wǎng)絡(luò)計(jì)費(fèi)、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運(yùn)行帶來了巨大的負(fù)面影響，因此研究IP地址盜用的問題，找出有效的防范措施，是當(dāng)前的一個(gè)緊迫課題。二、計(jì)算機(jī)網(wǎng)絡(luò)安全概述2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全含義計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上

5、傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。2.2計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因1. 計(jì)算機(jī)網(wǎng)絡(luò)安全的主要缺陷：(1) 網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面。由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。(2) 網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)的需求沒有引起足夠的重視，設(shè)計(jì) 和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡工作站選配不當(dāng)

6、導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。(3) 缺乏安全策略。許多站點(diǎn)在防火墻配置上無意識(shí)的擴(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。(4) 訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)。(5) 管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)，隨之任之。2. 網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：(1) TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。(2) 網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間技術(shù)。它是由無數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和

7、另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái) 處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。(3) 易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。(4) 缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。許多入侵者就是利用網(wǎng)絡(luò)的安全缺陷，分析其脆弱性所在，進(jìn)行網(wǎng)絡(luò)非法活動(dòng)。而在小型局域網(wǎng)普遍的今天，經(jīng)常出現(xiàn)的網(wǎng)

8、絡(luò)安全問題就是IP的非法使用。2.3 IP使用與網(wǎng)絡(luò)安全在當(dāng)今這個(gè)信息時(shí)代網(wǎng)絡(luò)已經(jīng)涉及現(xiàn)代生活的方方面面，這對(duì)于網(wǎng)絡(luò)管理員來講，加強(qiáng)網(wǎng)絡(luò)安全管理工作，無疑是一件重要的事情，而其中解決IP地址盜用問題，又是網(wǎng)絡(luò)管理工作中的一件非常棘手的事情。隨著Internet的迅速發(fā)展，許多大專院校、集團(tuán)公司和事業(yè)單位等都已組建自己的局域網(wǎng)，再用專線方式或光纖接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)管理部門在規(guī)劃自己的內(nèi)部網(wǎng)段時(shí)，為用戶分配并制定了相應(yīng)的網(wǎng)絡(luò)IP地址資源，以保證通信數(shù)據(jù)的正常傳輸。在實(shí)際應(yīng)用中，用戶因某種原因有改動(dòng)客戶端的IP地址和更換網(wǎng)絡(luò)適配器的可能性。這種改動(dòng)有時(shí)具有隨意性，尤其當(dāng)這種改動(dòng)不在網(wǎng)絡(luò)管理員的監(jiān)控之內(nèi)

9、時(shí)，將直接影響網(wǎng)絡(luò)IP地址的管理1。網(wǎng)絡(luò)管理部門在規(guī)劃自己的內(nèi)部網(wǎng)段時(shí)，為用戶分配并制定了相應(yīng)的網(wǎng)絡(luò)IP地址資源，以保證通信數(shù)據(jù)的正常傳輸。網(wǎng)絡(luò)管理員在配置IP地址資源時(shí)，應(yīng)滿足下面兩個(gè)方面： (1) 分配的地址應(yīng)在規(guī)劃的子網(wǎng)網(wǎng)段范圍內(nèi)。 (2) 分配的IP地址對(duì)任何聯(lián)網(wǎng)的主機(jī)必須是唯一的。在局域網(wǎng)中，網(wǎng)絡(luò)管理員負(fù)責(zé)管理用戶IP地址的分配，通過正確地注冊(cè)后才被認(rèn)為是合法的用戶。但由于Windows系統(tǒng)決定終端用戶可以自由修改IP地址的設(shè)置。改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可導(dǎo)致以下結(jié)果2：(1) 非法的IP地址；即IP地址不在規(guī)劃的局域網(wǎng)范圍之內(nèi)。(2) 重復(fù)的IP地址；與已經(jīng)分配且正在局域網(wǎng)

10、運(yùn)行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)。(3) 盜用合法用戶的IP地址。無論哪種對(duì)IP的非法使用都會(huì)造成盜用的嫌疑，都會(huì)導(dǎo)致網(wǎng)絡(luò)不能正常運(yùn)行及用戶的合法權(quán)益受到侵害。如果不對(duì)網(wǎng)絡(luò)采取防范措施，將會(huì)導(dǎo)致更大的安全隱患。三、IP概述3.1 IP地址 1. IP地址基本概念I(lǐng)nternet依靠TCP/IP協(xié)議，在全球范圍內(nèi)實(shí)現(xiàn)不同硬件結(jié)構(gòu)、不同操作系統(tǒng)、不同網(wǎng)絡(luò)系統(tǒng)的互聯(lián)。在Internet上，每一個(gè)節(jié)點(diǎn)都依靠唯一的IP地址互相區(qū)分和相互聯(lián)系。IP地址是一個(gè)32位二進(jìn)制數(shù)的地址，由4個(gè)8位字段組成，每個(gè)字段之間用點(diǎn)號(hào)隔開，用于標(biāo)識(shí)TCP/IP宿主機(jī)。 每個(gè)IP地址都包含兩部分：網(wǎng)絡(luò)ID

11、和主機(jī)ID。網(wǎng)絡(luò)ID標(biāo)識(shí)在同一個(gè)物理網(wǎng)絡(luò)上的所有宿主機(jī)，主機(jī)ID標(biāo)識(shí)該物理網(wǎng)絡(luò)上的每一個(gè)宿主機(jī)，于是整個(gè)Internet上的每個(gè)計(jì)算機(jī)都依靠各自唯一的IP地址來標(biāo)識(shí)。 IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ)，它是如此重要，每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)無權(quán)自行設(shè)定IP地址，有一個(gè)統(tǒng)一的機(jī)構(gòu)IANA負(fù)責(zé)對(duì)申請(qǐng)的組織分配唯一的網(wǎng)絡(luò)ID，而該組織可以對(duì)自己的網(wǎng)絡(luò)中的每一個(gè)主機(jī)分配一個(gè)唯一的主機(jī)ID，正如一個(gè)單位無權(quán)決定自己在所屬城市的街道名稱和門牌號(hào)，但可以自主決定本單位內(nèi)部的各個(gè)辦公室編號(hào)一樣。 2. 靜態(tài)IP與動(dòng)態(tài)IP IP地址是一個(gè)32位二進(jìn)制數(shù)的地址，理論上講，有大約40億（2的32次方）個(gè)可能的地址

12、組合，這似乎是一個(gè)很大的地址空間。實(shí)際上，根據(jù)網(wǎng)絡(luò)ID和主機(jī)ID的不同位數(shù)規(guī)則，可以將IP地址分為A（7位網(wǎng)絡(luò)ID和24位主機(jī)ID）、B（14位網(wǎng)絡(luò)ID和16位主機(jī)ID）、C（21位網(wǎng)絡(luò)ID和8位主機(jī)ID）三類。由于歷史原因和技術(shù)發(fā)展的差異，A類地址和B類地址幾乎分配殆盡，目前能夠供全球各國各組織分配的只有C類地址。所以說IP地址是一種非常重要的網(wǎng)絡(luò)資源。由于現(xiàn)在版本的IP地址資源有限，有些人就會(huì)有意或者無意的使用別人的IP地址，造成了IP盜用的嫌疑。3.2 IP自身的不安全性及其功能要認(rèn)識(shí)IP盜用，必須了解一下TCP/IP協(xié)議的脆弱性3。當(dāng)初Internet只是美國國家安全部門的內(nèi)部聯(lián)系網(wǎng)絡(luò)

13、，他們?cè)谥贫═CP/IP協(xié)議的時(shí)候，網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)沒有現(xiàn)今強(qiáng)大。也許是因?yàn)楫?dāng)時(shí)網(wǎng)絡(luò)軟硬件設(shè)備的局限性，設(shè)計(jì)該協(xié)議時(shí)只著重考慮了網(wǎng)絡(luò)的速度，而對(duì)網(wǎng)絡(luò)的安全性沒做太多的考慮，甚至根本沒考慮。也許是當(dāng)時(shí)開發(fā)TCP/IP協(xié)議的人根本沒有預(yù)料互聯(lián)網(wǎng)會(huì)發(fā)展如此之迅速，所以TCP/IP協(xié)議在安全設(shè)計(jì)上先天不足，這使得現(xiàn)今的網(wǎng)絡(luò)非常不安全。而IP是TCP/IP協(xié)議組中非面向連接、非可靠傳輸?shù)木W(wǎng)絡(luò)協(xié)議。所以IP自身存在著不安全因素，這是與生俱來的，不可消除的，只能用防御措施來減小到最小程度。IP的基本功能是提供數(shù)據(jù)傳輸、包編址、包尋徑、分段和簡單的包錯(cuò)誤檢測。在網(wǎng)絡(luò)環(huán)境中發(fā)送數(shù)據(jù)包時(shí)，它不提供保證可靠性的任何機(jī)制，I

14、P只是發(fā)送數(shù)據(jù)包，并且保證它的完整性。如果不能收到完整的IP數(shù)據(jù)包，IP會(huì)向源地址發(fā)送一個(gè)ICMP(網(wǎng)際控制消息協(xié)議，它用于根據(jù)網(wǎng)絡(luò)條件保證數(shù)據(jù)傳送的協(xié)議，主要是向IP層或其它層發(fā)送不同的錯(cuò)誤信息)，希望重新處理，然而這個(gè)包也可能丟失。因?yàn)镮P是非面向連接的，所以不保持任何連接狀態(tài)的信息。由此可以看出，可以對(duì)IP堆棧進(jìn)行修改，制造任意滿足要求的源地址和目標(biāo)地址，從而形成IP欺騙。IP欺騙是建立在對(duì)目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對(duì)方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。IP編址功能，可以成功地將數(shù)據(jù)傳輸?shù)秸_的網(wǎng)絡(luò)

15、或者子網(wǎng)。每個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)具有一個(gè)32位的IP地址，它和48位的MAC地址一起協(xié)作，完成網(wǎng)絡(luò)通信。該地址不但標(biāo)識(shí)了一個(gè)既定的網(wǎng)絡(luò)，而且還指明了是該網(wǎng)絡(luò)上的哪個(gè)結(jié)點(diǎn)。 四、如何解決局域網(wǎng)內(nèi)盜用IP的問題盜用IP應(yīng)該是只能盜用本網(wǎng)段的IP。原因：一個(gè)最簡單的網(wǎng)段，也要有一個(gè)路由器作為出口。在路由器的配置中，要指定這個(gè)網(wǎng)段的網(wǎng)絡(luò)地址和掩碼。如果這個(gè)網(wǎng)段的機(jī)器使用了其它網(wǎng)段的IP，則路由器不認(rèn)為這個(gè)IP屬于它的網(wǎng)段，所以不給轉(zhuǎn)發(fā)。如果局域網(wǎng)內(nèi)若有兩臺(tái)主機(jī)的IP地址相同，則兩臺(tái)主機(jī)將相互報(bào)警，且無法上網(wǎng)，造成網(wǎng)絡(luò)混亂。在局域網(wǎng)內(nèi)任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP盜用，因此，IP盜用成了網(wǎng)管人員最頭疼

16、的問題。當(dāng)幾百臺(tái)、甚至上千臺(tái)主機(jī)同時(shí)上網(wǎng)，如何防止IP地址盜用問題是很重要的，是維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的必要技術(shù)手段4。4.1 IP地址非法使用的動(dòng)機(jī)分析IP地址的非法使用問題，不是普通的技術(shù)問題，而是一個(gè)管理問題。只有找到其存在的理由，根除其存在的基礎(chǔ)，才可能從根本上杜絕其發(fā)生。分析非法使用者的動(dòng)機(jī)有以下幾種情況：(1) 干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。(2) 企圖擁有被非法使用的IP地址所擁有的特權(quán)。最典型的就是因特網(wǎng)的訪問權(quán)限。(3) 因機(jī)器重新安裝、臨時(shí)部署等原因，無意中造成的非法使用。4.2 IP地址盜用方法分析 IP地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。在局域網(wǎng)中使用MAC（

17、物理地址）作為尋址方式，為了讓報(bào)文在物理網(wǎng)上傳輸，必須知道彼此之間的物理地址。ARP協(xié)議是完成IP地址轉(zhuǎn)換成MAC地址的協(xié)議。在局域網(wǎng)上通過每個(gè)站點(diǎn)的網(wǎng)絡(luò)接口卡發(fā)送和接受數(shù)據(jù)。網(wǎng)絡(luò)接口卡（NIC）的物理地址由MAC決定。每個(gè)NIC廠家的MAC都必須嚴(yán)格遵守IEEE組織的規(guī)定，保證世界上任何NIC的MAC都是獨(dú)一無二的。因此，MAC固化在每個(gè)NIC中，不可更改。 在以太網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)傳輸中，每個(gè)數(shù)據(jù)幀的頭部含有MAC地址，以太網(wǎng)交換設(shè)備依據(jù)數(shù)據(jù)幀頭中的MAC源地址和MAC目的地址實(shí)現(xiàn)數(shù)據(jù)幀的交換和傳輸。在實(shí)際應(yīng)用中，用戶因某種原因有改動(dòng)客戶端的IP地址和更換網(wǎng)絡(luò)適配器的可能性。這種改動(dòng)有時(shí)具有隨意性

18、，尤其當(dāng)這種改動(dòng)不在網(wǎng)絡(luò)管理員的監(jiān)控之內(nèi)時(shí)，將直接影響網(wǎng)絡(luò)IP地址的管理。為了有效地防止和杜絕這類問題的發(fā)生，保證IP地址的唯一性，網(wǎng)絡(luò)管理員必須建立規(guī)范的IP地址分配表、IP地址和硬件地址（MAC）登記表，并且做到相關(guān)信息備案。盜用IP地址是一個(gè)經(jīng)常存在的問題，它不需要編程，只要在主機(jī)上作適當(dāng)?shù)呐渲眉纯?。?dāng)一臺(tái)主機(jī)使用不是分配給自己的IP地址時(shí)，就有盜用IP地址的嫌疑了。如果在一個(gè)子網(wǎng)中，具有合法IP地址的主機(jī)未開機(jī)，盜用者就可以使用這個(gè)IP，唯一留下的痕跡就是物理地址。IP地址的盜用方法多種多樣，其常用方法主要有以下幾種：1. 靜態(tài)修改IP地址 對(duì)于任何一個(gè)TCP/IP實(shí)現(xiàn)來說，IP地址都

19、是其用戶配置的必選項(xiàng)。如果用戶在配置TCP/IP 或修改TCP/IP配置時(shí)，使用的不是授權(quán)機(jī)構(gòu)分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，是一個(gè)需要用戶設(shè)置的值，因此無法限制用戶對(duì)于IP地址的靜態(tài)修改，除非使用DHCP服務(wù)器分配IP地址，但又會(huì)帶來其它管理問題。 2. 成對(duì)修改IP-MAC地址 對(duì)于靜態(tài)修改IP地址的問題，現(xiàn)在很多單位都采用靜態(tài)路由技術(shù)加以解決。針對(duì)靜態(tài)路由技術(shù)，IP盜用技術(shù)又有了新的發(fā)展，即成對(duì)修改IP-MAC地址。MAC地址是設(shè)備的硬件地址，對(duì)于我們常用的以太網(wǎng)來說，即俗稱的計(jì)算機(jī)網(wǎng)卡地址。每一個(gè)網(wǎng)卡的MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由IE

20、EE分配，是固化在網(wǎng)卡上的，一般不能隨意改動(dòng)。但是，現(xiàn)在的一些兼容網(wǎng)卡，其MAC地址可以使用網(wǎng)卡配置程序來進(jìn)行修改。如果將一臺(tái)計(jì)算機(jī)的IP地址和MAC地址都改為另外一臺(tái)合法主機(jī)的IP地址和MAC地址，那靜態(tài)路由技術(shù)5就無能為力了。 另外，對(duì)于那些MAC地址不能直接修改的網(wǎng)卡來說，用戶還可以采用軟件的辦法來修改MAC地址，即通過修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的。 3. 動(dòng)態(tài)修改IP地址 對(duì)于一些黑客高手來說，直接編寫程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，繞過上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)修改自己的IP地址（或IP-MAC地址對(duì)），達(dá)到IP欺騙并不是一件很困難的事。 4.3 防范技術(shù)研究 目前發(fā)現(xiàn)IP地址盜用比較

21、常用的方法是，通過SNMP協(xié)議(Simple Network Management protocol，簡單網(wǎng)絡(luò)管理協(xié)議)定期掃描網(wǎng)絡(luò)各路由器的ARP（Address Resolution Protocol，地址解析）表，獲得當(dāng)前正在使用的IP地址以及IP-MAC對(duì)照關(guān)系，與合法的IP地址表，IP-MAC表對(duì)照，如果不一致則有非法訪問行為發(fā)生。另外，從用戶的故障報(bào)告(盜用正在使用的IP地址會(huì)出現(xiàn)MAC地址沖突的提示)也可以發(fā)現(xiàn)IP地址的盜用行為。在此基礎(chǔ)上，網(wǎng)絡(luò)專家采用了各種防范技術(shù)，現(xiàn)在比較通常的防范技術(shù)主要是根據(jù)TCP/IP的層次結(jié)構(gòu)，在不同的層次采用不同的方法來防止IP地址的盜用6。 1.

22、 路由器隔離 采用路由器隔離的辦法其主要依據(jù)是，MAC地址作為以太網(wǎng)卡地址是全球唯一的不能改變的。對(duì)于非法訪問，有幾種辦法可以制止，如： (1) 使用正確的IP與MAC地址映射覆蓋非法的IP-MAC表項(xiàng)。 (2) 向非法訪問的主機(jī)發(fā)送ICMP不可達(dá)的欺騙包，干擾其數(shù)據(jù)發(fā)送。 (3) 修改路由器的存取控制列表，禁止非法訪問。 路由器隔離的另外一種實(shí)現(xiàn)方法是使用靜態(tài)ARP表，即路由器中IP與MAC地址的映射不通過ARP來獲得，而采用靜態(tài)設(shè)置。這樣，當(dāng)非法訪問的IP地址和MAC地址不一致時(shí)，路由器根據(jù)正確的靜態(tài)設(shè)置轉(zhuǎn)發(fā)的幀就不會(huì)到達(dá)非法主機(jī)。以CISCO7609路由器為例，設(shè)置的方法是：Telnet

23、 192.164.1.34 ；路由器的IP地址 User Access Verification Password: cy7609>en Password: cy7609#config t Enter configuration commands, one per line. End with CNTL/Z. cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa cy7609(config)#arp 202.198.156.

24、146 00E0.4C6B.7FCC arpa cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa cy7609(config)#exit cy7609#write Building configuration. OK cy7609# 因此在路由器上建立了一個(gè)靜態(tài)的ARP表，合法的IP地址和MAC建立了一一對(duì)應(yīng)的關(guān)系，使未經(jīng)授權(quán)的IP無法通過路由器轉(zhuǎn)發(fā)數(shù)據(jù)。經(jīng)過IP地址和MAC地址的綁定，解決了內(nèi)聯(lián)網(wǎng)IP地址的盜用問題。2. 交換機(jī)控制 盡管采取了IP地址與MAC地址的綁定措施，但如果對(duì)Windows98或Windows2000有點(diǎn)了解

25、的人知道，在系統(tǒng)的“控制面板網(wǎng)絡(luò)網(wǎng)卡屬性高級(jí)Network Address設(shè)置”中，用戶可以隨意修改主機(jī)的MAC地址。這意味著用戶可以同時(shí)盜用合法用戶的IP及MAC地址。如果將一臺(tái)計(jì)算機(jī)的IP地址和MAC地址都改為另外一臺(tái)合法主機(jī)的IP地址和MAC地址，那靜態(tài)路由技術(shù)就無能為力了。那我們可以用交換機(jī)控制機(jī)制來解決這個(gè)問題。 交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備，它工作在數(shù)據(jù)鏈路層上，基于MAC地址來轉(zhuǎn)發(fā)和過濾數(shù)據(jù)包。因此，每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中。通過SNMP(Simple Network

26、Management protocol)管理站與各個(gè)交換機(jī)的SNMP代理通信可以獲取每個(gè)交換機(jī)保存的與端口對(duì)應(yīng)的MAC地址表，從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對(duì)應(yīng)表。將實(shí)時(shí)獲得的Switch-Port-MAC對(duì)應(yīng)表與事先獲得的合法的完整表格對(duì)照，就可以快速發(fā)現(xiàn)交換機(jī)端口是否出現(xiàn)非法MAC地址，進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現(xiàn)在不同的交換機(jī)的非級(jí)聯(lián)端口上，則意味著IP-MAC成對(duì)盜用。 如何來解決這個(gè)問題呢？我們可以借助交換機(jī)的端口-MAC地址綁定功能7。即在TCP/IP第二層進(jìn)行控制。在各種可管理的交換機(jī)中都有端口-MAC地址綁定功能。使用交

27、換機(jī)提供的端口的單地址工作模式，即交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過該端口訪問網(wǎng)絡(luò)，任何其它地址的主機(jī)的訪問將被拒絕。以CISCO2950交換機(jī)為例，其設(shè)置的方法是： User Access Verification Password: switch153>en Password: switch153#config t Enter configuration commands, one per line. End with CNTL/Z. switch153(config)#int f0/1 switch153(config-if)#port secu max 99 switch153

28、(config-if)#shutdown switch153(config-if)#int f0/2 switch153(config-if)#port secu max 99 switch153(config-if)#shutdown switch153(config-if)#int f0/3 switch153(config-if)#port secu max 99 switch153(config-if)#shutdown switch153(config-if)#exit switch153(config)#exit switch153#clear mac secu switch153

29、#config t Enter configuration commands, one per line. End with CNTL/Z. switch153(config)#mac secure 5254.AB2C.3845 f0/1 switch153(config)#mac secure 00E0.4C6B.7F05 f0/2 switch153(config)#mac secure 0000.E8B1.4AC2 f0/2 switch153(config)#mac secure 5254.4CBD.1D71 f0/3 switch153(config)#mac secure 5254

30、.AB3A.4D9B f0/3 switch153(config)#mac secure 5254.AB4C.9603 f0/3 switch153(config)#int f0/1 switch153(config-if)#port secu max 1 switch153(config-if)#no shutdown switch153(config-if)#int f0/2 switch153(config-if)#port secu max 2 switch153(config-if)#no shutdown switch153(config-if)#int f0/3 switch15

31、3(config-if)#port secu max 3 switch153(config-if)#no shutdown switch153(config-if)#exit switch153(config)#exit switch153#write Building configuration. OK switch153# 本例中僅以端口1、2、3為例。即端口1允許的MAC地址是5254.AB2C.3845；端口2允許的MAC地址是：00E0.4C6B.7F05和0000.E8B1.4AC2。3. 防火墻與代理服務(wù)器 使用防火墻與代理服務(wù)器相結(jié)合，也能較好地解決IP地址盜用問題。這是一種在

32、應(yīng)用層上解決IP盜用的辦法。防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進(jìn)行。任何上網(wǎng)用戶需要到網(wǎng)絡(luò)管理部門申請(qǐng)帳戶和口令，IP地址的使用可以是無償?shù)模醋僆P管理為用戶身份和口令的管理。因?yàn)橛脩魧?duì)于網(wǎng)絡(luò)的使用歸根結(jié)底是要使用網(wǎng)絡(luò)的應(yīng)用。合法用戶可以選擇任意一臺(tái)IP主機(jī)使用，通過代理服務(wù)器訪問外部網(wǎng)絡(luò)資源，而無帳戶的用戶即使盜用IP，也沒有用戶名和密碼，不能使用外部網(wǎng)絡(luò)。 4.4 分析防范技術(shù)的優(yōu)缺點(diǎn)并提出改進(jìn)策略這些機(jī)制都有一定的局限性，比如說，路由器隔離技術(shù)雖然能夠較好地解決IP地址的盜用問題，但是如果非法用戶針對(duì)其理論依據(jù)進(jìn)行破壞，成對(duì)修改IP-MAC地址，對(duì)這樣的I

33、P地址盜用它就無能為力了。交換機(jī)控制雖然能解決成對(duì)的盜用問題，但最大缺點(diǎn)在于它需要網(wǎng)絡(luò)上全部采用交換機(jī)提供用戶接入，這在交換機(jī)相對(duì)昂貴的今天不是一個(gè)能夠普遍采用的解決方案。使用防火墻和代理服務(wù)器的缺點(diǎn)也是明顯的，由于使用代理服務(wù)器訪問外部網(wǎng)絡(luò)對(duì)用戶不是透明的，增加了用戶操作的麻煩；另外，對(duì)于大數(shù)量的用戶群（如高校的學(xué)生）來說，用戶管理也是一個(gè)問題。為了更好解決IP地址盜用問題，我們可以采用一種綜合防范模型，即結(jié)合靜態(tài)路由和防火墻的優(yōu)點(diǎn)，使用IP-MAC-User三個(gè)元素來進(jìn)行授權(quán)驗(yàn)證，以實(shí)現(xiàn)防止IP盜用。其工作原理是：實(shí)現(xiàn)一個(gè)透明網(wǎng)關(guān)，該網(wǎng)關(guān)跨接在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，對(duì)于內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)，在內(nèi)部主機(jī)使用ARP獲取外部主機(jī)或路由器地址時(shí)，驗(yàn)證其IP-MAC地址對(duì)，不匹配的非法主機(jī)不能獲得ARP應(yīng)答信息，因而不能繼續(xù)和外部網(wǎng)絡(luò)的通訊；對(duì)于外部主機(jī)訪問內(nèi)部網(wǎng)絡(luò)，則