解决局域网中IP盗用问题的三种技术手段

奥黛儿

局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。因此，IP地址盗用成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如何控制IP地址盗用？ \r\n\r\n　　引入问题\r\n\r\n　　对于集团用户而言，多数都用专线方式接入互联网。网络管理部门在规划的网段中，为注册用户分配并制定了相应的网络IP地址资源，以保证通信数据的正常传输。这里，静态的IP地址是必不可少的配置项目之一，它享有“网络通信身份证”的特权。网络管理员在配置IP地址资源时，对其正确性有特殊的要求，表现在下面两个方面：分配的地址应在规划的子网网段范围内；分配的IP地址对任何联网的主机必须是惟一的，即无二义性。 \r\n\r\n　　在实际中，网络管理员为入网用户分配和提供的IP地址，只有通过客户进行正确地注册后才有效。 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入，入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：1.非法的IP地址，自行修改的IP地址不在规划的网段内，网络呼叫中断；2.重复的IP地址，与已经分配且正在联网运行的合法的IP地址发生资源冲突，无法链接；3.非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该IP地址的机器未通电运行）联网通讯。前两种情况可被网络系统自行识别而屏蔽，导致运行中断，第三种情况操作系统则不能有效判别。如果系统管理员未采取防范措施，第三种情况将涉及到注册用户的合法权益，危害很大。 \r\n\r\n　　工作原理\r\n\r\n　　TCP/IP协议模型由四层结构组成。其中的网络接口层位于网络层与物理层之间，由NIC和设备驱动程序组成。该层上的数据可以通过单一而特定的网络被发送和接受。这种单一性和特定性由NIC的物理地址MAC决定。每个Ethernet NIC厂家的MAC都必须严格遵守IEEE组织的规定，保证世界上任何NIC的MAC都是惟一而无二义性的。因此，MAC固化在每个NIC中，且只被授予访问权限。 \r\n\r\n　　在Ethernet中，MAC地址存在于每个Ethernet包的头部，Ethernet交换设备依据Ethernet包头中的MAC源地址和MAC的目的地址实现数据包的交换和传输。 \r\n\r\n　　网络层在把高层协议中的网络地址转换成Ethernet、FDDI、Token Ring等协议使用的地址时，需要将IP地址映射到物理接口，以实现网络节点间的通讯。为实现这种映射，TCP/IP协议族在网络接口层中提供地址解析协议(ARP)，实现将IP地址转换成硬件地址。在网络通信时，提出硬件地址解析请求的机器会发送广播报文给本网中其它联网的机器，其中与目标IP地址匹配的机器，会响应地址解析请求，将其硬件地址返回给源机器。而网络中的其它机器则不响应此请求，但它们监听这些请求数据包，并将源机器的IP地址及硬件地址记录存入。值得注意的是：ARP的运行机制具有动态的特点，当IP地址和硬件地址随时间的推移发生变化时，能及时地提供修正。 \r\n\r\n　　实际中，用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP地址的管理、通信流量的计算等网络资源环境的安全运行。为了有效地防止和杜绝这类问题的发生，保证IP地址的惟一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址（MAC）登记表，并且做到完备备案。 \r\n\r\n　　解决途径\r\n\r\n　　可以通过下面三种方法制定相应的IP地址管理措施和对策，来监测和防止IP地址的随意改动问题，提高网络管理的科学性和安全性。 \r\n\r\n　　方法1：利用UNIX、Windows系统提供的ARP功能，定时收集信息，定向输出存入数据库或文档文件，形成实时的IP地址与网卡硬件地址的对应表。并结合编写查询程序实现与历史纪录自动排查，确定问题的发生点及原因。 \r\n\r\n　　方法2：利用网络交换设备的网络管理功能，完善检测手段，提高网络故障的清查能力。目前有许多种网络交换机内置网络管理功能。如3Com SUPERSTACK II系列交换机，具备寻找IP地址设置冲突对应交换机端口的功能，可以迅速准确地定位和查找故障主机点。 \r\n\r\n　　方法3：根据接入互联网Internet的IP地址管理是通过IP地址分配和路由器的配置来实现的原理，可以通过设置静态路由表，完成IP地址和硬件地址的严格对应，保证已分配IP地址的完全惟一性。 \r\n\r\n　　三种方法比较\r\n\r\n　　方法1 无需借助额外的网络设备，检测结果需人工判读，对非冲突、非分配IP地址的故障处理具有一定的滞后性。 \r\n\r\n　　方法2 监测效果快速准确。需要具有网络管理功能的交换设备，交换机自动跟踪IP冲突地址，监测冲突需要人工完成。对非冲突、非分配IP地址的故障处理具有一定的滞后性。 \r\n\r\n　　方法3 对接入Internet的IP地址管理效果明显。它能自动锁定任何非法IP地址的路由出口，使之仅能访问内部IP地址，运行于局域网内，并对非冲突、非分配IP地址的故障处理具有实时性。它还有效制止了非法IP地址用户的访问空间，保证了注册用户的合法权益，也给系统维护提供了更多的便利。

奥黛儿

1 IP地址盗用方法分析 \r\nIP地址的盗用方法多种多样，其常用方法主要有以下几种： \r\n1) 静态修改IP地址 \r\n对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP \r\n或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地 \r\n址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改， \r\n除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。 \r\n2) 成对修改IP-MAC地址 \r\n对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技 \r\n术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对 \r\n于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网 \r\n设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在 \r\n的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和 \r\nMAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。 \r\n　　另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址， \r\n即通过修改底层网络软件达到欺骗上层网络软件的目的。 \r\n3) 动态修改IP地址 \r\n对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自 \r\n己的IP地址（或IP-MAC地址对），达到IP欺骗并不是一件很困难的事。 \r\n\r\n2 防范技术研究 \r\n针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层 \r\n次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 \r\n\r\n2.1 交换机控制 \r\n解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的 \r\n端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址 \r\n的主机的访问被拒绝[1]。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这 \r\n在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。 \r\n\r\n2.2 路由器隔离 \r\n采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通 \r\n过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和 \r\nMAC地址比较，如不一致，则为非法访问[2]。对于非法访问，有几种办法可以制止，如： \r\n使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项； \r\n向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送； \r\n修改路由器的存取控制列表，禁止非法访问。 \r\n路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。 \r\n路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏， 成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 \r\n\r\n2.3 防火墙与代理服务器 \r\n使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行[3]。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用， 通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。 \r\n使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群（如高校的学生）来说，用户管理也是一个问题。