针对IP盗用问题,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
路由隔离
采用路由隔离的办法,其主要依据是MAC地址作为以太网卡地址,全球唯一,不能改变。其实现方法为通过SNMP协议定期扫描局域网内各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。
路由隔离的另外一种实现方法是使用静态ARP表,即三层交换机/路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,三成交换机根据正确的静态设置转发的帧就不会到达非法主机。
路由隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
防火墙与代理服务器
防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的。由于使用代理服务器访问外部网络对用户不是透明的,增加了用户*作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。
交换机控制
解决IP地址盗用问题的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用802.1X交换机访问控制协议。
基于端口的访问控制能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网设备或用户进行认证和授权的手段。通过这种方式的认证,能够在 LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备连接LAN的物理端口,或者是在IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。
