分享
 
 
 

IP地址的盗用和防范

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

Internet是一个开放的、互操作的通信系统,其基础协议是TCP/IP。Internet协议地址(简 称IP地址)是TCP/IP网络中可寻址设施的唯一逻辑标识,它是一个32位的二进制无符号数。对于 Internet上的任一主机,它都必须有一个唯一的IP地址。IP地址由InterNIC及其下级授权机构分 配,没有分配到自己的IP地址的主机不能够直接连接到Internet

随着Internet的迅速发展,IP地址的消耗非常快,据权威机构预测,现行IPv4版本的IP只够 用到2007年。现在,企业、机构、个人要申请到足够的IP地址都非常困难,作为一种稀缺资 源,IP地址的盗用就成为很常见的问题。特别是在按IP流量计费的CERNET网络,由于费用是 按IP地址进行统计的,许多用户为了逃避网络计费,用IP地址盗用的办法,将网络流量计费 转嫁到他人身上。另外,一些用户因为一些不可告人的目的,采用IP地址盗用的方式来逃避 追踪,隐藏自己的身份。

IP地址盗用侵害了Internet网络的正常用户的权利,并且给网络计费、网络安全和网络运行 带来了巨大的负面影响,因此解决IP地址盗用问题成为当前一个迫切的课题。

1 IP地址盗用方法分析

IP地址的盗用方法多种多样,其常用方法主要有以下几种:

1) 静态修改IP地址

对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地 址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改, 除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。

2) 成对修改IP-MAC地址

对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技 术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对 于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网 设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在 的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和 MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。

另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址, 即通过修改底层网络软件达到欺骗上层网络软件的目的。

3) 动态修改IP地址

对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自 己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。

2 防范技术研究

针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层 次结构,在不同的层次采用不同的方法来防止IP地址的盗用。

2.1 交换机控制

解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的 端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址 的主机的访问被拒绝[1]。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这 在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

2.2 路由器隔离

采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通 过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和 MAC地址比较,如不一致,则为非法访问[2]。对于非法访问,有几种办法可以制止,如:

使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;

向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;

修改路由器的存取控制列表,禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得, 而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发 的帧就不会到达非法主机。 路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏, 即成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。

2.3 防火墙与代理服务器

使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外 部网络,用户访问外部网络通过代理服务器进行[3]。使用这样的办法是将IP防盗放到应用层来解决, 变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现 的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用, 通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。

使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的, 增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有