论文部分内容阅读
笔者所在的桐乡市卫生学校的校园网存在许多安全隐患和漏洞,其中IP地址盗用也是学校网络管理员头疼的问题之一。改动后的IP地址在内联网中运行时可导致以下结果:非法的IP地址;重复的IP地址,使合法用户无法上网;盗用合法用户的IP地址。因此,校园局域网中如何防止IP地址盗用问题是维护网络正常运转的必要技术手段。
一、IP地址盗用手段
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份,校园网络管理中遇到的问题主要有以下几种:
1.静态修改IP地址
在修改TCP/IP协议属性配置时,使用的是已知的授权的IP地址。
2.成对修改IP-MAC地址
针对静态路由技术,IP盗用技术又有了新的发展,MAC地址是设备的硬件地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。导致静态路由技术无能为力。另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,达到欺骗上层网络软件的目的。
3.动态修改IP地址
有些用户直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),进行IP地址欺骗。
二、防范技术研究
目前,笔者学校针对IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP表,获得当前正在使用的IP地址以及IP-MAC对照关系,以此与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,笔者学校建立多种常用的防范机制。但这些机制都有一定的局限性,都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。针对以上情况,笔者学校在防范IP地址盗用方面主要采用了以下技术。
1.应用ARP绑定IP地址和MAC地址
每台计算机的网卡的MAC地址都是唯一的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,网卡的MAC地址和ARP表中对应的MAC地址不一致,就不能访问网络。但是这种方法只能够防止盗用者静态地修改IP地址。
2.利用端口定位阻断IP地址盗用。
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。发现地址盗用行为后,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态。这样,通过管理站给交换机发送赋值信息(Set Request),结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为。
3.动态配置MAC地址
根据TCP/IP的工作原理,在数据交换过程中,IP包中的目的IP地址保持不变,而目的MAC地址在不同的网段间会发生变化,MAC地址只在直接相连的物理网络内部进行发生作用,他的作用范围也只在一个物理网络内,只要一个网络内MAC地址不冲突,通信就可进行。同时MAC地址是可修改的。MAC地址一般是固化在网络适配器的硬件当中,但是基于IP软件效率的考虑,系统一般并不会在每收发一帧的时候,都直接从网络适配器中读取MAC地址,而是在系统特定的缓冲区中获取MAC地址,这就给动态修改MAC地址提供了可能。在Windows系统中可以通过修改注册表,达到改变MAC地址的目的。
随着网络设备功能的日趋完善和学校网络管理人员的管理水平的提高,会有更多更好的防止IP盗用的方法,营造出一个良好的网络环境。使校园的网络能更健康、安全地发展。
(作者单位:浙江省桐乡市卫生学校)
一、IP地址盗用手段
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份,校园网络管理中遇到的问题主要有以下几种:
1.静态修改IP地址
在修改TCP/IP协议属性配置时,使用的是已知的授权的IP地址。
2.成对修改IP-MAC地址
针对静态路由技术,IP盗用技术又有了新的发展,MAC地址是设备的硬件地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。导致静态路由技术无能为力。另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,达到欺骗上层网络软件的目的。
3.动态修改IP地址
有些用户直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),进行IP地址欺骗。
二、防范技术研究
目前,笔者学校针对IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP表,获得当前正在使用的IP地址以及IP-MAC对照关系,以此与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,笔者学校建立多种常用的防范机制。但这些机制都有一定的局限性,都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。针对以上情况,笔者学校在防范IP地址盗用方面主要采用了以下技术。
1.应用ARP绑定IP地址和MAC地址
每台计算机的网卡的MAC地址都是唯一的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,网卡的MAC地址和ARP表中对应的MAC地址不一致,就不能访问网络。但是这种方法只能够防止盗用者静态地修改IP地址。
2.利用端口定位阻断IP地址盗用。
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。发现地址盗用行为后,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态。这样,通过管理站给交换机发送赋值信息(Set Request),结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为。
3.动态配置MAC地址
根据TCP/IP的工作原理,在数据交换过程中,IP包中的目的IP地址保持不变,而目的MAC地址在不同的网段间会发生变化,MAC地址只在直接相连的物理网络内部进行发生作用,他的作用范围也只在一个物理网络内,只要一个网络内MAC地址不冲突,通信就可进行。同时MAC地址是可修改的。MAC地址一般是固化在网络适配器的硬件当中,但是基于IP软件效率的考虑,系统一般并不会在每收发一帧的时候,都直接从网络适配器中读取MAC地址,而是在系统特定的缓冲区中获取MAC地址,这就给动态修改MAC地址提供了可能。在Windows系统中可以通过修改注册表,达到改变MAC地址的目的。
随着网络设备功能的日趋完善和学校网络管理人员的管理水平的提高,会有更多更好的防止IP盗用的方法,营造出一个良好的网络环境。使校园的网络能更健康、安全地发展。
(作者单位:浙江省桐乡市卫生学校)