网络技师论文

目录

摘要....................................................... I

一、绪论 ................................................... 1

二、计算机网络安全概述 ...................................... 2

2.1 计算机网络安全含义 ................................... 2

2.3 IP使用与网络安全 .................................... 3

三、IP 概述 ................................................ 4

3.1 IP地址 . ............................................. 4

3.2 IP自身的不安全性及其功能 ............................. 4

四、如何解决局域网内盗用IP 的问题 ........................... 6

4.1 IP地址非法使用的动机分析 ............................. 6

4.2 IP地址盗用方法分析 .................................. 6

4.3 防范技术研究......................................... 7

4.4 分析防范技术的优缺点并提出改进策略 ................... 10

五、结论 .................................................. 12

六、致谢 .................................................. 13

参考文献 .................................................. 14

网络安全

——IP 盗用的分析与解决

摘 要

随着学校规模的不断发展,计算机机房越来越多,对于机房管理的工作者来说工作量也越来越大。近年来,虽然机房制度明文规定学生不允许私自更改IP 地址, 但是机房还是经常出现IP 地址更改的情况,教师控制电脑在讲台上课,部分学生还是在下面玩游戏,甚至有个别学生看些不健康的东西, 严重影响了课堂秩序, 对教学效果产生了极其坏的影响。本文主要针对如何防止局域网内IP 更改的问题进行论述。IP 地址更改是指学生在未经教师同意的情况下擅自更改IP 地址,使得教师机不能控制学生机,达到不能正常上课的目的,给老师的教学,其他学生的正常学习环境带来了极大的不良影响。为了更好地保护教师的正常上课,其他学生的合法权益和机房的网络安全,本文详细介绍了常见的IP 盗用方法(静态修改IP 地址,成对修改IP-MAC 地址,动态修改IP 地址),并进一步比较分析各种方法,针对各种盗用方法给出相应防范策略(路由器隔离,交换机控制,防火墙与代理服务器)。并以CISCO 路由和交换机为例进行安全设置。

关键词:网络安全,IP 地址盗用,防范策略

网络安全

——IP 盗用的分析与解决

一、绪 论

Internet 是一个开放的、互操作的通信系统,其基础协议是TCP/IP协议。Internet 协议地址(简称IP 地址)是TCP/IP网络中可寻址设施的唯一逻辑标识,它是一个32位的二进制无符号数。对于Internet 上的任一主机,它都必须有一个唯一的IP 地址。IP 地址由InterNIC 及其下级授权机构分配,没有分配到自己的IP 地址的主机不能够直接连接到Internet 。

随着网络的普及,IP 地址的消耗非常快,据权威机构预测,现行IPv4版本的IP 只够用到2009年。现在,企业、机构、个人要申请到足够的IP 地址都非常困难,作为一种稀缺资源,IP 地址的盗用就成为很常见的问题。特别是在按IP 流量计费的CERNET 网络,由于费用是按IP 地址进行统计的,许多用户为了逃避网络计费,用IP 地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些用户因为一些不可告人的目的,采用IP 地址盗用的方式来逃避追踪,隐藏自己的身份。

IP 地址盗用侵害了Internet 网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此研究IP 地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。

二、计算机网络安全概述

2.1 计算机网络安全含义

计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2.2计算机网络中的安全缺陷及产生原因

1. 计算机网络安全的主要缺陷:

(1) 网络系统在稳定性和可扩充性方面。由于设计的系统不规范、不合理以及缺乏

安全性考虑,因而使其受到影响。

(2) 网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、

功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计 和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡工作站选配不当导致网络不稳定。

(3) 缺乏安全策略。许多站点在防火墙配置上无意识的扩大了访问权限,忽视了这

些权限可能会被其他人员滥用。

(4) 访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。

(5) 管理制度不健全,网络管理、维护,随之任之。

2. 网络安全缺陷产生的原因主要有:

(1) TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络

的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。

(2) 网络结构的不安全性。因特网是一种网间技术。它是由无数个局域网所连成的

一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台 处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。

(3) 易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提

供的工具就很容易对网上的邮件、口令和传输的文件进行窃听。

(4) 缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意

识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP 连接从而避开了防火墙的保护。

许多入侵者就是利用网络的安全缺陷,分析其脆弱性所在,进行网络非法活动。而在小型局域网普遍的今天,经常出现的网络安全问题就是IP 的非法使用。

2.3 IP使用与网络安全

在当今这个信息时代网络已经涉及现代生活的方方面面,这对于网络管理员来讲,加强网络安全管理工作,无疑是一件重要的事情,而其中解决IP 地址盗用问题,又是网络管理工作中的一件非常棘手的事情。

随着Internet 的迅速发展,许多大专院校、集团公司和事业单位等都已组建自己的局域网,再用专线方式或光纤接入互联网。网络管理部门在规划自己的内部网段时,为用户分配并制定了相应的网络IP 地址资源,以保证通信数据的正常传输。在实际应用中,用户因某种原因有改动客户端的IP 地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP 地址的管理[1]。

网络管理部门在规划自己的内部网段时,为用户分配并制定了相应的网络IP 地址资源,以保证通信数据的正常传输。网络管理员在配置IP 地址资源时,应满足下面两个方面:

(1) 分配的地址应在规划的子网网段范围内。

(2) 分配的IP 地址对任何联网的主机必须是唯一的。

在局域网中,网络管理员负责管理用户IP 地址的分配,通过正确地注册后才被认为是合法的用户。但由于Windows 系统决定终端用户可以自由修改IP 地址的设置。改动后的IP 地址在局域网中运行时可导致以下结果[2]:

(1) 非法的IP 地址;即IP 地址不在规划的局域网范围之内。

(2) 重复的IP 地址;与已经分配且正在局域网运行的合法的IP 地址发生资源冲突,

使合法用户无法上网。

(3) 盗用合法用户的IP 地址。

无论哪种对IP 的非法使用都会造成盗用的嫌疑,都会导致网络不能正常运行及用户的合法权益受到侵害。如果不对网络采取防范措施,将会导致更大的安全隐患。

三、IP 概述

3.1 IP地址

1. IP地址基本概念

Internet 依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet 上,每一个节点都依靠唯一的IP 地址互相区分和相互联系。IP 地址是一个32位二进制数的地址,由4个8位字段组成,每个字段之间用点号隔开,用于标识TCP/IP宿主机。

每个IP 地址都包含两部分:网络ID 和主机ID 。网络ID 标识在同一个物理网络上的所有宿主机,主机ID 标识该物理网络上的每一个宿主机,于是整个Internet 上的每个计算机都依靠各自唯一的IP 地址来标识。

IP 地址构成了整个Internet 的基础,它是如此重要,每一台联网的计算机无权自行设定IP 地址,有一个统一的机构——IANA 负责对申请的组织分配唯一的网络ID ,而该组织可以对自己的网络中的每一个主机分配一个唯一的主机ID ,正如一个单位无权决定自己在所属城市的街道名称和门牌号,但可以自主决定本单位内部的各个办公室编号一样。

2. 静态IP 与动态IP

IP 地址是一个32位二进制数的地址,理论上讲,有大约40亿(2的32次方)个可能的地址组合,这似乎是一个很大的地址空间。实际上,根据网络ID 和主机ID 的不同位数规则,可以将IP 地址分为A (7位网络ID 和24位主机ID )、B (14位网络ID 和16位主机ID )、C (21位网络ID 和8位主机ID )三类。

由于历史原因和技术发展的差异,A 类地址和B 类地址几乎分配殆尽,目前能够供全球各国各组织分配的只有C 类地址。所以说IP 地址是一种非常重要的网络资源。由于现在版本的IP 地址资源有限,有些人就会有意或者无意的使用别人的IP 地址,造成了IP 盗用的嫌疑。

3.2 IP自身的不安全性及其功能

要认识IP 盗用,必须了解一下TCP/IP协议的脆弱性[3]。当初Internet 只是美国国家安全部门的内部联系网络,他们在制定TCP/IP协议的时候,网络远远没有现今强大。也许是因为当时网络软硬件设备的局限性,设计该协议时只着重考虑了网络的速度,而对网络的安全性没做太多的考虑,甚至根本没考虑。也许是当时开发TCP/IP协议的人根本没有预料互联网会发展如此之迅速,所以TCP/IP协议在安全设计上先天不足,这使得现今的网络非常不安全。而IP 是TCP/IP协议组中非面向连接、非可靠传输的网络协议。所以IP 自身存在着不安全因素,这是与生俱来的,不可消除的,只能用防御措

施来减小到最小程度。

IP 的基本功能是提供数据传输、包编址、包寻径、分段和简单的包错误检测。在网络环境中发送数据包时,它不提供保证可靠性的任何机制,IP 只是发送数据包,并且保证它的完整性。如果不能收到完整的IP 数据包,IP 会向源地址发送一个ICMP(网际控制消息协议,它用于根据网络条件保证数据传送的协议,主要是向IP 层或其它层发送不同的错误信息) ,希望重新处理,然而这个包也可能丢失。

因为IP 是非面向连接的,所以不保持任何连接状态的信息。由此可以看出,可以对IP 堆栈进行修改,制造任意满足要求的源地址和目标地址,从而形成IP 欺骗。IP 欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。IP 编址功能,可以成功地将数据传输到正确的网络或者子网。每个网络结点具有一个32位的IP 地址,它和48位的MAC 地址一起协作,完成网络通信。该地址不但标识了一个既定的网络,而且还指明了是该网络上的哪个结点。

四、如何解决局域网内盗用IP 的问题

盗用IP 应该是只能盗用本网段的IP 。原因:一个最简单的网段,也要有一个路由器作为出口。在路由器的配置中,要指定这个网段的网络地址和掩码。如果这个网段的机器使用了其它网段的IP ,则路由器不认为这个IP 属于它的网段,所以不给转发。

如果局域网内若有两台主机的IP 地址相同,则两台主机将相互报警,且无法上网,造成网络混乱。在局域网内任何用户使用未经授权的IP 地址都应视为IP 盗用,因此,IP 盗用成了网管人员最头疼的问题。当几百台、甚至上千台主机同时上网,如何防止IP 地址盗用问题是很重要的,是维护网络正常运转的必要技术手段[4]。

4.1 IP地址非法使用的动机分析

IP 地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:

(1) 干扰、破坏网络服务器和网络设备的正常运行。

(2) 企图拥有被非法使用的IP 地址所拥有的特权。最典型的就是因特网的访问权

限。

(3) 因机器重新安装、临时部署等原因,无意中造成的非法使用。

4.2 IP地址盗用方法分析

IP 地址是在网际范围标识主机的一种逻辑地址。在局域网中使用MAC (物理地址)作为寻址方式,为了让报文在物理网上传输,必须知道彼此之间的物理地址。ARP 协议是完成IP 地址转换成MAC 地址的协议。在局域网上通过每个站点的网络接口卡发送和接受数据。网络接口卡(NIC )的物理地址由MAC 决定。每个NIC 厂家的MAC 都必须严格遵守IEEE 组织的规定,保证世界上任何NIC 的MAC 都是独一无二的。因此,MAC 固化在每个NIC 中,不可更改。

在以太网网络数据传输中,每个数据帧的头部含有MAC 地址,以太网交换设备依据数据帧头中的MAC 源地址和MAC 目的地址实现数据帧的交换和传输。在实际应用中,用户因某种原因有改动客户端的IP 地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP 地址的管理。为了有效地防止和杜绝这类问题的发生,保证IP 地址的唯一性,网络管理员必须建立规范的IP 地址分配表、IP 地址和硬件地址(MAC )登记表,并且做到相关信息备案。

盗用IP 地址是一个经常存在的问题,它不需要编程,只要在主机上作适当的配置即可。当一台主机使用不是分配给自己的IP 地址时,就有盗用IP 地址的嫌疑了。如果在一个子网中,具有合法IP 地址的主机未开机,盗用者就可以使用这个IP ,唯一留下

的痕迹就是物理地址。IP 地址的盗用方法多种多样,其常用方法主要有以下几种:

1. 静态修改IP 地址

对于任何一个TCP/IP实现来说,IP 地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改TCP/IP配置时,使用的不是授权机构分配的IP 地址,就形成了IP 地址盗用。由于IP 地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP 地址的静态修改,除非使用DHCP 服务器分配IP 地址,但又会带来其它管理问题。

2. 成对修改IP-MAC 地址

对于静态修改IP 地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP 盗用技术又有了新的发展,即成对修改IP-MAC 地址。MAC 地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC 地址在所有以太网设备中必须是唯一的,它由IEEE 分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC 地址可以使用网卡配置程序来进行修改。如果将一台计算机的IP 地址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址,那静态路由技术[5]就无能为力了。

另外,对于那些MAC 地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC 地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。

3. 动态修改IP 地址

对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP 地址(或IP-MAC 地址对),达到IP 欺骗并不是一件很困难的事。

4.3 防范技术研究

目前发现IP 地址盗用比较常用的方法是,通过SNMP 协议(Simple Network

Management protocol,简单网络管理协议) 定期扫描网络各路由器的ARP (Address Resolution Protocol,地址解析)表,获得当前正在使用的IP 地址以及IP-MAC 对照关系,与合法的IP 地址表,IP-MAC 表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP 地址会出现MAC 地址冲突的提示) 也可以发现IP 地址的盗用行为。在此基础上,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP 地址的盗用[6]。

1. 路由器隔离

采用路由器隔离的办法其主要依据是,MAC 地址作为以太网卡地址是全球唯一的不能改变的。对于非法访问,有几种办法可以制止,如:

(1) 使用正确的IP 与MAC 地址映射覆盖非法的IP-MAC 表项。

(2) 向非法访问的主机发送ICMP 不可达的欺骗包,干扰其数据发送。

(3) 修改路由器的存取控制列表,禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP 表,即路由器中IP 与MAC 地址的映射不通过ARP 来获得,而采用静态设置。这样,当非法访问的IP 地址和MAC 地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。

以CISCO7609路由器为例,设置的方法是:

Telnet 192.164.1.34 ;路由器的IP 地址

User Access Verification

Password:********

cy7609>en

Password:********

cy7609#config t

Enter configuration commands, one per line. End with CNTL/Z.

cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa

cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa

cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa

cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa

……

cy7609(config)#exit

cy7609#write

Building configuration...

[OK]

cy7609#

因此在路由器上建立了一个静态的ARP 表,合法的IP 地址和MAC 建立了一一对应的关系,使未经授权的IP 无法通过路由器转发数据。经过IP 地址和MAC 地址的绑定,解决了内联网IP 地址的盗用问题。

2. 交换机控制

尽管采取了IP 地址与MAC 地址的绑定措施,但如果对Windows98或Windows2000有点了解的人知道,在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中,用户可以随意修改主机的MAC 地址。这意味着用户可以同时盗用合法用户的IP 及MAC 地址。

如果将一台计算机的IP 地址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址,那静态路由技术就无能为力了。那我们可以用交换机控制机制来解决这个问题。

交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC 地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC 地址表。任何与交换机直接相连或处于同一广播域的主机的MAC 地址均会被保存到交换机的MAC 地址

表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP 代理通信可以获取每个交换机保存的与端口对应的MAC 地址表,从而形成一个实时的Switch-Port-MAC 对应表。将实时获得的Switch-Port-MAC 对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC 地址,进一步即可判定是否有IP 地址盗用的发生。如果同一个MAC 地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC 成对盗用。

如何来解决这个问题呢?我们可以借助交换机的端口-MAC 地址绑定功能[7]。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC 地址绑定功能。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝。

以CISCO2950交换机为例,其设置的方法是:

User Access Verification

Password:********

switch153>en

Password:********

switch153#config t

Enter configuration commands, one per line. End with CNTL/Z.

switch153(config)#int f0/1

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#int f0/2

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#int f0/3

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#exit

switch153(config)#exit

switch153#clear mac secu

switch153#config t

Enter configuration commands, one per line. End with CNTL/Z.

switch153(config)#mac secure 5254.AB2C.3845 f0/1

switch153(config)#mac secure 00E0.4C6B.7F05 f0/2

switch153(config)#mac secure 0000.E8B1.4AC2 f0/2

switch153(config)#mac secure 5254.4CBD.1D71 f0/3

switch153(config)#mac secure 5254.AB3A.4D9B f0/3

switch153(config)#mac secure 5254.AB4C.9603 f0/3

switch153(config)#int f0/1

switch153(config-if)#port secu max 1

switch153(config-if)#no shutdown

switch153(config-if)#int f0/2

switch153(config-if)#port secu max 2

switch153(config-if)#no shutdown

switch153(config-if)#int f0/3

switch153(config-if)#port secu max 3

switch153(config-if)#no shutdown

switch153(config-if)#exit

switch153(config)#exit

switch153#write

Building configuration...

[OK]

switch153#

本例中仅以端口1、2、3为例。即端口1允许的MAC 地址是5254.AB2C.3845;端口2允许的MAC 地址是:00E0.4C6B.7F05和0000.E8B1.4AC2。

3. 防火墙与代理服务器

使用防火墙与代理服务器相结合,也能较好地解决IP 地址盗用问题。这是一种在应用层上解决IP 盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,IP 地址的使用可以是无偿的,即变IP 管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP 主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP ,也没有用户名和密码,不能使用外部网络。

4.4 分析防范技术的优缺点并提出改进策略

这些机制都有一定的局限性,比如说,路由器隔离技术虽然能够较好地解决IP 地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC 地址,对这样的IP 地址盗用它就无能为力了。交换机控制虽然能解决成对的盗用问题,但最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。

为了更好解决IP 地址盗用问题,我们可以采用一种综合防范模型,即结合静态路由和防火墙的优点,使用IP-MAC-User 三个元素来进行授权验证,以实现防止IP 盗用。其工作原理是:实现一个透明网关,该网关跨接在内部网络和外部网络之间,对于内部主机访问外部网络,在内部主机使用ARP 获取外部主机或路由器地址时,验证其

IP-MAC 地址对,不匹配的非法主机不能获得ARP 应答信息,因而不能继续和外部网络的通讯;对于外部主机访问内部网络,则采用静态路由,使IP-MAC 地址对不匹配的内部主机接收不到正确的IP 包。另外,为了防止IP-MAC 地址成对修改的情况,外部IP 包经过透明网关时,如果其源地址为外部网络的主机(CERNET 计费范围),则还要检测其目的主机是否有用户注册,没有用户注册的目的地址的IP 包被丢弃,有用户注册的目的地址的IP 包则被转发进去,同时将IP 流量记入该用户的帐上。这样,即使用户成对修改了IP-MAC 地址,如果没有合法的用户注册,它仍不能访问外部网络,盗用IP 地址失去意义(大部分IP 地址盗用的主要出发点是逃避网络计费);而对于正常的用户,无论使用哪台机器都可以自由访问内部网络,如果在透明网关上注册,则可以自由访问外部网络,并且网络流量费用自动记录到用户帐上。透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。今后如何突破这个瓶颈问题成为研究的重点。

五、结 论

随着网络技术在国内的蓬勃发展,网络已经深入人们生活的方方面面。但在享受其带来方便的同时,有个问题也经常困扰着网络管理员和用户,那就是网络内分配的IP 地址经常被盗用,授权用户自己的IP 地址在网络中产生冲突,无法进入网络。有时内部人员非法使用IP 地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。然而这种现象却导致了网络管理的混乱,影响授权用户的利益,也对用网络流量来进行计费的宽带网带来较大的影响。所以说解决IP 盗用问题是一件紧迫的事情。

本文对常见的IP 盗用方法(静态修改IP 地址,成对修改IP-MAC 地址,动态修改IP 地址)进行分析,进而提出解决方法(路由器隔离,交换机控制,防火墙与代理服务器),并以CISCO 路由和交换机为例进行安全设置。给用户提供一些预防IP 盗用的方法,使网络用户能更好的保护自己的合法权益和维护网络安全。

六、致 谢

感谢李福亮教授和高双喜老师对本人在完成此论文中细心的指导以及无私的帮助和支持,特此感谢。

同时感谢论文期间给予我支持和帮助的所有单位同事和朋友们!

参考文献

[1] 胡道元. 计算机局域网[M].北京:清华大学出版社,2001:190-358.

[2] 朱理森, 张守连. 计算机网络应用技术[M].北京:专利文献出版社,2001:25-50.

[3] W.Richard Stevens著, 尹浩琼, 李剑等译,TCP/IP详解[M].北京:机械工业出版

社,2003:20-80.

[4] Cormac Long主编, 北京超品技术有限责任公司译,IP 网络设计[M].北京:人民邮电出

版社,2002:56-102.

[5] Robert Wright著,IP ROUTING PRIMER IP路由技术基础[M].北京:清华大学出版

社,2001:87-223.

[6] 江凤莲. 如何防止IP 盗用[J].现代企业教育,2006(12):10-12.

[7] 王道胜. 局域网中IP 地址盗用的研究与防范[J].电脑学习,2005(06):12-14.

目录

摘要....................................................... I

一、绪论 ................................................... 1

二、计算机网络安全概述 ...................................... 2

2.1 计算机网络安全含义 ................................... 2

2.3 IP使用与网络安全 .................................... 3

三、IP 概述 ................................................ 4

3.1 IP地址 . ............................................. 4

3.2 IP自身的不安全性及其功能 ............................. 4

四、如何解决局域网内盗用IP 的问题 ........................... 6

4.1 IP地址非法使用的动机分析 ............................. 6

4.2 IP地址盗用方法分析 .................................. 6

4.3 防范技术研究......................................... 7

4.4 分析防范技术的优缺点并提出改进策略 ................... 10

五、结论 .................................................. 12

六、致谢 .................................................. 13

参考文献 .................................................. 14

网络安全

——IP 盗用的分析与解决

摘 要

随着学校规模的不断发展,计算机机房越来越多,对于机房管理的工作者来说工作量也越来越大。近年来,虽然机房制度明文规定学生不允许私自更改IP 地址, 但是机房还是经常出现IP 地址更改的情况,教师控制电脑在讲台上课,部分学生还是在下面玩游戏,甚至有个别学生看些不健康的东西, 严重影响了课堂秩序, 对教学效果产生了极其坏的影响。本文主要针对如何防止局域网内IP 更改的问题进行论述。IP 地址更改是指学生在未经教师同意的情况下擅自更改IP 地址,使得教师机不能控制学生机,达到不能正常上课的目的,给老师的教学,其他学生的正常学习环境带来了极大的不良影响。为了更好地保护教师的正常上课,其他学生的合法权益和机房的网络安全,本文详细介绍了常见的IP 盗用方法(静态修改IP 地址,成对修改IP-MAC 地址,动态修改IP 地址),并进一步比较分析各种方法,针对各种盗用方法给出相应防范策略(路由器隔离,交换机控制,防火墙与代理服务器)。并以CISCO 路由和交换机为例进行安全设置。

关键词:网络安全,IP 地址盗用,防范策略

网络安全

——IP 盗用的分析与解决

一、绪 论

Internet 是一个开放的、互操作的通信系统,其基础协议是TCP/IP协议。Internet 协议地址(简称IP 地址)是TCP/IP网络中可寻址设施的唯一逻辑标识,它是一个32位的二进制无符号数。对于Internet 上的任一主机,它都必须有一个唯一的IP 地址。IP 地址由InterNIC 及其下级授权机构分配,没有分配到自己的IP 地址的主机不能够直接连接到Internet 。

随着网络的普及,IP 地址的消耗非常快,据权威机构预测,现行IPv4版本的IP 只够用到2009年。现在,企业、机构、个人要申请到足够的IP 地址都非常困难,作为一种稀缺资源,IP 地址的盗用就成为很常见的问题。特别是在按IP 流量计费的CERNET 网络,由于费用是按IP 地址进行统计的,许多用户为了逃避网络计费,用IP 地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些用户因为一些不可告人的目的,采用IP 地址盗用的方式来逃避追踪,隐藏自己的身份。

IP 地址盗用侵害了Internet 网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此研究IP 地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。

二、计算机网络安全概述

2.1 计算机网络安全含义

计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2.2计算机网络中的安全缺陷及产生原因

1. 计算机网络安全的主要缺陷:

(1) 网络系统在稳定性和可扩充性方面。由于设计的系统不规范、不合理以及缺乏

安全性考虑,因而使其受到影响。

(2) 网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、

功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计 和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡工作站选配不当导致网络不稳定。

(3) 缺乏安全策略。许多站点在防火墙配置上无意识的扩大了访问权限,忽视了这

些权限可能会被其他人员滥用。

(4) 访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。

(5) 管理制度不健全,网络管理、维护,随之任之。

2. 网络安全缺陷产生的原因主要有:

(1) TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络

的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。

(2) 网络结构的不安全性。因特网是一种网间技术。它是由无数个局域网所连成的

一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台 处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。

(3) 易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提

供的工具就很容易对网上的邮件、口令和传输的文件进行窃听。

(4) 缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意

识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP 连接从而避开了防火墙的保护。

许多入侵者就是利用网络的安全缺陷,分析其脆弱性所在,进行网络非法活动。而在小型局域网普遍的今天,经常出现的网络安全问题就是IP 的非法使用。

2.3 IP使用与网络安全

在当今这个信息时代网络已经涉及现代生活的方方面面,这对于网络管理员来讲,加强网络安全管理工作,无疑是一件重要的事情,而其中解决IP 地址盗用问题,又是网络管理工作中的一件非常棘手的事情。

随着Internet 的迅速发展,许多大专院校、集团公司和事业单位等都已组建自己的局域网,再用专线方式或光纤接入互联网。网络管理部门在规划自己的内部网段时,为用户分配并制定了相应的网络IP 地址资源,以保证通信数据的正常传输。在实际应用中,用户因某种原因有改动客户端的IP 地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP 地址的管理[1]。

网络管理部门在规划自己的内部网段时,为用户分配并制定了相应的网络IP 地址资源,以保证通信数据的正常传输。网络管理员在配置IP 地址资源时,应满足下面两个方面:

(1) 分配的地址应在规划的子网网段范围内。

(2) 分配的IP 地址对任何联网的主机必须是唯一的。

在局域网中,网络管理员负责管理用户IP 地址的分配,通过正确地注册后才被认为是合法的用户。但由于Windows 系统决定终端用户可以自由修改IP 地址的设置。改动后的IP 地址在局域网中运行时可导致以下结果[2]:

(1) 非法的IP 地址;即IP 地址不在规划的局域网范围之内。

(2) 重复的IP 地址;与已经分配且正在局域网运行的合法的IP 地址发生资源冲突,

使合法用户无法上网。

(3) 盗用合法用户的IP 地址。

无论哪种对IP 的非法使用都会造成盗用的嫌疑,都会导致网络不能正常运行及用户的合法权益受到侵害。如果不对网络采取防范措施,将会导致更大的安全隐患。

三、IP 概述

3.1 IP地址

1. IP地址基本概念

Internet 依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet 上,每一个节点都依靠唯一的IP 地址互相区分和相互联系。IP 地址是一个32位二进制数的地址,由4个8位字段组成,每个字段之间用点号隔开,用于标识TCP/IP宿主机。

每个IP 地址都包含两部分:网络ID 和主机ID 。网络ID 标识在同一个物理网络上的所有宿主机,主机ID 标识该物理网络上的每一个宿主机,于是整个Internet 上的每个计算机都依靠各自唯一的IP 地址来标识。

IP 地址构成了整个Internet 的基础,它是如此重要,每一台联网的计算机无权自行设定IP 地址,有一个统一的机构——IANA 负责对申请的组织分配唯一的网络ID ,而该组织可以对自己的网络中的每一个主机分配一个唯一的主机ID ,正如一个单位无权决定自己在所属城市的街道名称和门牌号,但可以自主决定本单位内部的各个办公室编号一样。

2. 静态IP 与动态IP

IP 地址是一个32位二进制数的地址,理论上讲,有大约40亿(2的32次方)个可能的地址组合,这似乎是一个很大的地址空间。实际上,根据网络ID 和主机ID 的不同位数规则,可以将IP 地址分为A (7位网络ID 和24位主机ID )、B (14位网络ID 和16位主机ID )、C (21位网络ID 和8位主机ID )三类。

由于历史原因和技术发展的差异,A 类地址和B 类地址几乎分配殆尽,目前能够供全球各国各组织分配的只有C 类地址。所以说IP 地址是一种非常重要的网络资源。由于现在版本的IP 地址资源有限,有些人就会有意或者无意的使用别人的IP 地址,造成了IP 盗用的嫌疑。

3.2 IP自身的不安全性及其功能

要认识IP 盗用,必须了解一下TCP/IP协议的脆弱性[3]。当初Internet 只是美国国家安全部门的内部联系网络,他们在制定TCP/IP协议的时候,网络远远没有现今强大。也许是因为当时网络软硬件设备的局限性,设计该协议时只着重考虑了网络的速度,而对网络的安全性没做太多的考虑,甚至根本没考虑。也许是当时开发TCP/IP协议的人根本没有预料互联网会发展如此之迅速,所以TCP/IP协议在安全设计上先天不足,这使得现今的网络非常不安全。而IP 是TCP/IP协议组中非面向连接、非可靠传输的网络协议。所以IP 自身存在着不安全因素,这是与生俱来的,不可消除的,只能用防御措

施来减小到最小程度。

IP 的基本功能是提供数据传输、包编址、包寻径、分段和简单的包错误检测。在网络环境中发送数据包时,它不提供保证可靠性的任何机制,IP 只是发送数据包,并且保证它的完整性。如果不能收到完整的IP 数据包,IP 会向源地址发送一个ICMP(网际控制消息协议,它用于根据网络条件保证数据传送的协议,主要是向IP 层或其它层发送不同的错误信息) ,希望重新处理,然而这个包也可能丢失。

因为IP 是非面向连接的,所以不保持任何连接状态的信息。由此可以看出,可以对IP 堆栈进行修改,制造任意满足要求的源地址和目标地址,从而形成IP 欺骗。IP 欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。IP 编址功能,可以成功地将数据传输到正确的网络或者子网。每个网络结点具有一个32位的IP 地址,它和48位的MAC 地址一起协作,完成网络通信。该地址不但标识了一个既定的网络,而且还指明了是该网络上的哪个结点。

四、如何解决局域网内盗用IP 的问题

盗用IP 应该是只能盗用本网段的IP 。原因:一个最简单的网段,也要有一个路由器作为出口。在路由器的配置中,要指定这个网段的网络地址和掩码。如果这个网段的机器使用了其它网段的IP ,则路由器不认为这个IP 属于它的网段,所以不给转发。

如果局域网内若有两台主机的IP 地址相同,则两台主机将相互报警,且无法上网,造成网络混乱。在局域网内任何用户使用未经授权的IP 地址都应视为IP 盗用,因此,IP 盗用成了网管人员最头疼的问题。当几百台、甚至上千台主机同时上网,如何防止IP 地址盗用问题是很重要的,是维护网络正常运转的必要技术手段[4]。

4.1 IP地址非法使用的动机分析

IP 地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:

(1) 干扰、破坏网络服务器和网络设备的正常运行。

(2) 企图拥有被非法使用的IP 地址所拥有的特权。最典型的就是因特网的访问权

限。

(3) 因机器重新安装、临时部署等原因,无意中造成的非法使用。

4.2 IP地址盗用方法分析

IP 地址是在网际范围标识主机的一种逻辑地址。在局域网中使用MAC (物理地址)作为寻址方式,为了让报文在物理网上传输,必须知道彼此之间的物理地址。ARP 协议是完成IP 地址转换成MAC 地址的协议。在局域网上通过每个站点的网络接口卡发送和接受数据。网络接口卡(NIC )的物理地址由MAC 决定。每个NIC 厂家的MAC 都必须严格遵守IEEE 组织的规定,保证世界上任何NIC 的MAC 都是独一无二的。因此,MAC 固化在每个NIC 中,不可更改。

在以太网网络数据传输中,每个数据帧的头部含有MAC 地址,以太网交换设备依据数据帧头中的MAC 源地址和MAC 目的地址实现数据帧的交换和传输。在实际应用中,用户因某种原因有改动客户端的IP 地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP 地址的管理。为了有效地防止和杜绝这类问题的发生,保证IP 地址的唯一性,网络管理员必须建立规范的IP 地址分配表、IP 地址和硬件地址(MAC )登记表,并且做到相关信息备案。

盗用IP 地址是一个经常存在的问题,它不需要编程,只要在主机上作适当的配置即可。当一台主机使用不是分配给自己的IP 地址时,就有盗用IP 地址的嫌疑了。如果在一个子网中,具有合法IP 地址的主机未开机,盗用者就可以使用这个IP ,唯一留下

的痕迹就是物理地址。IP 地址的盗用方法多种多样,其常用方法主要有以下几种:

1. 静态修改IP 地址

对于任何一个TCP/IP实现来说,IP 地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改TCP/IP配置时,使用的不是授权机构分配的IP 地址,就形成了IP 地址盗用。由于IP 地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP 地址的静态修改,除非使用DHCP 服务器分配IP 地址,但又会带来其它管理问题。

2. 成对修改IP-MAC 地址

对于静态修改IP 地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP 盗用技术又有了新的发展,即成对修改IP-MAC 地址。MAC 地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC 地址在所有以太网设备中必须是唯一的,它由IEEE 分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC 地址可以使用网卡配置程序来进行修改。如果将一台计算机的IP 地址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址,那静态路由技术[5]就无能为力了。

另外,对于那些MAC 地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC 地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。

3. 动态修改IP 地址

对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP 地址(或IP-MAC 地址对),达到IP 欺骗并不是一件很困难的事。

4.3 防范技术研究

目前发现IP 地址盗用比较常用的方法是,通过SNMP 协议(Simple Network

Management protocol,简单网络管理协议) 定期扫描网络各路由器的ARP (Address Resolution Protocol,地址解析)表,获得当前正在使用的IP 地址以及IP-MAC 对照关系,与合法的IP 地址表,IP-MAC 表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的IP 地址会出现MAC 地址冲突的提示) 也可以发现IP 地址的盗用行为。在此基础上,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP 地址的盗用[6]。

1. 路由器隔离

采用路由器隔离的办法其主要依据是,MAC 地址作为以太网卡地址是全球唯一的不能改变的。对于非法访问,有几种办法可以制止,如:

(1) 使用正确的IP 与MAC 地址映射覆盖非法的IP-MAC 表项。

(2) 向非法访问的主机发送ICMP 不可达的欺骗包,干扰其数据发送。

(3) 修改路由器的存取控制列表,禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP 表,即路由器中IP 与MAC 地址的映射不通过ARP 来获得,而采用静态设置。这样,当非法访问的IP 地址和MAC 地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。

以CISCO7609路由器为例,设置的方法是:

Telnet 192.164.1.34 ;路由器的IP 地址

User Access Verification

Password:********

cy7609>en

Password:********

cy7609#config t

Enter configuration commands, one per line. End with CNTL/Z.

cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa

cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa

cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa

cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa

……

cy7609(config)#exit

cy7609#write

Building configuration...

[OK]

cy7609#

因此在路由器上建立了一个静态的ARP 表,合法的IP 地址和MAC 建立了一一对应的关系,使未经授权的IP 无法通过路由器转发数据。经过IP 地址和MAC 地址的绑定,解决了内联网IP 地址的盗用问题。

2. 交换机控制

尽管采取了IP 地址与MAC 地址的绑定措施,但如果对Windows98或Windows2000有点了解的人知道,在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中,用户可以随意修改主机的MAC 地址。这意味着用户可以同时盗用合法用户的IP 及MAC 地址。

如果将一台计算机的IP 地址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址,那静态路由技术就无能为力了。那我们可以用交换机控制机制来解决这个问题。

交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC 地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC 地址表。任何与交换机直接相连或处于同一广播域的主机的MAC 地址均会被保存到交换机的MAC 地址

表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP 代理通信可以获取每个交换机保存的与端口对应的MAC 地址表,从而形成一个实时的Switch-Port-MAC 对应表。将实时获得的Switch-Port-MAC 对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC 地址,进一步即可判定是否有IP 地址盗用的发生。如果同一个MAC 地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC 成对盗用。

如何来解决这个问题呢?我们可以借助交换机的端口-MAC 地址绑定功能[7]。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC 地址绑定功能。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝。

以CISCO2950交换机为例,其设置的方法是:

User Access Verification

Password:********

switch153>en

Password:********

switch153#config t

Enter configuration commands, one per line. End with CNTL/Z.

switch153(config)#int f0/1

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#int f0/2

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#int f0/3

switch153(config-if)#port secu max 99

switch153(config-if)#shutdown

switch153(config-if)#exit

switch153(config)#exit

switch153#clear mac secu

switch153#config t

Enter configuration commands, one per line. End with CNTL/Z.

switch153(config)#mac secure 5254.AB2C.3845 f0/1

switch153(config)#mac secure 00E0.4C6B.7F05 f0/2

switch153(config)#mac secure 0000.E8B1.4AC2 f0/2

switch153(config)#mac secure 5254.4CBD.1D71 f0/3

switch153(config)#mac secure 5254.AB3A.4D9B f0/3

switch153(config)#mac secure 5254.AB4C.9603 f0/3

switch153(config)#int f0/1

switch153(config-if)#port secu max 1

switch153(config-if)#no shutdown

switch153(config-if)#int f0/2

switch153(config-if)#port secu max 2

switch153(config-if)#no shutdown

switch153(config-if)#int f0/3

switch153(config-if)#port secu max 3

switch153(config-if)#no shutdown

switch153(config-if)#exit

switch153(config)#exit

switch153#write

Building configuration...

[OK]

switch153#

本例中仅以端口1、2、3为例。即端口1允许的MAC 地址是5254.AB2C.3845;端口2允许的MAC 地址是:00E0.4C6B.7F05和0000.E8B1.4AC2。

3. 防火墙与代理服务器

使用防火墙与代理服务器相结合,也能较好地解决IP 地址盗用问题。这是一种在应用层上解决IP 盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,IP 地址的使用可以是无偿的,即变IP 管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP 主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP ,也没有用户名和密码,不能使用外部网络。

4.4 分析防范技术的优缺点并提出改进策略

这些机制都有一定的局限性,比如说,路由器隔离技术虽然能够较好地解决IP 地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC 地址,对这样的IP 地址盗用它就无能为力了。交换机控制虽然能解决成对的盗用问题,但最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。

为了更好解决IP 地址盗用问题,我们可以采用一种综合防范模型,即结合静态路由和防火墙的优点,使用IP-MAC-User 三个元素来进行授权验证,以实现防止IP 盗用。其工作原理是:实现一个透明网关,该网关跨接在内部网络和外部网络之间,对于内部主机访问外部网络,在内部主机使用ARP 获取外部主机或路由器地址时,验证其

IP-MAC 地址对,不匹配的非法主机不能获得ARP 应答信息,因而不能继续和外部网络的通讯;对于外部主机访问内部网络,则采用静态路由,使IP-MAC 地址对不匹配的内部主机接收不到正确的IP 包。另外,为了防止IP-MAC 地址成对修改的情况,外部IP 包经过透明网关时,如果其源地址为外部网络的主机(CERNET 计费范围),则还要检测其目的主机是否有用户注册,没有用户注册的目的地址的IP 包被丢弃,有用户注册的目的地址的IP 包则被转发进去,同时将IP 流量记入该用户的帐上。这样,即使用户成对修改了IP-MAC 地址,如果没有合法的用户注册,它仍不能访问外部网络,盗用IP 地址失去意义(大部分IP 地址盗用的主要出发点是逃避网络计费);而对于正常的用户,无论使用哪台机器都可以自由访问内部网络,如果在透明网关上注册,则可以自由访问外部网络,并且网络流量费用自动记录到用户帐上。透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。今后如何突破这个瓶颈问题成为研究的重点。

五、结 论

随着网络技术在国内的蓬勃发展,网络已经深入人们生活的方方面面。但在享受其带来方便的同时,有个问题也经常困扰着网络管理员和用户,那就是网络内分配的IP 地址经常被盗用,授权用户自己的IP 地址在网络中产生冲突,无法进入网络。有时内部人员非法使用IP 地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。然而这种现象却导致了网络管理的混乱,影响授权用户的利益,也对用网络流量来进行计费的宽带网带来较大的影响。所以说解决IP 盗用问题是一件紧迫的事情。

本文对常见的IP 盗用方法(静态修改IP 地址,成对修改IP-MAC 地址,动态修改IP 地址)进行分析,进而提出解决方法(路由器隔离,交换机控制,防火墙与代理服务器),并以CISCO 路由和交换机为例进行安全设置。给用户提供一些预防IP 盗用的方法,使网络用户能更好的保护自己的合法权益和维护网络安全。

六、致 谢

感谢李福亮教授和高双喜老师对本人在完成此论文中细心的指导以及无私的帮助和支持,特此感谢。

同时感谢论文期间给予我支持和帮助的所有单位同事和朋友们!

参考文献

[1] 胡道元. 计算机局域网[M].北京:清华大学出版社,2001:190-358.

[2] 朱理森, 张守连. 计算机网络应用技术[M].北京:专利文献出版社,2001:25-50.

[3] W.Richard Stevens著, 尹浩琼, 李剑等译,TCP/IP详解[M].北京:机械工业出版

社,2003:20-80.

[4] Cormac Long主编, 北京超品技术有限责任公司译,IP 网络设计[M].北京:人民邮电出

版社,2002:56-102.

[5] Robert Wright著,IP ROUTING PRIMER IP路由技术基础[M].北京:清华大学出版

社,2001:87-223.

[6] 江凤莲. 如何防止IP 盗用[J].现代企业教育,2006(12):10-12.

[7] 王道胜. 局域网中IP 地址盗用的研究与防范[J].电脑学习,2005(06):12-14.


相关文章

  • 电工技师论文
  • 技师专业论文 (宋体二号加粗) 题目:变电运行设备的自动化技术与维护工作分析 (黑体三号) 姓 名: ××× (宋体小三) 职 业: 电工 身份证号: 鉴定等级:技师(高级技师) 单 位: 二〇一三年三月三十日 变电运行设备的自动化技术与维 ...查看


  • 文船技维修电工技师.高级技师培训日程表
  • 文船维修电工技师.高级技师培训日程表 序号 1 2 3 4 5 6 日期 3 月 15 日 3 月 22 日 3 月 23 日 3 月 29 日 4 月 12 日 4 月 13 日 文船 7 8 4 月 19 日 4 月 20 日 9:00 ...查看


  • 05数控技师毕业论文
  • 专业论文 工种:数控车工 浅谈机械制造中数控技术的应用 姓 名:郭剑 身份证号:[***********] 等 级:技师 准考证号: 培训单位:新乡技师学院 鉴定单位: 2011年2月20日 摘要:数控技术是实现机械制造自动化的关键,直接影 ...查看


  • 制冷设备维修工技师论文及答辩重点
  • 制冷设备维修工技师论文及答辩重点 广东省机械技师学院 刘文利 每位考生必须提交一篇论文,字数不少于2000字.而且是在获得高级工资 格之后撰写的.内容应该与制冷设备维修.管理密切相关.因此,考生应该根据 自己从事制冷设备维修.管理的实践经验 ...查看


  • 如何撰写一篇好的技师论文
  • 如何撰写一篇好的技师论文 [撰写技师论文的要求] 撰写技师论文的要求.选题.写作要点.答辩 不少技术工人工作实践多年,曾参与不少技术项目的安装和调试,工作中也取得不少成果,甚至获得各种奖励,但在撰写论文时,不知写哪些内容,也就是如何选题?这 ...查看


  • 如何准备技师论文答辩
  • 如何准备技师论文答辩 作者:洪惠良 来源:<职业·下旬>2012年第03期 对于申报技师技术等级的学生来说,在完成技师论文写作后,论文答辩又将是必须面对的重要一关.进行技师论文答辩时,采用一次一人的答辩方式,即申报者先进行论文的 ...查看


  • 技师申报材料要求
  • 附件1: 技师申报材料要求 2012年技师申报材料包括: 一.身份证复印件及2寸免冠照片4张(照片背面须注明本人姓名). 二.申报工种的高级工技术等级岗位证书. 三.机关事业单位技术工人继续教育证书. 四.学历证书. 五.工作总结(主要是近 ...查看


  • 民航安全检查员技师鉴定公告
  • 民航安全检查员技师鉴定公告 根据民航总局开展高技能人才鉴定工作的总体部署,定于 2007年12月进行民航安全检查员技师职业技能鉴定考评工作. 现就此次民航安全检查员技师职业技能鉴定有关事项公告如下: 一. 鉴定工种和等级 二级/民航安全检查 ...查看


  • 企业信息管理师简章
  • 企业信息管理师(CIO)国家职业资格认证介绍 CIO中文意思是:首席信息官或首席企业信息管理师,英文是(Chief information officer),简称:CIO.CIO是一个比较新的职位,通常负责对企业内部信息系统和信息资源规划和 ...查看


  • 技师.高级技师论文格式要求
  • 技师.高级技师论文格式要求 页面布置(页边距):上.下(25.4mm),左.右(31.75mm) 一.封面:包括题目.作者.工作单位.写作时间,注明技师.高级技师参评论文. 二.论文题目.摘要.关键词 1.题目:按本职业工作项目,列出常规学 ...查看


热门内容