IP地址盗用常用的方法及其防范机制

  • A+
所属分类:未分类

IP地址盗用常用的方法及其防范机制

 目前Ip地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。Ip地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究Ip地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。
Ip地址盗用常用的方法及其防范机制
  Ip地址盗用是指盗用者使用未经授权的Ip地址来配置网上的计算机。Ip地址的盗用通常有以下两种方法:
  一是单纯修改Ip地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的Ip地址,就形成了Ip地址盗用。由于Ip地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的Ip地址。
  二是同时修改Ip-MAC地址的方法。针对单纯修改Ip地址的问题,很多单位都采用Ip-MAC捆绑技术加以解决。但Ip-MAC捆绑技术无法防止用户对Ip-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的Ip和MAC地址都修改为另一台合法主机对应的Ip和MAC地址,那么Ip-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
  目前发现Ip地址盗用比较常用的方法是定期扫描网络各路由器的ARp(address resolution protocol)表,获得当前正在使用的Ip地址以及Ip-MAC对照关系,与合法的Ip地址表,Ip-MAC表对照,如果不一致则有非法访问行为发生。另外,从用户的故障报告(盗用正在使用的Ip地址会出现MAC地址冲突的提示)也可以发现Ip地址的盗用行为。在此基础上,常用的防范机制有:Ip-MAC捆绑技术、代理服务器技术、Ip-MAC-USER认证授权以及透明网关技术等。
  这些机制都有一定的局限性,比如Ip-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止Ip地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于Ip地址盗用者仍然具有Ip子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
利用端口定位及时阻断Ip地址盗用
  交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMp(Simple Network Management protocol)管理站与各个交换机的SNMp代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-port-MAC对应表。将实时获得的Switch-port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步即可判定是否有Ip地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着Ip-MAC成对盗用。
  发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-port-MAC对应表,就可以立即定位到发生盗用行为的房间。
  发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMp管理站向交换机代理发出一个SNMp消息来关断发生盗用行为的端口,这样盗用Ip地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
  端口的关断可以通过改变其管理状态来实现。在MIb(Management Information base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
  这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
  set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
  结合Ip-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断Ip地址的盗用行为,尤其是解决了Ip-MAC成对盗用的问题,同时也不影响网络的运行效率

 

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: