返回
防范ip地址盗用的新方法

防范ip地址盗用的新方法

ID:15210356

大小:111.00 KB

页数:7页

时间:2018-08-02

防范ip地址盗用的新方法_第1页
防范ip地址盗用的新方法_第2页
防范ip地址盗用的新方法_第3页
防范ip地址盗用的新方法_第4页
防范ip地址盗用的新方法_第5页
资源描述:

《防范ip地址盗用的新方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防范IP地址盗用的新方法石岩,蒋东兴,冯珂,李伟清华大学计算机与信息管理中心,北京100084 文摘IP地址盗用是TCP/IP网络中的一个普遍性的问题,尤其是在按流量计费的CERNET网络中这一问题更为严重。本文在分析IP地址盗用方法的基础上,从TCP/IP的不同层次提出相应的防范措施,并给出一种较为理想的解决方案及其实现方法。该方法综合利用TCP/IP数据链路层、IP层和应用层的网络信息,使用ARP截断、静态路由、包过滤及用户注册等多种防范措施解决IP盗用问题。从实际运行结果看,该方法能够较好地解决校园网环境中IP地址盗用问题。 关键词IP地址;IP地址盗用;ARP;

2、静态路由分类号TP309 Internet是一个开放的、互操作的通信系统,其基础协议是TCP/IP。Internet协议地址(简称IP地址)是TCP/IP网络中可寻址设施的唯一逻辑标识,它是一个32位的二进制无符号数。对于Internet上的任一主机,它都必须有一个唯一的IP地址。IP地址由InterNIC及其下级授权机构分配,没有分配到自己的IP地址的主机不能够直接连接到Internet。随着Internet的迅速发展,IP地址的消耗非常快,据权威机构预测,现行IPv4版本的IP只够用到2007年。现在,企业、机构、个人要申请到足够的IP地址都非常困难,作为一种稀缺资

3、源,IP地址的盗用就成为很常见的问题。特别是在按IP流量计费的CERNET网络,由于费用是按IP地址进行统计的,许多用户为了逃避网络计费,用IP地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些用户因为一些不可告人的目的,采用IP地址盗用的方式来逃避追踪,隐藏自己的身份。IP地址盗用侵害了Internet网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此解决IP地址盗用问题成为当前一个迫切的课题。1IP地址盗用方法分析IP地址的盗用方法多种多样,其常用方法主要有以下几种:1)静态修改IP地址对于任何一个TCP/IP实现来说,IP地址

4、都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。2)成对修改IP-MAC地址对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须

5、是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。3)动态修改IP地址对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。2防范技术研究针对

6、IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。2.1交换机控制解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝[1]。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。2.2路由器隔离采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能

7、改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问[2]。对于非法访问,有几种办法可以制止,如:ll        使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;ll        向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;ll        修改路由器的存取控制列表,禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。