《IP盗用的盗用与防范策略.doc》由会员分享,可在线阅读,更多相关《IP盗用的盗用与防范策略.doc(8页珍藏版)》请在三一文库上搜索。
1、IP盗用的盗用与防范策略【 文献标识码 】 A 【 Abstract 】 IP piracy is a major problem facing the campus management, and often threaten the network security, data security, therefore, IP theft is a must solve the problem of network security. The harm caused by theft of IP, discuss the common way of IP theft, analysis an
2、d processing steps of IP theft problem, find out the effective prevention strategies for all kinds of security measures for a brief analysis of applicability, to solve this problem IP theft. 【 Keywords 】 campus network; preventionstrategy; spoofing; network security 1 引言 本文以佛山市华材职业技术学校校园网为缩影,基于分析局域网
3、IP盗用所造成的危害,IP盗用的方式方法,提出相应的技术防范措施,并列举了通过ARP地址欺骗技术以防范IP地址盗用的思路。 2 IP盗用造成的危害 当今是信息时代,网络为我们生活带来了许许多多的便利,日常生活越来越离不开网络,没有网络的日子我们的生活将受到很大的影响。然而我们经常遇到网络安全、数据安全的威胁,其中IP盗用就是其中之一,出现的频率位列首位。 IP盗用是指盗用者使用未经授权的IP来配置网上的计算机。校园网的IP盗用出现最频繁,已是校园网管理中一个迫切解决的问题。 (1)IP盗用严重影响了合法用户的权益,合法用户无法工作和学习。 (2)许多“不法之徒”用盗用的IP来逃避追踪、隐藏自己
4、的身份,利用盗用IP干尽坏事再把责任挂到合法用户的名下,造成合法用户的财物损失。 (3)给网络管理增加了难度,严重的会造成网络服务瘫痪,为网络安全、网络的正常运行带来了巨大的影响。 (4)校园网经常出现DNS、网关、FTP被学生盗用的情况,有时致使校园网瘫痪,对教学管理带来严重的影响。 发生IP盗用的例子很多。曾有一位友人说过她的电脑故障:启动电脑后在任务栏中出现黄色三角符号,显示“Windows错误,IP地址与网络其他系统有冲突”,不能登录局域网,但ADSL可以连上Internet,电脑也没有病毒。友人使用的是Windows操作系统,局域网通过ADSL Modem上网。 又如,2006年3月
5、发生在北京的黑客攻击事件,几家较为著名的ISP相继宣称被同一站点入侵,证据是在受害主机上得到了属于被指控站点的IP纪录,而被指责方则宣称是有人恶意假冒该方IP。双方各执一词,争论不下,一方认定攻击来自被指责方,一方则辩解说IP被假冒,自己被人暗算。 还有在上课时出现的现象。校园网的配置(DNS:172.18.0.100,网关:192.168.1.1,FTP:192.168.0.80),假如学生把IP设为172.18.0.100,那么整个校园需要访问网页时就会发生错误,上不了网,找不到网页;如果学生把IP设为192.168.1.1,那么也会造成网关不通;假设学生把IP设为192.168.0.80
6、,全部学生访问FTP不成功,不能上传和下载资料,严重影响了课堂教学迭序。 因此,IP盗用是校园网一个非常严峻的网络安全问题。本文旨在研究和探讨IP盗用的方式,如何处理IP盗用问题,并找出有效的防范策略。 3 常见的IP盗用方式 为非法获取IP的使用权,IP盗用的方法多种多样,归结大致有四种方式:静态修改IP、成对修改IP-MAC、动态修改IP、IP电子欺骗。 4 IP盗用处理方法 针对常见的IP盗用方式,校园网的IP盗用处理方法通常采用的处理流程,如图1所示。 5 IP盗用防范策略 5.1 静态ARP表绑定 静态ARP表绑定原理:IP是指设定被控制计算机MAC地址主机的IP;绑定是否使该MAC
7、和IP的绑定功能生效;编辑是可以对条目进行修改或者直接删除。 如果校园网中MAC地址为90-FB-A6-14-1F-58的计算机其IP地址为192.168.1.80,而其它计算机都不能以192.168.1.80的IP地址存在,这时需要指定的ARP绑定表,如表1所示。 (1) 在“ARP绑定”中启用绑定功能。 (2) 按照以下数据添加新的过滤条目。 静态ARP表绑定方法如图2所示。 (1)首先,以管理员权限运行命令提示符(CMD)。 (2)在命令提示符中运行“netsh i i show in”查看要进行ARP绑定的网卡的idx编号。 (3)在命令提示符中运行“netsh -c “i i” ad
8、d neighbors idx IP MAC”进行ARP绑定,这里的idx就是上一步查到的网卡的idx编号,IP和MAC就是你要绑定的IP地址和MAC地址。例如:netsh -c “i i” add neighbors 12 192.168.1.8090-FB-A6-14-1F-58 (4)最后在命令提示符下用“arp -a”命令查看下自己所添加的ARP项是否在列表中并且为静态就可以了。“arp -a”命令检测为静态。 (5)解除绑定:netsh -c “i i” delete neighbors IDX (IDX改为相应的数字) 才可删除MAC地址绑定,然后重启系统。 5.2 交换机端口绑定
9、 解决IP的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案1。 5.3 路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问1。对于非法访问,有几种办法可
10、以制止。 a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项。 b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送。 c.修改路由器的存取控制列表,禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机1。对于静态修改IP的问题,现在多数采用静态路由技术加以解决。 路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它
11、就无能为力了。 5.4 防火墙与代理服务器 使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。 使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作
12、的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。 5.5 利用网络监测软件 用户使用网络,访问网络上的资源,就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话,就有可能找出特定用户的位置。 经过对各种方法的测试,发现有一种方法可以在机器安装了防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址,从而确定它的物理位置。 首先,安装网络监测软件Sniffer Pro,用于监测网络上面流动的数据;其次,单击工具条最左边的“开始”按钮,启动探测功能。 找到被盗用的IP地址所对应的网卡MAC地址,就可以查到这台机器究竟是哪台。 6 结束语 IP盗用问题一直难以解决,困绕着不少校园网网络管理员。IP盗用行为是目前校园网管理所面对的最大难题,通过分析IP盗用的危害,IP盗用的常用方式,引出IP盗用处理的常用方法,探讨IP盗用的防范措施,着重介绍如何针对不同的盗用方式实施有效的防范措施,对各种防盗措施进行简短的适用性分析。