下载中心  |   网站地图  |   站内搜索  |   加入收藏
*新更新
业界动态
产品信息
安恒动态
技术文章


安恒公司 / 技术文章 / 网络管理与网络测试 / 网络管理 / 分析并解决局域网内盗用IP的安全问题
分析并解决局域网内盗用IP的安全问题
2004-06-03    瑞星社区       阅读:

 
   *IP地址盗用方法分析

  IP地址的盗用方法多种多样,其常用方法主要有以下几种:

  1、静态修改IP地址

  对于任何*个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是*个逻辑地址,是*个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。

  2、成对修改IP-MAC地址

  对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每*个网卡的MAC地址在所有以太网设备中必须是唯*的,它由IEEE分配,是固化在网卡上的,*般不能随意改动。但是,现在的*些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将*台计算机的IP地址和MAC地址都改为另外*台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。

  另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。

  3、动态修改IP地址

  对于*些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是*件很困难的事。

二、防范技术研究

  针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。

  1、交换机控制

  解决IP地址的*彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每*个端口只允许*台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的*大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是*个能够普遍采用的解决方案。

  2、路由器隔离

  采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯*不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事*合法的IP和MAC地址比较,如不*致,则为非法访问。对于非法访问,有几种办法可以制止,如:

  a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;

  b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;

  c.修改路由器的存取控制列表,禁止非法访问。

  路由器隔离的另外*种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。这样,当非法访问的IP地址和MAC地址不*致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。

  路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。

   3、防火墙与代理服务器

  使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意*IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。

  使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是*个问题。
 

责任编辑: admin

相关文章
主动式网络性能及安全评估新技术交流会-太原站  14-05-07 - 阅: 155681
主动式网络性能及安全评估新技术交流会-北京站  14-05-07 - 阅: 156104
UniPRO Mgig 1手持式以太网链路性能测试仪  13-06-08 - 阅: 198819
艾尔麦企业版升*为V10版本,分布式无线网管理与安全解决方案  12-03-21 - 阅: 278276
使用DTX电缆测试仪解决IP电话无法使用的问题案例  11-03-08 - 阅: 236419
IPv6时代选用什么样的网络测试仪  11-02-10 - 阅: 203737
AirMagnet企业版802.11n传感器探针通过FIPS 140-2认证  10-08-25 - 阅: 216113
贝迪B-580材质简介, 管道标识、安全标识推荐  10-05-25 - 阅: 228688
百日计划:新安全经理的成功之道  10-05-19 - 阅: 193514
AHQZ网络应用数据分析仪获得公安部销售许可证,审计与安全分析工具  10-05-11 - 阅: 273144
无线网如何进行基于IPerf的吞吐量测试,无线网性能评估的简单方法  10-04-29 - 阅: 232395
FLUKE 工具与测试包(JackRapid、D914S、D914、D814、D-Impactor、IS60 Pro-Tool、IS50 Pro-Tool、D-Snip)  10-01-22 - 阅: 193401
怎样使用掌上型分析仪解决无处不在的无线网安全问题  09-11-04 - 阅: 186438
分析:小小笔记本面临大的安全威胁  09-01-06 - 阅: 152267
无线局域网在医院应用的安全性研究综述  08-12-23 - 阅: 192066
OptiView综合网络分析仪成为*个能够识别IPv6安全风险的便携式分析仪, OPV-INA  08-11-25 - 阅: 195384
NetFlow Tracker获得Product Leadership Awards 2008银奖  08-04-12 - 阅: 173860
全球移动通信系统(GSM)的安全系统存在着致命的漏洞  08-03-31 - 阅: 196975
人大代表指出无线网安全隐患 提议尽快用WAPI  08-03-12 - 阅: 184302
Wi-Fi安全猛于虎,波音公司的787无线网安全事件引发的思考  08-02-25 - 阅: 184964
相关产品
贝迪IP300智能化标签打印机,高性能打印作业智能解决方案  08-03-25 - 阅: 676493
网络与 VoIP 性能解决方案中心  07-12-17 - 阅: 562845
Fluke Cable Stripper剥线器, Harris  07-05-31 - 阅: 796704
艾尔麦企业版AirMagnet Enterprise(AME) -分布式无线网安全与管理系统  06-07-07 - 阅: 949198
安全标识解决方案,安全警示标签  06-07-03 - 阅: 1133716
管道标签-管道标识解决方案,安全标识GB7231  06-05-30 - 阅: 1051148
单机版无线网防火墙SG Sentry—小型无线网络的安全防护解决方案  05-07-21 - 阅: 1633287
NetTool网络万用表|掌上型网络测试仪NT-PRO|VoIP选件  05-10-21 - 阅: 1727291

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   gentoo.anheng.com.cn   All Rights Reserved    
      北京市海淀区*体南路9号 主语国际商务中心4号楼8层 安恒公司(邮编100048) 电话:010-88018877