局域网内盗用IP的安全问题

本文为您解读IP地址的盗用方法其常用方法主要有以下几种：1、静态修改IP地址 2、成对修改IP-MAC地址3、动态修改IP地址。

　　 一、IP地址盗用方法分析

　　IP地址的盗用方法多种多样其常用方法主要有以下几种：

　　对于任何一个TCP/IP实现来说外链工具其常用方法主要有以下几种：

　　1、静态修改IP地址

　　2、成对修改IP-MAC地址

　　对于静态修改IP地址的问题现在很多单位都采用静态路由技术加以解决。针对静态路由技术IP盗用技术又有了新的发展即成对修改IP-MAC地址。MAC地址是设备的硬件地址对于我们常用的以太网来说即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的它由IEEE分配是固化在网卡上的一般不能随意改动。但是现在的一些兼容网卡其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址那静态路由技术就无能为力了。

　　另外对于那些MAC地址不能直接修改的网卡来说用户还可以采用软件的办法来修改MAC地址即通过修改底层网络软件达到欺骗上层网络软件的目的。

　　3、动态修改IP地址

　　对于一些黑客高手来说直接编写程序在网络上收发数据包绕过上层网络软件动态修改自己的IP地址(或IP-MAC地址对)达到IP欺骗并不是一件很困难的事。

　　二、防范技术研究

　　针对IP盗用问题网络专家采用了各种防范技术现在比较通常的防范技术主要是根据TCP/IP的层次结构在不同的层次采用不同的方法来防止IP地址的盗用。

　　 1、交换机控制

　　解决IP地址的最彻底的方法是使用交换机进行控制即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式即交换机的每一个端口只允许一台主机通过该端口访问网络任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

　　2、路由器隔离

　　采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表获得当前IP和MAC的对照关系和事先合法的IP和MAC地址比较如不一致则为非法访问。对于非法访问有几种办法可以制止如：

　　a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；

　　b.向非法访问的主机发送ICMP不可达的欺骗包干扰其数据发送；

　　c.修改路由器的存取控制列表禁止非法访问。

　　路由器隔离的另外一种实现方法是使用静态ARP表即路由器中IP与MAC地址的映射不通过ARP来获得而采用静态设置。这样当非法访问的IP地址和MAC地址不一致时路由器根据正确的静态设置转发的帧就不会到达非法主机。

　　路由器隔离技术能够较好地解决IP地址的盗用问题但是如果非法用户针对其理论依据进行破坏成对修改IP-MAC地址对这样的IP地址盗用它就无能为力了。

　　 3、防火墙与代理服务器

　　使用防火墙与代理服务器相结合也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决变IP管理为用户身份和口令的管理因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是盗用IP地址只能在子网内使用失去盗用的意义；合法用户可以选择任意一台IP主机使用通过代理服务器访问外部网络资源而无权用户即使盗用IP也没有身份和密码不能使用外部网络。

标签： 用户地址IP修改