IP地址盗用技术及防范措施.doc

IP地址盗用技术及防范措施！ 一、IP地址盗用方法分析 IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响。IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1、静态修改IP地址 对于任何一个TCP/IP实现来 说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。 3、动态修改IP地址 对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。 目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。 这些机制都有一定的局限性，比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。 二、防范技术 针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 1、交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。 2、路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如： a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项； b.向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送； c.修改路由器的存取控制列表，禁止非法访问。 路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。 路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。 3、防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。 使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群(如高校的学生)来说，用户管理也是一个问题。 4、利用端口定位及时阻断IP地址盗用 交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表，从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC地址，进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC成对盗用。 发现了地址盗用行为后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表，就可以立即定位到发生盗用行为的房间。发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口，这样盗用IP地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。 端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7)，给ifAdminStatus赋不同的值，可以改变端口的管理状态，即“1”开启端口，“2”关闭端口，“3”供测试用。 这样，通过管理站给交换机发送赋值信息(Set Request)，就可以关闭和开启相应的端口，比如要关闭某一交换机(192.168.1.1)的2号端口，可以向该交换机发出如下信息: set(private 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2). 结合IP-MAC绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP地址的盗用行为，尤其是解决了IP-MAC成对盗用的问题，同时也不影响网络的运行效率。 校园网中IP盗用的解决 摘要：IP地址的盗用问题是网络管理人员最头痛的问题，文章从分析TCP/IP协议出发，以CISCO路由器为例，说明解决IP盗用的一般方法。通过静态的ARP地址表的绑定和交换机端口-MAC地址绑定相结合可以解决IP地址盗用的问题。 一、引言 随着Internet网络的普及与发展，大专院校、集团公司和事业单位等都已组建自己的内联网，再用专线方式或光纤接入互联网。集团内的网络管理部门在规划自己的内部网段时，为用户分配并制定了相应的网络IP地址资源，以保证通信数据的正常传输。网络管理员在配置IP地址资源时，应满足下面两个方面： （1）分配的地址应在规划的子网网段范围内； （2）分配的IP地址对任何联网的主机必须是惟一的； 内联网上若有两台主机的IP地址相同，则两台主机将相互报警，且无法上网，造成网络混乱。在内联网上任何用户使用未经授权的IP地址都应视为IP盗用，因此，IP盗用成了网管人员最头疼的问题。当几百台、甚至上千台主机同时上网，如何防止IP地址盗用问题是很重要的，是维护网络正常运转的必要技术手段。 内联网在实际运行中，网络管理员负责管理用户IP地址的分配，通过正确地注册后才认为合法用户。但由于Windows系统决定终端用户可以自由修改IP地址的设置。改动后的IP地址在内联网中运行时可导致以下结果：（1）非法的IP地址；即IP地址不在规划的内联网范围之内，（2）重复的IP地址；与已经分配且正在内联网运行的合法的IP地址发生资源冲突，使合法用户无法上网；（3）盗用合法用户的IP地址；如果不对网络采取各种防范措施，将涉及到网络的正常运行及用户的合法权益受到侵害。 二、IP地址盗用方法分析 Internet是一个建立在TCP/IP协议上的互联网络。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址。IP地址是在网际范围标识主机的一种逻辑地址。在局域网中使用MAC（物理地址）作为寻址方式，为了让报文在物理网上传输，必须知道彼此之间的物理地址。ARP协议是完成IP地址转换成MAC地址的协议。在局域网上通过每个站点的网络接口卡发送和接受数据。网络接口卡（NIC）的物理地址由MAC决定。每个NIC厂家的MAC都必须严格遵守IEEE组织的规定，保证世界上任何NIC的MAC都是独一无二的。因此，MAC固化在每个NIC中，不可更改。 在以太网网络数据传输中，每个数据帧的头部含有MAC地址，以太网交换设备依据数据帧头中的MAC源地址和MAC目的地址实现数据帧的交换和传输。在实际应用中，用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP地址的管理。为了有效地防止和杜绝这类问题的发生，保证IP地址的惟一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址（MAC）登记表，并且做到相关信息备案。 盗用IP地址是一个经常存在的问题，不需要编程，只要在主机上作适当的配置即可。当一台主机使用不是分配给自己的IP地址时，就有盗用IP地址的嫌疑了。盗用IP地址一般只能在本网段内。因为一个网段有一个路由器作为出口，在路由器的配置中，要指定网段的网络地址和掩码。如果这个网段的主机使用了其它网段的IP地址，路由器不认为这个IP是属于它的，所以不给转发。如果在一个子网中，具有合法IP地址的主机未开机，盗用者就可以使用这个IP，唯一留下的痕迹是物理地址。 所谓IP电子欺骗，就是伪造某台主机的IP地址的技术。IP欺骗通常需要用编程来实现。通过使用SOCKET编程，发送带有假冒的源IP地址的IP数据包。对于网络黑客高手来说，绕过上层网络软件，动态修改自己的IP地址，达到IP欺骗并不是一件很困难的事。 三、防范IP盗用的技术方法 1、静态ARP表的绑定 根据接入互联网的IP地址管理是通过IP地址分配和路由器的配置来实现的原理，可以通过设置路由器的静态ARP表，解决IP地址和MAC地址的绑定，保证合法IP地址的惟一性。 这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际之间寻址使用的。因此在网段的路由器上有IP和MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行处理。以CISCO7609路由器为例，设置的方法是： Telnet 192.164.1.34 ；路由器的IP地址 User Access Verification Password: cy7609en Password: cy7609#config t Enter configuration commands, one per line. End with CNTL/Z. cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa cy7609(config)#exit cy7609#write Building configuration. OK cy7609# 因此在路由器上建立了一个静态的ARP表，合法的IP 地址和MAC建立了一一对应的关系，使未经授权的IP无法通过路由器转发数据。经过IP地址和MAC地址的绑定，解决了内联网IP地址的盗用问题。 2、交换机端口绑定 尽管采取了IP地址与MAC地址的绑定措施，但如果对Windows98或Windows2000有点了解的人知道，在系统的“控制面板网络网卡属性高级Network Address设置”中，用户可以随意修改主机的MAC地址。这意味着用户可以同时盗用合法用户的IP及MAC地址。 如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。 如何来解决这个问题呢？我们可以借助交换机的端口-MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问将被拒绝。以CISCO2950交换机为例，其设置的方法是： User Access Verification Password: switch153en Password: switch153#config t Enter configuration commands, one per line. End with CNTL/Z. switch153(config)#int f0/1 switch153(config-if)#port secu max 99 switch153(config-if)#shutdown switch153(config-if)#int f0/2 switch153(config-if)#port secu max 99 switch153(config-if)#shutdown switch153(config-if)#int f0/3 switch153(config-if)#port secu max 99 switch153(config-if)#shutdown switch153(config-if)#exit switch153(config)#exit switch153#clear mac secu switch153#config t Enter configuration commands, one per line. End with CNTL/Z. switch153(config)#mac secure 5254.AB2C.3845 f0/1 switch153(config)#mac secure 00E0.4C6B.7F05 f0/2 switch153(config)#mac secure 0000.E8B1.4AC2 f0/2 switch153(config)#mac secure 5254.4CBD.1D71 f0/3 switch153(config)#mac secure 5254.AB3A.4D9B f0/3 switch153(config)#mac secure 5254.AB4C.9603 f0/3 switch153(config)#int f0/1 switch153(config-if)#port secu max 1 switch153(config-if)#no shutdown switch153(config-if)#int f0/2 switch153(config-if)#port secu max 2 switch153(config-if)#no shutdown switch153(config-if)#int f0/3 switch153(config-if)#port secu max 3 switch153(