IP地址盗用技术及防范措施

1、IP 地址盗用技术及防范措施！一、IP 地址盗用方法分析IP 地址盗用是指盗用者使用未经授权的IP 地址来配置网上的计算机。目前IP 地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP 地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响。IP 地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP 地址对于任何一个TCP/IP实现来 说，IP 地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP 地址，就形成了IP 地址盗用。由于IP 地址是一个逻辑地

2、址，是一个需要用户设置的值，因此无法限制用户对于IP 地址的静态修改，除非使用DHCP 服务器分配IP 地址，但又会带来其它管理问题。2、成对修改IP-MAC 地址对于静态修改IP 地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP 盗用技术又有了新的发展，即成对修改IP-MAC 地址。MAC 地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC 地址在所有以太网设备中必须是唯一的，它由IEEE 分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC 地址可以使用网卡配置程序进行修改。如果将一台计算机的IP 地

3、址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址，那静态路由技术就无能为力了。另外，对于那些MAC 地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC 地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。3、动态修改IP 地址对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP 地址(或IP-MAC 地址对 ，达到IP 欺骗并不是一件很困难的事。目前发现IP 地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol表，获得当前正在使用的IP 地址以及IP-MAC 对照关系

4、，与合法的IP 地址表，IP-MAC 表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP 地址会出现MAC 地址冲突的提示 也可以发现IP 地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER 认证授权以及透明网关技术等。这些机制都有一定的局限性，比如IP-MAC 捆绑技术用户管理十分困难; 透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP 地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP 地址盗用者仍然具有IP 子网

5、内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。二、防范技术针对IP 盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP 地址的盗用。1、交换机控制解决IP 地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上

6、全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。2、路由器隔离采用路由器隔离的办法其主要依据是MAC 地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP 协议定期扫描校园网各路由器的ARP 表，获得当前IP 和MAC 的对照关系，和事先合法的IP 和MAC 地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如：a. 使用正确的IP 与MAC 地址映射覆盖非法的IP-MAC 表项；b. 向非法访问的主机发送ICMP 不可达的欺骗包，干扰其数据发送；c. 修改路由器的存取控制列表，禁止非法访问。路由器隔离的另外一种实现方法是使用静态

7、ARP 表，即路由器中IP 与MAC 地址的映射不通过ARP 来获得，而采用静态设置。这样，当非法访问的IP 地址和MAC 地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决IP 地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC 地址，对这样的IP 地址盗用它就无能为力了。3、防火墙与代理服务器使用防火墙与代理服务器相结合，也能较好地解决IP 地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP 防盗放到应用层来解决，变IP 管理为用户身份和口令的管理，因为用户对于网络

8、的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP 地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP 主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP ，也没有身份和密码，不能使用外部网络。使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群(如高校的学生 来说，用户管理也是一个问题。4、利用端口定位及时阻断IP 地址盗用交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC 地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC 地址表。任何与交

9、换机直接相连或处于同一广播域的主机的MAC 地址均会被保存到交换机的MAC 地址表中。通过SNMP(Simple Network Management protocol管理站与各个交换机的SNMP 代理通信可以获取每个交换机保存的与端口对应的MAC 地址表，从而形成一个实时的Switch-Port-MAC 对应表。将实时获得的Switch-Port-MAC 对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC 地址，进一步即可判定是否有IP 地址盗用的发生。如果同一个MAC 地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC 成对盗用。发现了地址盗用行为

10、后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC 对应表，就可以立即定位到发生盗用行为的房间。发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP 管理站向交换机代理发出一个SNMP 消息来关断发生盗用行为的端口，这样盗用IP 地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。结合IP-MAC 绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP 地址的盗用行为，尤其是解决了IP-MAC 成对盗用的问题，同时也不影响网络的运行效率。校园网中IP 盗用的解决摘

11、要：IP 地址的盗用问题是网络管理人员最头痛的问题，文章从分析TCP/IP协议出发，以CISCO 路由器为例，说明解决IP 盗用的一般方法。通过静态的ARP 地址表的绑定和交换机端口-MAC 地址绑定相结合可以解决IP 地址盗用的问题。一、引言随着Internet 网络的普及与发展，大专院校、集团公司和事业单位等都已组建自己的内联网，再用专线方式或光纤接入互联网。集团内的网络管理部门在规划自己的内部网段时，为用户分配并制定了相应的网络IP 地址资源，以保证通信数据的正常传输。网络管理员在配置IP 地址资源时，应满足下面两个方面：（1）分配的地址应在规划的子网网段范围内；（2）分配的IP 地址对

12、任何联网的主机必须是惟一的；内联网上若有两台主机的IP 地址相同，则两台主机将相互报警，且无法上网，造成网络混乱。在内联网上任何用户使用未经授权的IP 地址都应视为IP 盗用，因此，IP 盗用成了网管人员最头疼的问题。当几百台、甚至上千台主机同时上网，如何防止IP 地址盗用问题是很重要的，是维护网络正常运转的必要技术手段。内联网在实际运行中，网络管理员负责管理用户IP 地址的分配，通过正确地注册后才认为合法用户。但由于Windows 系统决定终端用户可以自由修改IP 地址的设置。改动后的IP 地址在内联网中运行时可导致以下结果：（1）非法的IP 地址；即IP 地址不在规划的内联网范围之内，（2

13、）重复的IP 地址；与已经分配且正在内联网运行的合法的IP 地址发生资源冲突，使合法用户无法上网；（3）盗用合法用户的IP 地址；如果不对网络采取各种防范措施，将涉及到网络的正常运行及用户的合法权益受到侵害。二、IP 地址盗用方法分析Internet 是一个建立在TCP/IP协议上的互联网络。在TCP/IP网络环境下，每个主机都分配了一个32位的IP 地址。IP 地址是在网际范围标识主机的一种逻辑地址。在局域网中使用MAC （物理地址）作为寻址方式，为了让报文在物理网上传输，必须知道彼此之间的物理地址。ARP 协议是完成IP 地址转换成MAC 地址的协议。在局域网上通过每个站点的网络接口卡发送

14、和接受数据。网络接口卡（NIC ）的物理地址由MAC 决定。每个NIC 厂家的MAC 都必须严格遵守IEEE 组织的规定，保证世界上任何NIC 的MAC 都是独一无二的。因此，MAC 固化在每个NIC 中，不可更改。在以太网网络数据传输中，每个数据帧的头部含有MAC 地址，以太网交换设备依据数据帧头中的MAC 源地址和MAC 目的地址实现数据帧的交换和传输。在实际应用中，用户因某种原因有改动客户端的IP 地址和更换网络适配器的可能性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP 地址的管理。为了有效地防止和杜绝这类问题的发生，保证IP 地址的惟一性，网络

15、管理员必须建立规范的IP 地址分配表、IP 地址和硬件地址（MAC ）登记表，并且做到相关信息备案。盗用IP 地址是一个经常存在的问题，不需要编程，只要在主机上作适当的配置即可。当一台主机使用不是分配给自己的IP 地址时，就有盗用IP 地址的嫌疑了。盗用IP 地址一般只能在本网段内。因为一个网段有一个路由器作为出口，在路由器的配置中，要指定网段的网络地址和掩码。如果这个网段的主机使用了其它网段的IP 地址，路由器不认为这个IP 是属于它的，所以不给转发。如果在一个子网中，具有合法IP 地址的主机未开机，盗用者就可以使用这个IP ，唯一留下的痕迹是物理地址。所谓IP 电子欺骗，就是伪造某台主机的

16、IP 地址的技术。IP 欺骗通常需要用编程来实现。通过使用SOCKET 编程，发送带有假冒的源IP 地址的IP 数据包。对于网络黑客高手来说，绕过上层网络软件，动态修改自己的IP 地址，达到IP 欺骗并不是一件很困难的事。三、防范IP 盗用的技术方法1、静态ARP 表的绑定根据接入互联网的IP 地址管理是通过IP 地址分配和路由器的配置来实现的原理，可以通过设置路由器的静态ARP 表，解决IP 地址和MAC 地址的绑定，保证合法IP 地址的惟一性。这是因为在一个网段内的网络寻址不是依靠IP 而是物理地址。IP 只是在网际之间寻址使用的。因此在网段的路由器上有IP 和MAC 的动态对应表，这是由

17、ARP 协议生成并维护的。配置路由器时，可以指定静态的ARP 表，路由器会根据静态的ARP 表检查数据包，如果不能对应，则不进行处理。以CISCO7609路由器为例，设置的方法是：User Access VerificationPassword:cy7609>enPassword:cy7609#config tEnter configuration commands, one per line. End with CNTL/Z.cy7609(config#exitcy7609#writeBuilding configuration.OKcy7609#因此在路由器上建立了一个静态的ARP

18、表，合法的IP 地址和MAC 建立了一一对应的关系，使未经授权的IP 无法通过路由器转发数据。经过IP 地址和MAC 地址的绑定，解决了内联网IP 地址的盗用问题。2、交换机端口绑定尽管采取了IP 地址与MAC 地址的绑定措施，但如果对Windows98或Windows2000有点了解的人知道，在系统的“控制面板网络网卡属性高级Network Address设置”中，用户可以随意修改主机的MAC 地址。这意味着用户可以同时盗用合法用户的IP 及MAC 地址。如果将一台计算机的IP 地址和MAC 地址都改为另外一台合法主机的IP 地址和MAC 地址，那静态路由技术就无能为力了。如何来解决这个问题呢？我们可以借助交换机的端口-MAC 地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC 地址绑定功能。使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问将被拒绝。以CISCO2950交换机为例，其设置的方法是：User Access VerificationPassw