高校网络控制IP防盗策略研究
- 格式:pdf
- 大小:235.13 KB
- 文档页数:5
广西民族学院学报(自然科学版)第12卷第3期 JOURNALOFGUANGXIUNIVERSITYFORNATIONALITIESVol.12No.32006年8月(NaturalScienceEdition) Aug.2006
高校网络控制IP防盗策略研究3
许 1,刘红军2,贺忠华1
(11广西民族大学数学与计算机科学学院,广西南宁 530006;
21广西民族大学网络与信息管理中心,广西南宁 530006)
摘 要:计算机网络的飞速发展和广泛应用已经使得IP地址资源相对匮乏,IP地址被盗用也已成为影响网络运行的重要问题.文章针对高校网络中存在的安全问题,给出了IP地址盗用的常用模式和防范策略;针对不同的盗用方式分别给出了IP防盗的方法,彻底解决了IP地址盗用的问题,减轻了网管工作人员的工作负担,提高网络管理的科学性和安全性.关键词:IP地址;MAC地址;静态路由中图分类号:TP311 文献标识码:A文章编号:1007-0311(2006)03-0099-05
0 引言
对于校园用户而言,多数都用专线方式接入互联
网.网络管理部门在实际规划中,网络管理员为入网
用户分配和提供的IP地址,只有通过客户进行正确
地注册后才有效.这为入网用户直接接触IP地址提
供了一条途径,他们有可能自由修改IP地址.改动后
的IP地址在联网运行时可导致三种结果:第一,非法
的IP地址,用户自行修改的IP地址不在规划的网段
内,网络中断;第二,重复的IP地址,与已经分配且正
在联网运行的合法IP地址发生地址冲突,无法上网;第三,非法占用已分配的资源,盗用其他注册用户的
合法IP地址联网通讯.前两种情况可被网络系统自
行识别而屏蔽,导致网络中断,第三种情况操作系统
则不能有效判别.如果网络管理员未采取防范措施,修改IP地址将涉及到注册用户的合法权益,甚至导致整个网络的不稳定,危害很大.
1 IP地址盗用方式及危害
1.1 IP地址的盗用方式通常IP盗用的方法主要有静态地址的修改、成
对修改IP-MAC地址和动态地址的修改三种.前两
种方法普通用户均可以自行修改,而第三种者是网络
精英和黑客高手采用的办法.(1)静态地址的修改.任何一台计算机访问网络资源都是使用TCP/IP协议来实现的,IP地址是每
台计算机配置的选项.网络中的IP地址通常采用静
态和动态分配两种方法,而经过DHCP服务器动态
分配的IP地址,网络管理人员是无法确切的知道该IP的实际用户,造成管理不便,因此很多高校都采用静态IP地址分配方案.静态地址的修改是用户有意
993收稿日期:2006204220.基金项目:广西民族大学青年项目资金资助1作者简介:许(19782),女,广西北海人,广西民族大学教师,研究方向:计算机教学;刘红军(19772),男,广西南丹人,广西民族大学教师,研究方向:计算机网络应用;贺忠华(19702),女,湖南祁东人,广西民族大学教师,研究方向:计算机教学.或无意的修改本机的TCP/IP配置,占用合法用户的IP地址或根据网络IP地址分配规律,占用剩余的或者未分配的IP地址.(2)成对修改IP-MAC地址.由于静态IP地址容易被修改,用户自己就可以实现,所以很多网管采
用了将IP地址与网络适配器物理地址(MAC)绑定
的方法.虽然网络适配器的MAC地址具有全球唯一性,但是现在改变MAC的地址非常简单,可以采用一些软件来更改,市面上也已经出现了专门针对成对修改IP地址和MAC地址的软件,用户只要轻轻按
一个按钮就可以自动实现,有的在注册表里面就可以
更改,所以现在大多数网络,尤其是高校的校园网,在
IP防范上只做IP地址与MAC地址的绑定,这对于网络的安全是非常危险的.(3)动态IP地址的修改.通过使用SOCKET编程,将自己的数据封装然后发送带有假冒的源IP地
址的IP数据包,绕过上层网络软件,动态修改自己的
IP地址.通过此方法对于网络精英或黑客高手来说,达到IP欺骗并不是一件很困难的事.
1.2 IP地址被盗用之后的危害
IP地址被盗用之后将会产生诸多的危害,大体有以下几种.(1)IP地址的浪费.随着Internet网络的发展,权威机构预测现行IPv4版本的IP地址只够用到
2007年,由于IP地址的缺乏和用户的认识水平,可能有意无意的造成IP地址的盗用,使IP地址无谓的
被消耗,因此会造成IP地址的浪费.(2)网络使用费用流失.有偿使用网络服务是保证网络正常维持和健康发展的必要策略,对于按IP计费的接入网络,非法盗用IP地址的用户则将自身的网络使用费率转嫁到了被盗用的正常用户身上,严
重影响了网络计费的公正性,为网络收费管理带来不必要的麻烦.(3)盗取非法的网络服务和网络资源.网络服务的访问权限、网络资源的存取控制等一般都是基于
IP地址认证的安全策略.个别用户会通过盗用IP地址,伪装成合法用户欺骗网络安全策略的检查,实施
一些影响网络安全的违规活动;还有一些恶意破坏者为了达到逃避追踪,隐藏身份的目的而盗用IP地址.
2 IP地址的盗用防范措施
我们可以通过下面几种方法制定相应的IP地址
管理措施和对策来监测和防止IP地址的随意改动问题,以提高网络管理的科学性和安全性.监测时可以
采用多种方法,例如利用Windows系统的ARP功能
形成实时的IP地址与网卡硬件地址的对应表,并结
合编写查询程序实现与历史纪录自动排查,确定问题
的发生点及原因;利用网络交换设备的网络管理功能
寻找IP地址设置冲突对应交换机端口的功能,定位
和查找故障主机点;可以通过设置静态路由表,完成
IP地址和硬件地址的严格对应,保证已分配IP地址的完全唯一性;用VLAN技术使网络中各子网相互
隔离,网络通信限制在子网内,并由ARP表进行用
户IP地址的合法性核查等.通过监测发现IP地址有
人盗用则需采取防盗处理.
2.1 IP地址与MAC地址绑定采用路由器隔离的办法其主要依据是MAC地
址作为以太网卡地址全球唯一不能改变.其方法为通
过SNMP(SimpleNetworkManagementProtocol)
协议定期扫描校园网各路由器的ARP表,获得当前
IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问.对于非法访问,有几种办法可以制止,如:向非法访问的主机发送
ICMP不可达的欺骗包,干扰其数据发送;修改路由器的存取控制列表,禁止非法访问;使用正确的IP与
MAC地址映射覆盖非法的IP-MAC表项.路由器隔离的另外一种实现方法是使用静态
ARP表,即路由器中IP与MAC地址的映射不通过
ARP来获得,而采用静态设置.这样,当非法访问的
IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的数据帧就不会到达非法主机.路由器隔离技术能够较好地解决IP地址的盗用
问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它
就无能为力了.
2.2 采用VLAN网段区分管理使用VLAN技术使网络中各子网相互隔离,网
络通信限制在子网内,并由ARP表进行用户IP地址
的合法性核查.可以通过设置静态路由表,完成IP地
址和硬件地址的严格对应,保证已分配IP地址的完
全唯一性.
VLAN除了具备隔离广播、提高网络性能的作用之外,其重要的作用就在于将不同的工作组隔离开
来,便于实现可控的相互访问.设置不同VLAN间乃
至不同IP地址,将网络划分成若干个网段,将工作业
务相近或相关的计算机划分在同一个VLAN内,为
001广西民族学院学报(自然科学版) 2006年8月 第12卷每个VLAN分配一段IP地址,不同VLAN的IP地
址段不相同,且不允许相互访问.通过VLAN的划
分,将用户的IP限制在某一个区域或场所内使用,可
以有效防止IP地址的盗用.即使用户在本VLAN内修改IP地址,所产生的网络扰乱也被限制在本
VLAN范围之内,不会波及整个网络的正常运作.高校校园网通常分为办公区、学生宿舍区和教职
工宿舍区三个区域,每个区域的用网情况、用网时间
段都有很大区别,因此可将校园网分成若干区域,按
楼栋进行划分区域,每栋建筑物分配一个VLAN,各
个VLAN分配不同的IP地址段,这样即使用户修改
成别人的IP地址也无法登录网络,产生的IP地址冲
突和扰乱也只是发生在本楼栋这一小范围内,不会对
整个校园网造成影响,达到防止IP地址被盗用的目
的.下面是在华为S3026交换机上设置的片断.
sysname4po7-switch-1;∥交换机名
vlan1;∥默认管理VLAN
vlan407;∥允许VLAN407通过
vlan408;∥允许VLAN408通过
interfaceVlan-interface407 ipaddress10.4.7.1255.255.255.0;∥交换
机管理IP地址
interfaceEthernet0/1;∥端口1 broadcast-suppression5;∥广播抑制
portaccessvlan407;∥端口1只能通过
VLAN407
interfaceEthernet0/2;∥端口2 broadcast-suppression5;∥广播抑制
portaccessvlan408;∥端口2只能通过
VLAN408……
interfaceNULL0
iproute-static0.0.0.00.0.0.010.4.7.254
preference60;∥网关……
2.3 采用802.1X基于端口、IP地址与Mac地址绑定
802.1X起源于802.11协议的EAPOL,是最近出现的一种以太网认证技术.802.1X是IEEE为了
解决基于端口的接入控制而定义的一个标准.
802.1X认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制.基于端口的
网络接入控制是在LAN设备的物理接入级对接入设备进行认证和控制.连接在物理端口上的用户设备
如果能通过认证,就可以访问LAN内的资源;如果
不能通过认证,则无法访问LAN内的资源,相当于
物理上断开连接.认证通过时,从远端认证服务器可
以传递来自用户的信息,如VLAN、CAR参数、优先
级、用户的访问控制列表等,此时,用户的流量就将接
受上述参数的监管.使用VLAN子网的问题可以阻止跨区域的IP地址盗用问题,但是如用户修改成本VLAN子网内
的其他IP地址,采用VLAN子网的方法将无法防止
IP地址的越权使用.采用802.1X基于端口的方式,将端口、IP地址和用户的MAC地址进行绑定,那么
用户在该段口之下就只能使用网管分配指定的IP地
址了,彻底的防止了IP地址的非法盗用的问题.每个
交换机均记录着每一个端口对应的MAC地址表,任
何与交换机直接相连或处于同一广播域的主机的
MAC地址均会被保存到交换机的MAC地址表中.通过SNMP管理站与各个交换机的SNMP代理通
信可以获取每一个交换机保存的与端口对应的
MAC地址表,从而形成一个实时的Switch-Port-
MAC(交换机-端口-物理地址)对应表.将实时获得的Switch-Port-MAC对应表与事先获得的合
法的完整Switch-Port-MAC表相比较,就可以快
速发现交换机端口是否出现非法的MAC地址.在获
得合法IP地址之后,在进行用户认证,需要用户输入
自己的用户帐号和密码进行上网.下面以华为综合访
问管理系统(CAMS)为例对华为S3026交换机启用