快捷搜索:

局域网内盗用IP的安全问题

本文为您解读IP地址的盗用措施,其常用措檀越要有以下几种:1、静态改动IP地址 2、成对改动IP-MAC地址3、动态改动IP地址。

一、IP地址盗用措施阐发

IP地址的盗用措施多种多样,其常用措檀越要有以下几种:

1、静态改动IP地址

对付任何一个TCP/IP实现来说,IP地址都是其用户设置设置设备摆设摆设的必选项。假如用户在设置设置设备摆设摆设TCP/IP或改动TCP/IP设置设置设备摆设摆设时,应用的不是授权机构分配的IP地址,就形成了IP地址盗用。因为IP地址是一个逻辑地址,是一个必要用户设置的值,是以无法限定用户对付IP地址的静态改动,除非应用DHCP办事器分配IP地址,但又会带来其它治理问题。

2、成对改动IP-MAC地址

对付静态改动IP地址的问题,现在很多单位都采纳静态路由技巧加以办理。针对静态路由技巧,IP盗用技巧又有了新的成长,即成对改动IP-MAC地址。MAC地址是设备的硬件地址,对付我们常用的以太网来说,即俗称的谋略机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是独一的,它由IEEE分配,是固化在网卡上的,一样平常不能随意篡改。然则,现在的一些兼容网卡,其MAC地址可以应用网卡设置设置设备摆设摆设法度榜样进行改动。假如将一台谋略机的IP地址和MAC地址都改为别的一台合法主机的IP地址和MAC地址,那静态路由技巧就力所不及了。

别的,对付那些MAC地址不能直接改动的网卡来说,用户还可以采纳软件的法子来改动MAC地址,即经由过程改动底层收集软件达到诈骗上层收集软件的目的。

3、动态改动IP地址

对付一些黑客高手来说,直接编写法度榜样在收集上收发数据包,绕过上层收集软件,动态改动自己的IP地址(或IP-MAC地址对),达到IP诈骗并不是一件很艰苦的事。

二、警备技巧钻研

针对IP盗用问题,收集专家采纳了各类警备技巧,现在对照平日的警备技巧主如果根据TCP/IP的层次布局,在不合的层次采纳不合的措施来防止IP地址的盗用。

1、互换机节制

办理IP地址的最彻底的措施是应用互换机进行节制,即在TCP/IP第二层进行节制:应用互换机供给的端口的单地址事情模式,即互换机的每一个端口只容许一台主机经由过程该端口造访收集,任何其它地址的主机的造访被回绝。但此规划的最大年夜毛病在于它必要收集上整个采纳互换机供给用户接入,这在互换机相对昂贵的本日不是一个能够普遍采纳的办理规划。

2、路由器隔离

采纳路由器隔离的法子其主要依据是MAC地址作为以太网卡地址举世独一不能改变。着实现措施为经由过程SNMP协议按期扫描校园网各路由器的ARP表,获适合前IP和MAC的对比关系,和事先合法的IP和MAC地址对照,如不同等,则为不法造访。对付不法造访,有几种法子可以制止,如:

a.应用精确的IP与MAC地址映射覆盖不法的IP-MAC表项;

b.向不法造访的主机发送ICMP弗成达的诈骗包,滋扰其数据发送;

c.改动路由器的存取节制列表,禁止不法造访。

路由器隔离的别的一种实现措施是应用静态ARP表,即路由器中IP与MAC地址的映射不经由过程ARP来得到,而采纳静态设置。这样,当不法造访的IP地址和MAC地址不同等时,路由器根据精确的静态设置转发的帧就不会到达不法主机。

路由器隔离技巧能够较好地办理IP地址的盗用问题,然则假如不法用户针对其理论依据进行破坏,成对改动IP-MAC地址,对这样的IP地址盗用它就力所不及了。

3、防火墙与代理办事器

应用防火墙与代理办事器相结合,也能较好地办理IP地址盗用问题:防火墙用来隔离内部收集和外部收集,用户造访外部收集经由过程代理办事器进行。应用这样的法子是将IP防盗放到利用层来办理,变IP治理为用户身份和口令的治理,由于用户对付收集的应用归根结底是要应用收集利用。这样实现的好处是,盗用IP地址只能在子网内应用,掉去盗用的意义;合法用户可以选择随意率性一台IP主机应用,经由过程代理办事器造访外部收集资本,而无权用户纵然盗用IP,也没怀孕份和密码,不能应用外部收集。

应用防火墙和代理办事器的毛病也是显着的,因为应用代理办事器造访外部收集对用户不是透明的,增添了用户操作的麻烦;别的,对付大年夜数量的用户群(如高校的门生)来说,用户治理也是一个问题。

您可能还会对下面的文章感兴趣: