发信人: horsearmor(马甲)
整理人: terryh(2004-03-19 15:03:44), 站内信件
|
随着网络技术在国内的蓬勃发展,宽带网和校园网用户飞速增长。但在享受各种多媒体信息的同时,宽带网络内分配的IP地址经常被盗用随时困扰着网络管理员和用户,授权用户用自己的IP地址在网络中产生冲突,无法进入网络。
这导致了网络管理的混乱,影响授权用户的利益,也对用网络流量来进行计费的学校和运营商带来较大的影响。
盗用ip的方法:
1. 修改静态IP地址
在修改TCP/IP协议属性配置时,使用的不是网络管理员分配的IP地址,而是已知的授权的IP地址。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,当盗用者修改IP地址后,也可以通过网关访问外网。
2. 成对地修改IP地址和MAC地址
为防止静态IP地址被修改,一般采用静态路由技术予以解决。针对静态路由技术,IP盗用技术又有了新的门路,即成对修改IP-MAC地址。MAC地址是设备的物理地址,对于我们常用的以太网来说,俗称为计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,目前的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和 MAC地址都改为一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。另外,对于那些MAC地址不能直接修改的网卡来说,高明的盗用者还可以采用软件的办法来修改MAC地址。
几种防止IP地址被盗的方法:
1.锁定交换机端口
用MAC地址表(MAC-address-table)的方式对端口进行锁定,只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接,其他的网卡地址不能通过该端口访问网络。
对cisco交换机而言,用下述指令:
Switch#config terminal
Switch(conf)#mac-address-table permanent 083c.0000.0002 e0/1
Switch(conf)#int e0/1
Switch(conf-if)#port secure max-mac-count 1
Switch(conf-if)#exit
Switch(conf)#exit
2. 应用ARP绑定IP地址和MAC地址
ARP(Address Resolution Protocol)即地址解析协议,这个协议是将IP地址与网络物理地址一一对应的协议。每台计算机的网卡的MAC地址都是唯一的。在三层交换机和路由器中有一张称为ARP的表,用来支持在IP地址和MAC地址之间的一一对应关系,它提供两者的相互转换,具体说就是将网络层地址解析为数据链路层的地址。
我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。以Cisco交换机为例,在Cisco Catalyst 5000网络交换机上,关于ARP表的设置和删除有以下几条命令:
Set arp [dynamic | static] {ip_addr hw_addr}( 设置动态或静态的ARP表);
ip_addr(IP地址),hw_addr(MAC地址);
set arp static 61.28.1.1 00-50-21-d5-b7-14(将将IP地址61.28.1.1和网卡MAC地址00-50-21-d5-b7-14绑定);
set arp static 61.28.1.3 00-00-00-00-00-00(对未用的IP进行绑定,将MAC地址设置为0);
set arp agingtime seconds(设置ARP表的刷新时间,如Set arp agingtime 300);
show arp (显示ARP表的内容);
clear arp [dynamic | static] {ip_addr hw_addr}(清除ARP表中的内容)。
3. 用PPPoE协议进行用户认证
对于盗用者使用第二种方法同时修改IP地址和MAC地址时,可以使用PPPoE协议进行用户认证。PPPoE的实质是以太网和拨号网络之间的一个中继协议,形成点对点的连接,为授权用户无法盗用。
4. 802.1q认证
每个交换机须支持vlan,每个端口的数据包都代vlan id号,不同端口的连接无法仿冒。通过计费系统来辨别。
5. vpn 认证
用户端用pptp或l2tp协议虚拟拨号连接计费网关,这种方法也难以盗用。
6. supervlan技术的端口隔离
通过子vlan和上层vlan的隔离来防止地址盗用。
后面4种是比较新的实现方式。 |
|