IP盗用技术分析及解决方案.doc

类容摘要 1关键词 1Abstract 1Key words 11.引言 22.IP地址盗用技术分析 33.解决方案 63.1动态分配IP地址 63.2交换机控制 73.3路由器隔离 73.4防火墙与代理服务器 83.5利用端口定位及时阻断IP地址盗用 93.6应用ARP绑定MAC地址和IP地址 103.7动态配置MAC地址 12结束语 13参考文献 13内容摘要：IP地址的盗用问题是网络管理人员最头痛的问题， 目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来 逃避追踪、隐藏自己的身份这种行为不仅造成网络中IP地址的混 乱，同时也侵害了网络正常用户的权益，并且给网络安全、网络的正 常运行带来了巨大的负面影响，因此有必要充分了解它的工作原理和 防范措施，以完成对网络的监控和管理，有效地遏制IP地址盗用的行 为关键词：IP MAC TCP/IPAbstract: IP address of the theft problem is that network managers of the most difficult problem, the current IP address acts of theft is very common, many "criminals" using the address acts of theft to avoid tracking, hide their identity. Such acts not only caused the network IP address of the confusion, But also against the interests of the network to normal users, and to network security, network uptime, has brought tremendous negative impact, it is necessary to fully understand its working principle and precautionary measures in order to complete the network monitoring and management, effective to contain the IP address of theft behavior.Key words: IP MAC TCP/IP1.引言IP地址盗用是指在局域网中，盗用者将本机的IP地址修改为本 子网内的另外一个合法用户的IP地址或未分配的IP地址，然后利用 该IP地址去访问网络，以达到非法使用网络资源或隐藏身份从事非 法活动的行为。

这样，一切基于该IP地址的控制或计费都会发生错 误，从而影响合法用户的网络的正常使用，侵害了网络正常用户的合 法权益，给网络带来了巨大的安全隐患和管理难度Internet是建立在TCP/IP协议上的互联网络在TCP/IP网络环 境下，每个主机都分配了一个IP地址IP地址是标识主机的一种逻 辑地址，用户可以任意设置和修改如有两台或多台主机IP地址相 同，则两台或多台主机将相互报警，且无法上网，造成网络混乱另 外，当局域网中的主机A处于关机状态时，主机B就可以使用A的 IP地址登录并进行各种Internet访问当局域网内几百台、甚至上千 台主机同时上网时，如何防止IP地址盗就显得非常重要，是维护网 络正常运转的必要技术手段因此网络管理员在配置IP地址资源时，应满足下面两个方面：(1) 分配的地址应在规划的子网网段范围内；(2) 分配的IP地址对任何联网的主机必须是惟一的；但由于Windows系统决定终端用户可以自由修改IP地址的设置改 动后的IP地址在内联网中运行时可导致以下结果：(1) 非法的IP地址；即IP地址不在规划的内联网范围之内；（2） 重复的IP地址；与已经分配且正在内联网运行的合法的IP地 址发生资源冲突，使合法用户无法上网；（3） 盗用合法用户的IP地址；如果不对网络采取各种防范措施，将 涉及到网络的正常运行及用户的合法权益受到侵害。

2. IP地址盗用技术分析IP地址是在网际范围标识主机的一种逻辑地址在局域网中使 用MAC （物理地址）作为寻址方式，为了让报文在物理网上传输， 必须知道彼此之间的物理地址ARP协议是完成IP地址转换成MAC 地址的协议在局域网上通过每个站点的网络接口卡发送和接受数 据网络接口卡（NIC）的物理地址由MAC决定每个NIC厂家的 MAC都必须严格遵守IEEE组织的规定，保证世界上任何NIC的 MAC都是独一无二的因此，MAC固化在每个NIC中，不可更改在以太网网络数据传输中，每个数据帧的头部含有MAC地址， 以太网交换设备依据数据帧头中的MAC源地址和MAC目的地址实 现数据帧的交换和传输在实际应用中，用户因某种原因有改动客户 端的IP地址和更换网络适配器的可能性这种改动有时具有随意性, 尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP 地址的管理为了有效地防止和杜绝这类问题的发生，保证IP地址 的惟一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬 件地址（MAC）登记表，并且做到相关信息备案盗用IP地址是一个经常存在的问题，不需要编程，只要在主机 上作适当的配置即可。

当一台主机使用不是分配给自己的IP地址时, 就有盗用IP地址的嫌疑了盗用IP地址一般只能在本网段内因为 一个网段有一个路由器作为出口，在路由器的配置中，要指定网段的 网络地址和掩码如果这个网段的主机使用了其它网段的IP地址， 路由器不认为这个IP是属于它的，所以不给转发如果在一个子网 中，具有合法IP地址的主机未开机，盗用者就可以使用这个IP,唯 一留下的痕迹是物理地址IP地址的盗用方法多种多样，其常用方法主要有以下几种：(1) 、静态修改IP地址对于任何一个TCP/IP实现来 说，IP地址都是其用户配置的必 选项如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是 授权机构分配的IP地址，就形成了 IP地址盗用由于IP地址是一 个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP 地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来 其它管理问题2) 、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用静态路由技 术加以解决针对静态路由技术，IP盗用技术又有了新的发展，即 成对修改IP-MAC地址MAC地址是设备的硬件地址，对于我们常 用的以太网来说，即俗称的计算机网卡地址。

每一个网卡的MAC地 址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网 卡上的，一般不能随意改动但是，现在的一些兼容网卡，其MAC 地址可以使用网卡配置程序进行修改如果将一台计算机的IP地址 和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静 态路由技术就无能为力了另外，对于那些MAC地址不能直接修改 的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过 修改底层网络软件达到欺骗上层网络软件的目的3) 、动态修改IP地址对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕 过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到 IP欺骗并不是一件很困难的事目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器 的ARP(address resolution protocol)表，获得当前正在使用的IP地 址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照， 如果不一致则有非法访问行为发生另外，从用户的故障报告(盗用 正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址 的盗用行为在此基础上，常用的防范机制有:IP-MAC捆绑技术、代 理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。

这些机制都有一定的局限性，比如IP-MAC捆绑技术用户管理十 分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成 为瓶颈更重要的是，这些机制都没有完全从根本上防止IP地址盗 用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源 事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因 此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图 者用来攻击子网内的其他机器和网络设备如果子网内有代理服务 器，盗用者还可以通过种种手段获得网外资源3.解决方案3. 1动态分配I P地址动态分配I P地址是解决I P地址盗用的有效手段在设置DH CP服务时，除了为普通用户提供动态I P地址外，还可以借助于绑 定用户网卡MAC地址和I P地址的方式，为某些特殊用户或服务器 保留I P地址，并根据不同I P设定权限这样，既简便了 I P地址 的设置，避免了 I P地址冲突，又保证了特殊用户对固定I P地址需 求另外，为了避免恶意用户盗用特殊用户的I P地址，不妨定期更 换I P地址池的范围，从而减少可能造成的损害该方案适用于计算 机数量较多的网络或子网，否则，采用DHCP服务也可以与其他服 务共用一台服务器。

采用动态IP地址分配，网络中所有的客户端都可以自动得到I P地址，不仅可以有效地防止I P地址冲突，而且还可以大大减轻 网络管理员的工作，对于少量服务器和拥有特殊权限的用户，只需保 留一段MAC地址由手工指定，或直接使用MAC地址绑定I P地址 即可DHCP服务器的保留功能，可以将特定的I P地址给特定的 DHCP客户端用也就是说，当这个DHCP客户端每次向DHCP服务器请示 获得I P地址或更新I P地址的租期时，DHCP服务器都会给该D HC P客户端分配一个相同的I P地址网络采用私有I P地址时， 还可以定期更换所用的I P地址段，从而避免恶意用户猜测到拥有特 殊权限用户的IP地址由于保留I P地址段的范围非常广，因此， 为网络管理员提供了相当大的I P地址选择余地毫无疑问，使用动 态I P地址分配需要设置额外的D H C P服务器，并且需要在每个网 络之中都分别设置一台DHCP服务器，因此，成本的增加是DHC P不得不面对的另外一个重要问题特别是当网络中划分若干个V L AN （虚拟网），而且每个VLAN的计算机数量相对较少时（只有 几台或几十台），使用DHCP服务无疑会造成很大的资源浪费3. 2交换机控制解决ip地址的最彻底的方法是使用交换机进行控制，即在 TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式, 即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其 它地址的主机的访问被拒绝。

但此方案的最大缺点在于它需要网络上 全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个 能够普遍采用的解决方案3. 3路由器隔离采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地 址全球唯一不能改变其实现方法为通过SNMP协议定期扫描网内 各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法 的IP和MAC地址比较，如不一致，则为非法访问对于非法访问， 有几种办法可以制止，如：a. 使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；b. 向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；c. 修改路由器的存取控制列表，禁止非法访问路由器隔离的另外一种实现方法是使用静态ARP表，即路由器 中IP与MAC地址的映射不通过ARP来获得，而采用静态设置这 样，当非法访问的IP地址和MAC地址不一致时，路由器根据正。