在大多数局域网的运行管理工作中,网络管理员负责管理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。但在Windows操作系统中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。
a. 非法的IP地址即IP地址不在规划的局域网范围内。
b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。
c.冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
1 IP地址非法使用的动机?
IP地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:
a. 干扰、破坏网络服务器和网络设备的正常运行。
b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的,就是因特网访问权限。
c. 因机器重新安装、临时部署等原因,无意中造成的非法使用。
2 非法使用方法
2.1 静态修改IP地址配置 用户在配置TCP/IP选项时,使用的不是管理员分配的IP地址,就形成了IP地址的非法使用。
2.2 同时修改MAC地址和IP地址
非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。
2.3 IP电子欺骗
IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程,发送带有假冒的源IP地址的IP数据包
3 管理员的技术手段
3.1 静态ARP表的绑定
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。
该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。
3.2 交换机端口绑定
借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
3.3 VLAN划分
严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
3.4 与应用层的身份认证相结合
避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,可以有效降低IP地址非法使用所带来的危害。
4 管理建议
a.普通用户明白非法使用IP地址所产生的危害和处罚措施,制定并实施严格的IP地址管理制度,包括:IP地址申请和发放流程,IP地址变更流程,临时IP地址分配流程,机器MAC地址登记管理,IP地址非法使用的处罚制度。
b.非法使用IP的行为,总是内部网络少数人的行为。因此,对于已经建成的网络,管理员要根据当前存在的问题,有针对性的运用技术措施,重点阻止个别用户的非法行为。
c. 划分VLAN时,兼顾可管理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益。
d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作,避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络管理员查找网络故障的根源。同时,网络管理员还可以借助网管系统,很方便的管理网络交换机,针对个别问题突出的用户,进行交换机端口绑定操作,禁止其修改MAC地址。
e. 与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于容易盗用的资源,建议有条件的单位采用指纹鼠标等先进的身份认证系统,强化重要系统的安全强度。
5 结束语
内部人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段,还拥有各种内部管理手段。如果单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的管理维护的统一。
全站资源
- 微软官方入门教程19:轻松掌握Vista系统的快
- 微软2008大冲击,预借Vista SP1力促Vista市
- 在收件箱中获得 Windows Vista 的最新更新
- 微软官方Vista入门教程全集19篇(Vista学院
- Windows Vista 的成功将势不可挡
- 快快抛弃Vista,拥抱XP SP3!你觉得呢?
- 浅谈Vista系统关闭虚拟内存与使用内存盘加速
- 嘿嘿,按下键盘上面的三个键,马上让你的Vi
- Windows Vista的盗版率只有Windows XP的一半
- 3DMark和PCMark Vantage新版将只支持Vista系
阅读排行
- 网吧频繁掉线(ARP)与解决方法
- ARP病毒解决办法
- 局域网受ARP欺骗攻击后的解决方法(图)
- 网络管理之IP地址篇
- 局域网内如何防止ARP欺骗
- 使用ARP命令来绑定IP和MAC地址
- 网管必读-常用网络命令
- ARP攻击原理及解决方法
- ARP病毒问题的处理
- 一个20岁网管的真情自白书
最新技术文档
- 宽带路由器性能评判常见误区
- 如何进入Cisco路由器配置模式
- Cisco路由器如何定位和装载IOS
- 如何配置局域网的通信协议(3)
- 如何配置局域网的通信协议(2)
- 如何配置局域网的通信协议(1)
- 小技巧:ADSL多用户共享设置方法
- [图文]无线攻防:破解WEP密钥
- 关于网络故障的全面分析排除实战
- 网络攻击机制和技术发展综述
专题教程
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册
- Picasa中文版_Picasa教程 专题:清除流氓软件
- Firefox专题 seo搜索引擎优化专区
- 重装Windows必知的事情 装机之必备软件大行动
病毒专杀栏