`
qq370079140
  • 浏览: 15659 次
  • 性别: Icon_minigender_1
  • 来自: 厦门
社区版块
存档分类
最新评论

解决局域网中IP盗用问题的三种技术手段

ip 
阅读更多

局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用?

  引入问题

  对于集团用户而言,多数都用专线方式接入互联网。网络管理部门在规划的网段中,为注册用户分配并制定了相应的网络IP地址资源,以保证通信数据的正常传输。这里,静态的IP地址是必不可少的配置项目之一,它享有“网络通信身份证的特权。网络管理员在配置IP地址资源时,对其正确性有特殊的要求,表现在下面两个方面:分配的地址应在规划的子网网段范围内;分配的IP地址对任何联网的主机必须是惟一的,即无二义性。

  在实际中,网络管理员为入网用户分配和提供的IP地址,只有通过客户进行正确地注册后才有效。 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入,入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果:1.非法的IP地址,自行修改的IP地址不在规划的网段内,网络呼叫中断;2.重复的IP地址,与已经分配且正在联网运行的合法的IP地址发生资源冲突,无法链接;3.非法占用已分配的资源,盗用其它注册用户的合法IP地址(且注册该IP地址的机器未通电运行)联网通讯。前两种情况可被网络系统自行识别而屏蔽,导致运行中断,第三种情况操作系统则不能有效判别。如果系统管理员未采取防范措施,第三种情况将涉及到注册用户的合法权益,危害很大。

  工作原理

  TCP/IP协议模型由四层结构组成。其中的网络接口层位于网络层与物理层之间,由NIC和设备驱动程序组成。该层上的数据可以通过单一而特定的网络被发送和接受。这种单一性和特定性由NIC的物理地址MAC决定。每个Ethernet NIC厂家的MAC都必须严格遵守IEEE组织的规定,保证世界上任何NIC的MAC都是惟一而无二义性的。因此,MAC固化在每个NIC中,且只被授予访问权限。

  在Ethernet中,MAC地址存在于每个Ethernet包的头部,Ethernet交换设备依据Ethernet包头中的MAC源地址和MAC的目的地址实现数据包的交换和传输。

  网络层在把高层协议中的网络地址转换成Ethernet、FDDI、Token Ring等协议使用的地址时,需要将IP地址映射到物理接口,以实现网络节点间的通讯。为实现这种映射,TCP/IP协议族在网络接口层中提供地址解析协议(ARP),实现将IP地址转换成硬件地址。在网络通信时,提出硬件地址解析请求的机器会发送广播报文给本网中其它联网的机器,其中与目标IP地址匹配的机器,会响应地址解析请求,将其硬件地址返回给源机器。而网络中的其它机器则不响应此请求,但它们监听这些请求数据包,并将源机器的IP地址及硬件地址记录存入。值得注意的是:ARP的运行机制具有动态的特点,当IP地址和硬件地址随时间的推移发生变化时,能及时地提供修正。

  实际中,用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP地址的管理、通信流量的计算等网络资源环境的安全运行。为了有效地防止和杜绝这类问题的发生,保证IP地址的惟一性,网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址(MAC)登记表,并且做到完备备案。

  解决途径

  可以通过下面三种方法制定相应的IP地址管理措施和对策,来监测和防止IP地址的随意改动问题,提高网络管理的科学性和安全性。

  方法1:利用UNIX、Windows系统提供的ARP功能,定时收集信息,定向输出存入数据库或文档文件,形成实时的IP地址与网卡硬件地址的对应表。并结合编写查询程序实现与历史纪录自动排查,确定问题的发生点及原因。

  方法2:利用网络交换设备的网络管理功能,完善检测手段,提高网络故障的清查能力。目前有许多种网络交换机内置网络管理功能。如3Com SUPERSTACK II系列交换机,具备寻找IP地址设置冲突对应交换机端口的功能,可以迅速准确地定位和查找故障主机点。

  方法3:根据接入互联网Internet的IP地址管理是通过IP地址分配和路由器的配置来实现的原理,可以通过设置静态路由表,完成IP地址和硬件地址的严格对应,保证已分配IP地址的完全惟一性。

  三种方法比较

  方法1 无需借助额外的网络设备,检测结果需人工判读,对非冲突、非分配IP地址的故障处理具有一定的滞后性。

  方法2 监测效果快速准确。需要具有网络管理功能的交换设备,交换机自动跟踪IP冲突地址,监测冲突需要人工完成。对非冲突、非分配IP地址的故障处理具有一定的滞后性。

  方法3 对接入Internet的IP地址管理效果明显。它能自动锁定任何非法IP地址的路由出口,使之仅能访问内部IP地址,运行于局域网内,并对非冲突、非分配IP地址的故障处理具有实时性。它还有效制止了非法IP地址用户的访问空间,保证了注册用户的合法权益,也给系统维护提供了更多的便利。

分享到:
评论

相关推荐

    局域网内IP地址冲突问题

    在局域网环境中,IP地址冲突是一个常见的问题,它会...总的来说,有效地管理和监控局域网内的IP地址,结合技术手段和用户教育,是预防和解决IP地址冲突的关键。通过这些措施,可以确保局域网的稳定运行,提高网络效率。

    防范局域网内盗用IP地址的方法.pdf

    此外,定期进行网络审计,检查IP地址使用情况,也能帮助发现并处理IP盗用问题。然而,这种方案可能涉及用户隐私问题,需要谨慎处理。 最后,启用网络准入控制(NAC)是另一种高级的防范策略。NAC系统要求所有设备在...

    无线局域网技术在校园网中的应用.pdf

    防火墙策略阻止非WLAN用户向无线网发送数据,三层交换机上的MAC与IP绑定则有助于防止网卡盗用。 边界防护策略包括合理布局AP天线,避免信号过度泄漏,防止物理破坏或非法篡改。天线通常被安置在覆盖区域的中心高点...

    开启Cisco交换机IPSourceGuard功能[收集].pdf

    【Cisco交换机IPSourceGuard功能】...总之,IP Source Guard通过与DHCP Snooping的协同工作,提供了一种有效防止IP地址盗用和未经授权设备接入的解决方案,增强了网络的安全性,是现代企业网络管理中不可或缺的一部分。

    计算机网络的论文 大家学习

    为应对这一挑战,MAC-IP地址绑定作为一种有效措施被广泛采用,旨在防止局域网内的IP盗用。 #### MAC-IP地址绑定的基本原理及软件实现 ##### ARP协议概览 MAC-IP地址绑定的核心机制是ARP(地址解析协议),它是TCP...

    MAC地址详解网络技术必看

    在网络管理中,MAC地址常被用于补充IP地址,尤其是在控制访问和防止IP盗用方面。 #### 四、校园网和小区中MAC地址的应用 在校园网和小区网络中,MAC地址的使用尤为关键。这些网络环境往往采用局域网结构,通过...

    如何捆绑MAC地址和IP地址.docx

    为了解决这一问题,可以通过捆绑MAC地址(Media Access Control Address)和IP地址的方法来增强网络安全。 #### MAC地址概述 MAC地址是一种硬件地址,用于在网络层之下唯一标识每一台设备。它由48位二进制数组成,...

    IP地址和MAC地址绑定在路由器上的实现.pdf

    综上所述,IP地址与MAC地址绑定是网络管理员应对网络安全问题和管理网络资源的有效手段之一。通过合理配置路由器上的绑定策略,可以增强网络的可控性,减少网络故障,保护网络资源不受恶意使用。尽管绑定实施过程中...

    MAC地址知识整合.docx

    这防止了非法设备接收未授权的IP数据包,从而解决了IP盗用问题。 然而,MAC地址并非绝对安全。恶意用户可以通过修改MAC地址来盗用IP地址,尤其是对于未启用MAC地址绑定的网络。例如,获取目标主机MAC地址的方法包括...

    MAC地址查询扫描器

    MAC地址查询扫描器是一款专为网络管理员和IT专业人士设计的实用工具,主要用于在局域网环境中扫描并查找具有相同MAC地址或IP地址的设备。MAC(Media Access Control)地址是网络设备的物理地址,通常用于识别网络上...

    VLAN技术在有线宽带网络中的应用研究

    VLAN(Virtual Local Area Network,虚拟局域网)技术是一种在网络管理中被广泛采用的解决方案,尤其在有线电视宽带网络这种环境下,它的优势更为显著。有线电视宽带网络利用Cable Modem接入Internet,避免了对电视...

    英汉信息技术词典

    - **图像加解扰**:涉及保护图像数据不被盗用的技术手段。 #### 三、特点与优势 - **词汇新**:紧跟行业发展步伐,收录大量新兴词汇。 - **范围广**:覆盖了信息技术的主要领域,满足不同用户群体的需求。 - **...

    MAC地址完美攻略.doc

    尽管MAC地址难以伪造,但并非无法篡改,一些技术手段可以让设备冒充其他MAC地址,从而可能规避IP地址的绑定策略,导致网络安全问题。例如,一些小区宽带用户可能会尝试修改自己的MAC地址以盗用他人的网络服务。因此...

    网络安全保障措施.docx

    折叠认证和数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 技术 1、企业对 技术的需求企业总部...

    MAC绑定工具

    在IT网络管理领域,MAC(Media Access Control)地址绑定是一个重要的技术手段,它主要用于防止IP地址的盗用和滥用,确保网络资源的安全性。本文将深入探讨MAC绑定工具及其在实现IP与MAC绑定中的作用。 首先,理解...

Global site tag (gtag.js) - Google Analytics