IP位址盜用技術簡介以及防範措施綜述

一、ip位址盜用方法分析

ip位址的盜用方法多種多樣，其常用方法主要有以下幾種：

1、靜態修改ip位址

對於任何乙個tcp/ip實現來說，ip位址都是其使用者配置的必選項。如果使用者在配置tcp/ip或修改tcp/ip配置時，使用的不是授權機構分配的ip位址，就形成了ip位址盜用。由於ip位址是乙個邏輯位址，是乙個需要使用者設定的值，因此無法限制使用者對於ip位址的靜態修改，除非使用dhcp伺服器分配ip位址，但又會帶來其它管理問題。

2、成對修改ip-mac位址

對於靜態修改ip位址的問題，現在很多單位都採用靜態路由技術加以解決。針對靜態路由技術，ip盜用技術又有了新的發展，即成對修改ip-mac位址。mac位址是裝置的硬體位址，對於我們常用的乙太網來說，即俗稱的計算機網絡卡位址。每乙個網絡卡的mac位址在所有乙太網裝置中必須是唯一的，它由ieee分配，是固化在網絡卡上的，一般不能隨意改動。但是，現在的一些相容網絡卡，其mac位址可以使用網絡卡配置程式進行修改。如果將一台計算機的ip位址和mac位址都改為另外一台合法主機的ip位址和mac位址，那靜態路由技術就無能為力了。

另外，對於那些mac位址不能直接修改的網絡卡來說，使用者還可以採用軟體的辦法來修改mac位址，即通過修改底層網路軟體達到欺騙上層網路軟體的目的。

3、動態修改ip位址

對於一些黑客高手來說，直接編寫程式在網路上收發資料報，繞過上層網路軟體，動態修改自己的ip位址(或ip-mac位址對)，達到ip欺騙並不是一件很困難的事。

二、防範技術

針對ip盜用問題，網路專家採用了各種防範技術，現在比較通常的防範技術主要是根據tcp/ip的層次結構，在不同的層次採用不同的方法來防止ip位址的盜用。

1、交換機控制

解決ip位址的最徹底的方法是使用交換機進行控制，即在tcp/ip第二層進行控制：使用交換機提供的埠的單位址工作模式，即交換機的每乙個埠只允許一台主機通過該埠訪問網路，任何其它位址的主機的訪問被拒絕。但此方案的最大缺點在於它需要網路上全部採用交換機提供使用者接入，這在交換機相對昂貴的今天不是乙個能夠普遍採用的解決方案。

2、路由器隔離

採用路由器隔離的辦法其主要依據是mac位址作為乙太網卡位址全球唯一不能改變。其實現方法為通過snmp協議定期掃瞄校園網各路由器的arp表，獲得當前ip和mac的對照關係，和事先合法的ip和mac位址比較，如不一致，則為非法訪問。對於非法訪問，有幾種辦法可以制止，如：

a.使用正確的ip與mac位址對映覆蓋非法的ip-mac表項；

b.向非法訪問的主機傳送icmp不可達的欺騙包，干擾其資料傳送；

c.修改路由器的訪問控制列表，禁止非法訪問。

路由器隔離的另外一種實現方法是使用靜態arp表，即路由器中ip與mac位址的對映不通過arp來獲得，而採用靜態設定。這樣，當非法訪問的ip位址和mac位址不一致時，路由器根據正確的靜態設定**的幀就不會到達非法主機。

路由器隔離技術能夠較好地解決ip位址的盜用問題，但是如果非法使用者針對其理論依據進行破壞，成對修改ip-mac位址，對這樣的ip位址盜用它就無能為力了。

3、防火牆與**伺服器

使用防火牆與**伺服器相結合，也能較好地解決ip位址盜用問題：防火牆用來隔離內部網路和外部網路，使用者訪問外部網路通過**伺服器進行。使用這樣的辦法是將ip防盜放到應用層來解決，變ip管理為使用者身份和口令的管理，因為使用者對於網路的使用歸根結底是要使用網路應用。這樣實現的好處是，盜用ip位址只能在子網內使用，失去盜用的意義；合法使用者可以選擇任意一台ip主機使用，通過**伺服器訪問外部網路資源，而無權使用者即使盜用ip，也沒有身份和密碼，不能使用外部網路。

使用防火牆和**伺服器的缺點也是明顯的，由於使用**伺服器訪問外部網路對使用者不是透明的，增加了使用者操作的麻煩；另外，對於大數量的使用者群(如高校的學生)來說，使用者管理也是乙個問題。

IP位址盜用技術簡介以及防範措施綜述

IP位址盜用常用方法及防範

MAC位址以及IP位址

IP定址技術簡介

IP位址盜用技術簡介以及防範措施綜述

IP位址盜用常用方法及防範

MAC位址以及IP位址

IP定址技術簡介

相關推薦