區域網IP位址的非法使用問題解決方法

2022-04-07 03:37:02 字數 2394 閱讀 4820

引言

在大多數區域網的執行管理工作中,網路管理員負責管理使用者ip位址的分配,使用者通過正確地註冊後才被認為是合法使用者。在區域網上任何使用者使用未經授權的ip位址都應視為ip非法使用。

但在windows作業系統中,終端使用者可以自由修改ip位址的設定,從而產生了ip位址非法使用的問題。改動後的ip位址在區域網中執行時可能出現的情況如下。?

a. 非法的ip位址即ip位址不在規劃的區域網範圍內。

b.重複的ip位址與已經分配且正在區域網執行的合法的ip位址發生資源衝突,使合法使用者無法上網。

c.冒用合法使用者的ip位址當合法使用者不**時,冒用其ip位址聯網,使合法使用者的權益受到侵害。

1 ip位址非法使用的動機

ip位址的非法使用問題,不是普通的技術問題,而是乙個管理問題。只有找到其存在的理由,**其存在的基礎,才可能從根本上杜絕其發生。分析非法使用者的動機有以下幾種情況:

a. 干擾、破壞網路伺服器和網路裝置的正常執行。

b. 企圖擁有被非法使用的ip位址所擁有的特權。最典型的,就是網際網路訪問許可權。

c. 因機器重新安裝、臨時部署等原因,無意中造成的非法使用。

2 非法使用方法

2.1 靜態修改ip位址配置 使用者在配置tcp/ip選項時,使用的不是管理員分配的ip位址,就形成了ip位址的非法使用。

2.2 同時修改mac位址和ip位址

非法使用者還有可能將一台計算機的ip位址和mac位址都改為另一台合法主機的ip位址和mac位址。他們可以使用允許自定義mac位址的網絡卡或使用軟體修改mac位址。

2.3 ip電子欺騙

ip電子欺騙是偽造某台主機ip位址的技術。它通常需要程式設計來實現。通過使用socket程式設計,傳送帶有假冒的源ip位址的ip資料報

3 管理員的技術手段

3.1 靜態arp表的繫結

對於靜態修改ip位址的問題,可以採用靜態路由技術加以解決,即ip-mac位址繫結。因為在乙個網段內的網路定址不是依靠ip位址而是實體地址。ip位址只是在網際之間定址使用的。因此作為閘道器的路由器上有ip-mac的動態對應表,這是由arp協議生成並維護的。配置路由器時,可以指定靜態的arp表,路由器會根據靜態的arp表檢查資料報,如果不能對應,則不進行資料**。

該方法可以阻止非法使用者在不修改mac位址的情況下,冒用ip位址進行跨網段的訪問。

3.2 交換機埠繫結

借助交換機的埠—mac位址繫結功能可以解決非法使用者修改mac位址以適應靜態arp表的問題。可管理的交換機中都有埠—mac位址繫結功能。使用交換機提供的埠位址過濾模式,即交換機的每乙個埠只具有允許合法mac位址的主機通過該埠訪問網路,任何來自其它mac位址的主機的訪問將被拒絕。

3.3 vlan劃分

嚴格來說,vlan劃分不屬於技術手段,而是管理與技術結合的手段。將具有相近許可權的ip位址劃分到同乙個vlan,設定路由策略,可以有效阻止非法使用者冒用其他網段的ip位址的企圖。

3.4 與應用層的身份認證相結合

避免採用針對ip位址的直接授權的管理模式,綜合運用使用者名稱、口令、加密、vpn及其他應用層的身份認證機制,構成多層次的嚴密的安全體系,可以有效降低ip位址非法使用所帶來的危害。

4 管理建議

a.普通使用者明白非法使用ip位址所產生的危害和處罰措施,制定並實施嚴格的ip位址管理制度,包括:ip位址申請和發放流程,ip位址變更流程,臨時ip位址分配流程,機器mac位址登記管理,ip位址非法使用的處罰制度。

b.非法使用ip的行為,總是內部網路少數人的行為。因此,對於已經建成的網路,管理員要根據當前存在的問題,有針對性的運用技術措施,重點阻止個別使用者的非法行為。

c. 劃分vlan時,兼顧可管理性和易用性。在不增加網路複雜性的前提下,充分運用vlan的劃分手段,將許可權相近的使用者劃分到同乙個vlan內,弱化非法使用同網段ip位址所帶來的利益。

d. 部署網路管理系統。網路管理軟體可以實現靜態arp表繫結的初始化操作,避免網路管理員的大量重複性勞動。網路管理軟體的日常監視和日誌功能,可以及時有效的發現網路中的ip位址變化、mac位址變化、交換機埠改變等異常行為,幫助網路管理員查詢網路故障的根源。同時,網路管理員還可以借助網管系統,很方便的管理網路交換機,針對個別問題突出的使用者,進行交換機埠繫結操作,禁止其修改mac位址。

e. 與應用層的身份認證相結合,建立完整嚴密的多層次的安全認證體系,弱化ip位址在身份認證體系中的重要性。與ip位址非法使用的問題類似,使用者名稱和口令也屬於容易盜用的資源,建議有條件的單位採用指紋滑鼠等先進的身份認證系統,強化重要系統的安全強度。

5 結束語

內部人員非法使用ip位址,並不是為了進行侵入和破壞,而是為了謀取某些特定的許可權和利益。網路管理員除有法律手段和技術手段,還擁有各種內部管理手段。如果單純使用技術手段來防範ip位址的非法使用,必然產生高昂的系統投資成本和人員開支。因此,只有綜合運用管理手段和技術手段,來處理ip位址非法使用問題,才能實現高可靠性的系統執行與低成本的管理維護的統一。

python獲取區域網IP位址

設計思路 設計乙個udp資料報,併發送到公共的dns伺服器當中,udp資料報是盡最大努力不可靠交付,我們只需要獲取到udp頭部資訊即可 import socket def main get wlan ip def get wlan ip try socket.sock dgram代表的是socket...

區域網 有IP位址定位主機

最近一段時間發現單位電腦莫名會分配到2002開頭的ipv6位址。根據該ip位址的字首,可以得知該電腦的ipv4位址。關於如何由ipv6位址檢視相應分配該位址的ipv4位址,可以參考 此時,如果是集體單位,並且分配電腦時,mac有所記錄,則可以方面找出該電腦。現在自己單位的機器分配沒有記錄mac位址,...

C 獲取區域網IP和MAC位址

c 遍歷區域網的幾種方法及比較 2009 07 03 10 08 1 微軟社群上介紹了使用active directory 來遍歷區域網 利用directoryentry元件來檢視網路 效果評價 速度慢,效率低,還有乙個無效結果 computer schema 使用的過程中注意慮掉。2 利用dns....