国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

防范校園網(wǎng)內(nèi)盜用ＩＰ地址的方法

作者：徐　博

字?jǐn)?shù)：2868 字號： 【大 中 小】

　　【摘要】 IP地址的盜用給網(wǎng)絡(luò)管理帶來了安全隱患，本文針對常見的 IP地址盜用方法，靜態(tài)修改 IP地址、成對修改 IP-MAC地址；分析了 IP地址盜用原理；提出了有效的防范措施，靜態(tài) IP-MAC捆綁技術(shù)、防火墻與代理服務(wù)器相結(jié)合、動態(tài)配置 MAC地址這些方案能較好地解決校園網(wǎng)中 IP地址盜用問題。
　　【關(guān)鍵詞】IP地址；MAC地址；IP地址盜用；動態(tài) MAC地址
　　
　　一、問題的引出
　　
　　IP地址盜用指在局域網(wǎng)中，利用固定 IP地址直接接入到網(wǎng)絡(luò)時，某些用戶非法利用別人的合法 IP地址聯(lián)網(wǎng)
　　通信的現(xiàn)象。盜用主要是為了逃避網(wǎng)絡(luò)計費，或不暴露自身身份來實現(xiàn)其他說非常規(guī)目的而隱藏自己的身份。
　　校園網(wǎng)中，網(wǎng)絡(luò)中心在規(guī)劃網(wǎng)絡(luò)時，為入網(wǎng)用戶分配了相應(yīng)的 IP地址，網(wǎng)絡(luò)管理員在分配 IP地址資源時，分配的 IP地址對任何聯(lián)網(wǎng)的主機(jī)是惟一的且均在規(guī)劃的子網(wǎng)網(wǎng)段范圍內(nèi)，以保證網(wǎng)絡(luò)通信的正常傳輸。但是由于 IP地址是一個邏輯地址，是一個用戶可以任意設(shè)置的值，要限制用戶修改 IP地址顯然是不可能的。校園網(wǎng)中若有兩臺或多臺主機(jī) IP地址相同，操作系統(tǒng)就會提示"IP地址沖突"。出現(xiàn)了搶 IP地址的現(xiàn)象，用戶不但無法訪問網(wǎng)絡(luò)，而且還會造成應(yīng)用上的混亂，形成了較為嚴(yán)重的 IP地址盜用現(xiàn)象。這是一個讓網(wǎng)絡(luò)管理人員很頭痛的問題。
　　
　　

　　二、IP地址盜用原理
　　
　　IP地址盜用只可能發(fā)生在一個 IP子網(wǎng)內(nèi)，通常一個 IP子網(wǎng)可能包含多個局域網(wǎng)。例如在圖 1中，無論 IP子網(wǎng)如何劃分，從布線的角度來說，校園網(wǎng)網(wǎng)絡(luò)中心至少有一個核心交換機(jī)，從這個交換機(jī)的各個端口出來連接到學(xué)院各大樓上的二級交換機(jī)，二級交換機(jī)的端口連接的是各房間中的接線盒。由于每幢大樓交換機(jī)各端口均屬于一個 IP子網(wǎng)，所以IP盜用只可能發(fā)生在一個 IP子網(wǎng)也即一幢大樓內(nèi)。若用戶因某種原因改動客戶端 IP地址或更換網(wǎng)絡(luò)適配器的屬性，它將直接造成地址解析的響應(yīng)混亂，容易引起 IP地址的沖突，威脅網(wǎng)絡(luò)資源環(huán)境的安全運行。用非法 IP地址聯(lián)網(wǎng)可能導(dǎo)致三種結(jié)果：
　　(1)該地址不在規(guī)劃的網(wǎng)段內(nèi)，網(wǎng)絡(luò)通信中斷；
　　(2)該 IP地址與正在聯(lián)網(wǎng)運行的合法 IP地址發(fā)生資源沖突，無法鏈接；
　　前兩種情況可被網(wǎng)絡(luò)系統(tǒng)自動識別而屏蔽，導(dǎo)致運行中斷，第三種情況操作系統(tǒng)不能有效判別。如果網(wǎng)絡(luò)管理員未采取防范措施，第三種情況將涉及到注冊用戶的合法權(quán)益，危害很大。
　　
　　三、IP地址盜用的常用手段
　　
　　1．靜態(tài)修改 IP地址
　　對于任何一個 TCP/IP實現(xiàn)來說，IP地址都是其用戶配置的必選項。IP地址是邏輯值，所以無法限制用戶對 IP地址的靜態(tài)修改，如果用戶在配置 TCP/IP或修改 TCP/IP配置時，使用的不是網(wǎng)絡(luò)管理員分配的 IP地址，就形成了 IP地址盜用。
　　2．成對修改 IP-MAC地址
　　對于靜態(tài)修改 IP地址的問題，網(wǎng)絡(luò)管理員可以采用靜態(tài)路由技術(shù)加以解決。針對靜態(tài)路由技術(shù)，IP盜用技術(shù)又有了新的發(fā)展，即成對修改 IP-MAC地址。MAC地址是設(shè)備的硬件地址，就是俗稱的計算機(jī)網(wǎng)卡地址。每一個網(wǎng)卡的 MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由 IEEE分配，是固化在網(wǎng)卡上的，一般不能隨意改動。如果將一臺計算機(jī)的 IP地址和 MAC地址都改為另外一臺合法主機(jī)的 IP地址和 MAC地址，這就形成 IP-MAC地址成對盜用，這時靜態(tài)路由技術(shù)就無能為力了。
　　
　　
　　四、IP地址盜用的防范手段
　　
　　1．靜態(tài) IP-MAC捆綁技術(shù)
　　對于靜態(tài) IP地址盜用問題，可采用 IP地址與MAC地址的綁定來保證合法 IP地址的唯一性。如分配給用戶的 IP是 192．168．0．100，用戶的網(wǎng)卡MAC是 44-45-53-54-00-00，可由網(wǎng)絡(luò)管理員在代理服務(wù)器端把用戶上網(wǎng)的靜態(tài) IP地址與所記錄的計算機(jī)的網(wǎng)卡地址進(jìn)行捆綁，具體命令是：
　　ARP-s192．168．0．10044-45-53-54-00-00
　　其中網(wǎng)卡的 MAC地址可在Windows下用ipcomfig命令查到。這種方法只能解決靜態(tài)地址的修改，有一定的局限性，當(dāng)非法用戶成對修改 IP和MAC地址，或在網(wǎng)卡變更頻繁的環(huán)境中時，這種方法就無能為力了。
　　2．動態(tài)配置 MAC地址
　　在 TCP/IP協(xié)議中，IP地址屬于網(wǎng)絡(luò)層概念，是用來提供網(wǎng)絡(luò)層以上的主機(jī)標(biāo)識，在網(wǎng)絡(luò)接口層(OSI數(shù)據(jù)鏈路層和物理層)IP地址毫無意義，因為在網(wǎng)絡(luò)低層數(shù)據(jù)幀不是按 IP來傳送的，而是按以太網(wǎng) MAC地址來分辨不同的主機(jī)的。
　　MAC地址是協(xié)議的底層地址，只出現(xiàn)在數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層數(shù)據(jù)幀格式為：
　　由此可知任一臺主機(jī)的MAC地址不會在本網(wǎng)絡(luò)以外的物理網(wǎng)絡(luò)中起作用。
　　每一個網(wǎng)卡的 MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由IEEE分配 是固化在網(wǎng)卡上的，一般不能隨意改動，但是在操作系統(tǒng)實現(xiàn)時，基于IP 軟件效率的考慮， 系統(tǒng)一般并不每收發(fā)一幀，都直接從網(wǎng)絡(luò)適配器中讀取 MAC地址，而是在系統(tǒng)特定的緩沖區(qū)中獲取 MAC地址。通過以上分析可以知道，動態(tài)修改 MAC地址，不會影響到該主機(jī)所在物理網(wǎng)絡(luò)以外的其他網(wǎng)絡(luò)。因此可以采用動態(tài)配置 MAC的方法來防止 IP地址的盜用。
　　
　　五、結(jié)束語
　　
　　以上幾種方法各有優(yōu)缺點，采用路由器將網(wǎng)卡MAC地址與 IP地址綁定的方法，只能解決靜態(tài)地址的修改，對于成對修改 IP-MAC地址卻無能為力；代理服務(wù)器與防火墻相結(jié)合的辦法，采用統(tǒng)一身份認(rèn)證，代理防火墻往往會制約網(wǎng)絡(luò)速度。動態(tài)配置MAC地址防止 IP盜用的技術(shù)在實現(xiàn)上很容易，該方案有很強(qiáng)的可操作性，效果不錯，但它無法檢查到盜用者。從本質(zhì)上來說，無論哪種方案，都是從 IP地址的角度出發(fā)解決 IP地址的盜用，變 IP盜用問題為用戶身份認(rèn)證問題。
　　【參考文獻(xiàn)】
　?。?］華為3com網(wǎng)絡(luò)學(xué)院教材 華為3COM技術(shù)有限公司 編者
　?。?］計算機(jī)教育教學(xué)網(wǎng)絡(luò)中心
　　責(zé)任編輯：王利強(qiáng)
　　

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。