| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
抓住IP地址盗贼
IP地址盗用现象十分常见,常用的防范机制如IP-MAC绑定技术等有很大的局限性,但通过改变交换机的配置可有效地防止IP地址盗用。 目前IP地址盗用行为十分常见,许多用户用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。 IP地址盗用常用的几种方法 IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法: 一是单纯修改IP地址的盗用方法。 二是同时修改IP-MAC地址的方法。 针对单纯修改IP地址的问题,很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为你另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。 现有的机制都有一定的局限性,比如IP-MAC捆绑技术无法防止用户对IP-MAC地址的盗用行为,使用代理服务器访问外部网络对内部用户不透明,增加了用户操作的麻烦,另外对于大数量的用户群来说,用户管理十分困难;透明网关技术需要专门的机器进行数据转发,于是所有的检测任务都由该机器负担,对每个数据包都要进行检测,因此该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内活动的完全自由,因此一方面这种行为会干扰合法用户的使用,另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。 利用交换机端口定位及阻断IP地址盗用的新机制 交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址,均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信,可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整Switch-Port-MAC表对照,就可以快速发现交换机端口是否出现非法MAC地址,进一步就可以判定是否有IP地址盗用行为的发生。如果同一个MAC地址同时出现在不同交换机的非级联端口上,则意味着IP-MAC成对盗用。 发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。 发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。端口的关断可以通过改变其管理状态来实现。 结合IP-MAC绑定技术,基于交换机定位的机制,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。这种防范机制对非法接入行为可以起到很大的遏制作用,加强了网络的安全性。 |
||||||||||||||||||||||||||
