来源:周斌 李文印 高汝仪
吉林大学计算机科学与技术学院
吉林职业技术师范学院
防范IP盗用的技术方法
1、静态ARP表的绑定
根据接入互联网的IP地址管理是通过IP地址分配和路由器的配置来实现的原理,可以通过设置路由器的静态ARP表,解决IP地址和MAC地址的绑定,保证合法IP地址的惟一性。
这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际之间寻址使用的。因此在网段的路由器上有IP和MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行处理。以CISCO7609路由器为例,设置的方法是:
Telnet 192.164.1.34 ;路由器的IP地址
User Access Verification
Password:********
cy7609>en
Password:********
cy7609#config t
Enter configuration commands, one per line. End with CNTL/Z.
cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa
cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa
cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa
cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa
……
cy7609(config)#exit
cy7609#write
Building configuration...
[OK]
cy7609#
因此在路由器上建立了一个静态的ARP表,合法的IP 地址和MAC建立了一一对应的关系,使未经授权的IP无法通过路由器转发数据。经过IP地址和MAC地址的绑定,解决了内联网IP地址的盗用问题。
2、交换机端口绑定
尽管采取了IP地址与MAC地址的绑定措施,但如果对Windows98或Windows2000有点了解的人知道,在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中,用户可以随意修改主机的MAC地址。这意味着用户可以同时盗用合法用户的IP及MAC地址。
如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
如何来解决这个问题呢?我们可以借助交换机的端口-MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问将被拒绝。以CISCO2950交换机为例,其设置的方法是:
User Access Verification
Password:********
switch153>en
Password:********
switch153#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch153(config)#int f0/1
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#int f0/2
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#int f0/3
switch153(config-if)#port secu max 99
switch153(config-if)#shutdown
switch153(config-if)#exit
switch153(config)#exit
switch153#clear mac secu
switch153#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch153(config)#mac secure 5254.AB2C.3845 f0/1
switch153(config)#mac secure 00E0.4C6B.7F05 f0/2
switch153(config)#mac secure 0000.E8B1.4AC2 f0/2
switch153(config)#mac secure 5254.4CBD.1D71 f0/3
switch153(config)#mac secure 5254.AB3A.4D9B f0/3
switch153(config)#mac secure 5254.AB4C.9603 f0/3
switch153(config)#int f0/1
switch153(config-if)#port secu max 1
switch153(config-if)#no shutdown
switch153(config-if)#int f0/2
switch153(config-if)#port secu max 2
switch153(config-if)#no shutdown
switch153(config-if)#int f0/3
switch153(config-if)#port secu max 3
switch153(config-if)#no shutdown
switch153(config-if)#exit
switch153(config)#exit
switch153#write
Building configuration...
[OK]
switch153#
本例中仅以端口1、2、3为例。即端口1允许的MAC地址是5254.AB2C.3845;端口2允许的MAC地址是:00E0.4C6B.7F05和0000.E8B1.4AC2。
3、防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令,IP地址的使用可以是无偿的,即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无帐户的用户即使盗用IP,也没有用户名和密码,不能使用外部网络。
4、路由器隔离
检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。对于来自网络外部的IP欺骗,阻止的方法很简单,在局域网对外的路由器上加一个限制条件,只要在路由器上设置不允许声称来自内部的网络的外来包通过就行了。