如果局域网上有两台IP地址相同的主机,两台主机会互相报警,造成应用混乱。因此,IP地址窃取成为网络管理员最头疼的问题。数百台甚至数千台主机同时上网,如何控制IP地址被盗?
对于集团用户来说,大多使用专线上网。在规划的网段内,网管部门为注册用户分配制定相应的网络IP地址资源,保证通信数据的正常传输。这里,静态IP地址是必不可少的配置项之一。
它享有“网络通信身份证”的特权。网络管理员在配置IP地址资源时,对其正确性有特殊要求,表现在以下两个方面:分配的地址应在规划的子网段内;分配的IP地址对于任何联网的主机都必须是唯一的,即明确的。
实际上,网络管理员为接入网络的用户分配和提供的IP地址只有在用户正确注册后才有效。这为最终用户提供了一种直接联系IP地址的方式。由于终端用户的介入,用户可以自由修改IP地址。
改变后的IP地址在网络中运行会导致三种结果:1 .非法IP地址,自行修改的IP地址不在规划的网段内,网络通话中断;2.重复的IP地址,与已经分配并在互联网上运行的合法IP地址冲突。
无法链接;3.非法占用分配的资源,盗用其他注册用户的合法IP地址(且用该IP地址注册的机器未开机)进行联网通信。前两种情况可以被网络系统自身识别屏蔽,导致运行中断,而操作系统无法有效区分第三种情况。
如果系统管理员不采取防范措施,第三种情况会涉及注册用户的合法权益,危害很大。
TCP/IP协议模型由四层组成。网络接口层位于网络层和物理层之间,由网卡和设备驱动程序组成。这一层的数据可以通过单一的特定网络发送和接收。
这种唯一性和特异性是由网卡的物理地址MAC决定的。每一个以太网网卡厂商的MAC都必须严格遵守IEEE组织的规定,以保证世界上任何一个网卡的MAC都是唯一的,没有歧义的。因此,
MAC被固化在每个NIC中,并且仅被授予访问权限。
在以太网中,MAC地址存在于每个以太网数据包的报头中,以太网交换设备根据以太网数据包报头中的MAC源地址和MAC目的地址实现数据包的交换和传输。
网络层在将高层协议中的网络地址转换为以太网、FDDI、令牌化等协议使用的地址时,需要将IP地址映射到物理接口,实现网络节点之间的通信。为了实现这种映射,
TCP/IP协议族在网络接口层提供了地址解析协议(ARP)来实现IP地址到硬件地址的转换。在网络通信期间,请求硬件地址解析的机器将向该网络中的其他联网机器发送广播消息,其中匹配目标IP地址的机器,
将响应地址解析请求,并将其硬件地址返回给源机器。网络中的其他机器不响应这个请求,但是它们监听这些请求包,并记录源机器的IP地址和硬件地址。值得注意的是,ARP的运行机制是动态的。
当IP地址和硬件地址随时间变化时,它能及时提供修正。
事实上,用户有可能因为某种原因改变客户端的IP地址并更换网络适配器。这种改变有时是任意的,尤其是在不受网络管理员监管的情况下。
它将直接影响网络IP地址的管理、通信流量的计算等网络资源环境的安全运行。为了有效防止和消除这类问题,保证IP地址的唯一性,
网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址(MAC)登记表,并做好完整记录。
可以通过以下三种方法制定相应的IP地址管理措施和对策,监控和防止IP地址的随意变更,提高网络管理的科学性和安全性。
方法一:利用UNIX和Windows系统提供的ARP功能,定时收集信息,定向输出存储在数据库或文档文件中,形成IP地址和网卡硬件地址的实时对应表。结合编制查询程序和自动调查历史记录的实现,
确定问题的发生点和原因。
方法二:利用网络交换设备的网络管理功能,改进检测手段,提高排查网络故障的能力。目前,内置网络管理功能的网络交换机种类繁多。如3Com SUPERSTACK II系列交换机,
具有查找IP地址设置冲突对应的交换机端口的功能,能够快速准确定位查找故障主机点。
方法三:根据互联网接入的IP地址管理是通过IP地址分配和路由器配置来实现的原理,可以通过设置静态路由表来完成IP地址和硬件地址的严格对应,保证分配的IP地址的完全唯一性。
方法1不需要额外的网络设备,检测结果需要人工解释,在无冲突、未分配IP地址的故障处理上有一定的滞后性。
方法2的监测效果快速准确。需要具有网络管理功能的交换设备。交换机自动跟踪IP冲突地址,监控冲突需要手动完成。无冲突、未分配IP地址的故障处理有一定的滞后性。
方法3对访问互联网的IP地址管理有明显的效果。它可以自动锁定任何非法IP地址的路由出口,使其只能访问内部IP地址,运行在局域网内,实时处理无冲突、未分配IP地址的故障。
也有效阻止了非法IP地址的用户访问空间,保证了注册用户的合法权益,为系统维护提供了更多便利。
