ＩＰ地址盗用技术研究.docVIP

ＩＰ地址盗用技术研究 　　摘要：该文提出通过即时查询网络设备的MIB库信息，快速确定盗用IP地址用户所在网络端口，定义了了快速定位――验证模型，最后结合SNMP++编程，给出了具体的实现办法。 　　关键词：地址盗用；MIB；SNMP 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2605-03 　　Reseach on IP Address embezzlement 　　LI Yuan1,HOU Song-li2 　　(1.Network Information Center, Henan University, Kaifeng 475001, China;2.Computer Center of Henan University,Kaifeng 475001, China) 　　Abstract: The paper discusses that through instantly look up the MIB library information of network equipments,we can quickly ascertain the network port which a user who steal an ip address use.It defines the fast locating――verifying model,at last , combine with the SNMP++ programming,the paper gives a specific implementing method. 　　Key words:address embezzlement;MIB;SNMP 　　 　　1 引言 　　随着网络的不断发展，网络规模日益扩大,用户对网络安全及稳定性方面的要求也日益提高。在日常的网络管理中,IP地址的盗用一直是网络管理员比较棘手的问题。 　　IP地址盗用就是盗用者将本机的IP地址修改为本子网内的另外一个合法用户的IP地址或未分配的IP地址,然后利用该IP地址去访问网络,从而影响合法用户的网络的正常使用。 　　网络管理部门在规划的网段中，为合法注册用户分配了相应的网络IP地址资源，以保证通信数据的正常传输。以这种方式接入的用户，静态的IP地址是必不可少的配置项目之一，它享有“网络通信身份证”的特权。网络管理员在配置IP地址资源时，对其正确性有特殊的要求，主要表现在以下两个方面：分配的地址应在规划的子网网段范围内；分配的IP地址对任何联网的主机必须是惟一的，即无二义性。然而，IP地址作为接入网络主机的唯一标识、网络管理的重要信息元素，却只是对网络设备、主机有意义，对网络管理部门来讲，并不能从IP地址上识别主机或用户，从而为网络管理带来了障碍。 　　如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是网络管理部门分配的IP地址，就形成了IP地址盗用。具体表现为三种方式： 　　1) 静态修改IP地址 　　由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。 　　2) 同时修改IP-MAC地址 　　MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是在设备出厂时固化在网卡上的，但由于网卡的驱动程序在收发数据包时为了加快处理速度并非每次处理数据帧时都从网卡的ROM中读MAC地址，而是将MAC地址放入缓存中，需要的时候直接从缓存中读取，这种工作机制就造成了用户可以通过专用软件甚至操作系统修改网卡的MAC地址进而达到欺骗上层网络软件的目的。 　　3) 伪造IP地址 　　利用编制好的IP欺骗工具，绕过上层网络软件收发数据包。 　　2 问题分析 　　目前防止IP地址盗用比较常用的方法是定期扫描网络中各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有：IP- MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。但这些机制都有一定的缺点：如IP-MAC捆绑技术无法防范对修改IP-MAC的盗用行为；代理服务器技术不适合大规模企业网络的使用；透明网关不能控制来自内部的地址盗用，更重要的是上述机制事实上仅仅是