對於那些MAC地址不能直接修改的網卡來說,還可以采用軟件的辦法來修改MAC地址,即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。
方法一,交換機控制。解決IP地址盜用最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制,使用交換機提供的端口的單地址工作模式,即交換機的每一個端口只允許一台主機通過該端口訪問網絡,任何其他地址的主機的訪問被拒絕。
方法二,路由器隔離。采用路由器隔離的主要依據是MAC地址作為以太網卡地址在全球具有惟一性,而且不能改變。其實現方法為通過SNMP協議定期掃描各路由器的ARP表,獲得當前IP地址和MAC的對照關系,和事先合法的IP地址和MAC地址比較,如不一致,則視為非法訪問。
對於非法訪問,有幾種辦法可以制止,如:使用正確的IP地址與MAC地址映射覆蓋非法的IP-MAC表項;向非法訪問的主機發送ICMP不可達的欺騙包,干擾其數據發送;修改路由器的存取控制列表,禁止非法訪問。TW.wiNGWIt.COM路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得,而采用靜態設置。這樣,當非法訪問的IP地址和MAC地址不一致時,路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC地址,就無能為力了。
方法三,防火牆與代理服務器。使用防火牆與代理服務器相結合,也能較好地解決IP地址盜用的問題。防火牆用來隔離內部網絡和外部網絡,用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP地址防盜放到應用層來解決,變IP地址管理為用戶身份和口令的管理。
這樣實現的好處是,合法用戶可以選擇任意一台IP主機使用,通過代理服務器訪問外部網絡資源。而無權用戶即使盜用了IP地址,也沒有身份和密碼,不能使用外部網絡,失去了盜用的意義。
使用防火牆和代理服務器的缺點也是明顯的,由於訪問外部網絡對用戶不是透明的,增加了用戶操作的麻煩。
From:http://tw.wingwit.com/Article/Network/201309/3906.html