熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何解決局域網內盜用IP地址的問題?

2013-09-12 17:26:25  來源: 網絡技術 
IP地址盜用方法多種多樣,其常用方法主要有以下幾種:第一,靜態修改IP地址;第二,成對修改IP-MAC地址。每一個網卡的MAC地址在所有以太網設備中必須是惟一的,它由IEEE分配,是固化在網卡上的,一般不能隨意改動。但是現在有一些兼容網卡,其MAC地址可以使用網卡配置程序進行修改。如果將一台計算機的IP地址和MAC地址都改為另外一台合法主機的IP地址和MAC地址,那靜態路由技術就無能為力了。
對於那些MAC地址不能直接修改的網卡來說,還可以采用軟件的辦法來修改MAC地址,即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。
方法一,交換機控制。解決IP地址盜用最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制,使用交換機提供的端口的單地址工作模式,即交換機的每一個端口只允許一台主機通過該端口訪問網絡,任何其他地址的主機的訪問被拒絕。
方法二,路由器隔離。采用路由器隔離的主要依據是MAC地址作為以太網卡地址在全球具有惟一性,而且不能改變。其實現方法為通過SNMP協議定期掃描各路由器的ARP表,獲得當前IP地址和MAC的對照關系,和事先合法的IP地址和MAC地址比較,如不一致,則視為非法訪問。
對於非法訪問,有幾種辦法可以制止,如:使用正確的IP地址與MAC地址映射覆蓋非法的IP-MAC表項;向非法訪問的主機發送ICMP不可達的欺騙包,干擾其數據發送;修改路由器的存取控制列表,禁止非法訪問。tw.wInGWIt.coM路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得,而采用靜態設置。這樣,當非法訪問的IP地址和MAC地址不一致時,路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC地址,就無能為力了。
方法三,防火牆與代理服務器。使用防火牆與代理服務器相結合,也能較好地解決IP地址盜用的問題。防火牆用來隔離內部網絡和外部網絡,用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP地址防盜放到應用層來解決,變IP地址管理為用戶身份和口令的管理。
這樣實現的好處是,合法用戶可以選擇任意一台IP主機使用,通過代理服務器訪問外部網絡資源。而無權用戶即使盜用了IP地址,也沒有身份和密碼,不能使用外部網絡,失去了盜用的意義。
使用防火牆和代理服務器的缺點也是明顯的,由於訪問外部網絡對用戶不是透明的,增加了用戶操作的麻煩。

 
From:http://tw.wingwit.com/Article/Network/201309/3906.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.