解决局域网中IP盗用问题的三种技术手段

局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。因此，IP地址盗用成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如何控制IP地址盗用？

　　引入问题

　　对于集团用户而言，多数都用专线方式接入互联网。网络管理部门在规划的网段中，为注册用户分配并制定了相应的网络IP地址资源，以保证通信数据的正常传输。这里，静态的IP地址是必不可少的配置项目之一，它享有“网络通信身份证”的特权。网络管理员在配置IP地址资源时，对其正确性有特殊的要求，表现在下面两个方面：分配的地址应在规划的子网网段范围内；分配的IP地址对任何联网的主机必须是惟一的，即无二义性。

　　在实际中，网络管理员为入网用户分配和提供的IP地址，只有通过客户进行正确地注册后才有效。 这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入，入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：1.非法的IP地址，自行修改的IP地址不在规划的网段内，网络呼叫中断；2.重复的IP地址，与已经分配且正在联网运行的合法的IP地址发生资源冲突，无法链接；3.非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该IP地址的机器未通电运行）联网通讯。前两种情况可被网络系统自行识别而屏蔽，导致运行中断，第三种情况操作系统则不能有效判别。如果系统管理员未采取防范措施，第三种情况将涉及到注册用户的合法权益，危害很大。

　　工作原理

　　TCP/IP协议模型由四层结构组成。其中的网络接口层位于网络层与物理层之间，由NIC和设备驱动程序组成。该层上的数据可以通过单一而特定的网络被发送和接受。这种单一性和特定性由NIC的物理地址MAC决定。每个Ethernet NIC厂家的MAC都必须严格遵守IEEE组织的规定，保证世界上任何NIC的MAC都是惟一而无二义性的。因此，MAC固化在每个NIC中，且只被授予访问权限。

　　在Ethernet中，MAC地址存在于每个Ethernet包的头部，Ethernet交换设备依据Ethernet包头中的MAC源地址和MAC的目的地址实现数据包的交换和传输。

　　网络层在把高层协议中的网络地址转换成Ethernet、FDDI、Token Ring等协议使用的地址时，需要将IP地址映射到物理接口，以实现网络节点间的通讯。为实现这种映射，TCP/IP协议族在网络接口层中提供地址解析协议(ARP)，实现将IP地址转换成硬件地址。在网络通信时，提出硬件地址解析请求的机器会发送广播报文给本网中其它联网的机器，其中与目标IP地址匹配的机器，会响应地址解析请求，将其硬件地址返回给源机器。而网络中的其它机器则不响应此请求，但它们监听这些请求数据包，并将源机器的IP地址及硬件地址记录存入。值得注意的是：ARP的运行机制具有动态的特点，当IP地址和硬件地址随时间的推移发生变化时，能及时地提供修正。

　　实际中，用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP地址的管理、通信流量的计算等网络资源环境的安全运行。为了有效地防止和杜绝这类问题的发生，保证IP地址的惟一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址（MAC）登记表，并且做到完备备案。

本新闻共2页,当前在第1页 1 2

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有