共计 2237 个字符,预计需要花费 6 分钟才能阅读完成。
IP 地址是由互联网编号调配机构(IANA,Internet AssignedNumbersAuthority)先把 IP 地址分给各大洲的机构,而后各大洲的机构把 IP 地址分给运营商,再由运营商把固定的 IP 地址调配给用户。
如果呈现调配的 IP 地址和设施不匹配的话,就有可能呈现 IP 地址盗用的状况。
首先咱们要先理解几种不同的 IP 地址盗用类型。
1.IP 地址动态盗用
该办法是指用户配置或者批改计算机 IP 设置时,应用别人非法 IP 地址或者未经非法调配的 IP 地址,典型的例子是在用户非法入网和歹意暗藏本人的身份,还有一部分用户是 IP 设置信息因故失落后没有记住原有的非法信息,随便配置。
2. 成对批改 IP—MAC 地址
MAC 地址是网卡的物理地址,也就是咱们常说的网卡地址,应用网卡自带的配置程序或者批改注册表即可使网卡配置程序反对批改 MAC 地址,成对批改 IP—MAC 地址后就可使非法用户的主机齐全假冒所盗用 IP—MAC 主机。这种盗用形式比拟荫蔽,如果没有产生 IP 抵触的话则很难发现,危害极大。
3.IP 地址动静盗用
这种办法次要利用 Socket 编程,绕过下层网络软件,间接发送伪造源 IP 地址的 IP 数据包,从而实现动静批改本人对外通信的 IP 地址,也被称为 IP 地址电子坑骗。
在网络管理中,IP 地址盗用常常产生,不仅对网络的失常应用造成影响,也会互联网的潜在安全隐患,比方 IP 地址盗用也是黑客罕用的办法之一,次要用来暗藏本人的身份,隐匿本人的网络行踪。那么咱们又要如何避免 IP 地址的盗用?
1. 交换机控制技术
①交换机端口绑定
指将交换机的端口配置成单地址工作模式,就是把交换机端口和该端口上的计算机 MAC 地址绑定,这种办法能够无效地防备 IP 地址动态盗用,但不能齐全防备成对批改 IP—MAC 地址形式盗用。
②VLAN 划分法
利用交换机的 VLAN 技术,正当划分 IP 地址段,使每个 IP 只能在指定的 VLAN(虚构局域网)中应用,在其余 VLAN 中则有效。此办法能够防备不同 VLAN 中的 IP 地址盗用,但不能防备同一个 VLAN 中的 IP 盗用。
2. 路由器隔离技术
①动态 ARP 表技术
在路由器中动态设置 ARP 表,当有盗用 IP 地址上网时,依然按动态设置 ARP 表来转发数据包,数据包将不能到达目的地,从而阻止盗用 IP 持续应用网络,这种属于被动防备。
②路由器动静隔离技术
在路由器中应用 SNMP 协定动静获取以后的 ARP 表并与实现存储的非法的 IP—MAC 映射表比拟,如果不统一,则认为产生了 IP 地址盗用。咱们能够采取下列行为来被动阻止非法拜访。
一是向盗用 IP 的主机发送 ICMP 不可达的坑骗包,阻止其持续发送数据;二是批改路由器的存取控制列表,禁止其非法拜访;三是用非法的 IP—MAC 地址映射笼罩动静 ARP 表中非法的 IP—MAC 映射表项。然而,该办法依然不能防备成对批改 IP—MAC 地址这种形式的 IP 地址盗用。
3. 通明网关过滤技术
该通明网关作为内网和外网通信的桥梁,在外部主机拜访外网时应用 ARP 协定来解析和应答,在与内部主机拜访内网时则应用动态路由表来响应,最终实现防备 IP 地址盗用。该技术计划对通明网关的性能要求较高,容易产生瓶颈,且无法控制盗用 IP 地址拜访内网。
4. 基于 802.1X 的用户认证计划
802.1X 是一种基于端 口(包含物理和逻辑) 的认证协定, 因而也被称为“端口级别的鉴权”。它采纳 RADIUS(近程认证拨号用户服务)办法,并将其划分为三个不同小组:申请方 (客户端)、认证方和受权服务器。
在用户没有认证前,交换机端口处于关闭的状态,只容许认证数据包 (802.1x 格局) 通过该端口, 认证通过后, 端口对用户凋谢, 容许失常的网络拜访, 而且 IP 地址是由接入服务器动态分配, 因而不存在 IP 地址盗用问题。
该计划的毛病一是因为认证流与业务流的拆散, 如果用户用自定义的数据报文代替 EAP 认证报文就能够不需认证进行局域网拜访,如果用户伪造认证流数据包就能够齐全实现整个网络拜访;二是 802.1x 的劣势和安全性很大水平上依赖于公有拨号客户端, 一旦客户端被破解或者被仿造, 那么这些都将形同虚设;
三是认证基于端口,一旦认证通过则端口处于凋谢状态, 此时其它用户通过该端口接入时, 不需再次认证即可拜访全副网络资源。
5. 防火墙与代理服务器
应用防火墙与代理服务器相结合,也能较好地解决 IP 地址盗用问题:防火墙用来隔离外部网络和内部网络, 用户拜访内部网络通过代理服务器进行。
这样能够把 IP 防盗放到应用层来解决,变 IP 治理为用户身份和口令的治理,因为用户对于网络的应用归根结底是网络应用。
这样的话,盗用 IP 地址只能在子网内应用,失去盗用的意义;非法用户能够抉择任意一台 IP 主机应用,通过代理服务器拜访内部网络资源,而无权用户即便盗用 IP,也没有身份和明码,不能应用内部网络。
IP 地址作为咱们上网的必要条件之一,每一个都有不可代替的价值。尤其是互联网时代下,IP 地址已蕴含了多方面的信息,咱们要审慎看待。
比方前几年产生在非洲 IP 地址盗窃案。从 2016 年开始,加利福尼亚的独立平安研究员 Ron Guilmette 便始终跟踪察看非洲的 IP 地址块。
他发现留给非洲的 IP 地址块以某种形式流转到了基于互联网的营销公司的手中,IP 地址对垃圾邮件发送者和网络罪犯的经营至关重要,这些犯罪分子须要一直地更换大量 IP 地址维持经营。此次案件共波及被盗 IP 地址超过五千万美元。
尤其是在 IPV4 枯竭的状况下,尽管 IPV6 正在疾速倒退,然而铺设 IPV6 的价格不菲,也须要肯定工夫,并不是所有国家都可能累赘。