IP地址是由互联网编号调配机构(IANA,Internet AssignedNumbersAuthority)先把IP地址分给各大洲的机构,而后各大洲的机构把IP地址分给运营商,再由运营商把固定的IP地址调配给用户。
如果呈现调配的IP地址和设施不匹配的话,就有可能呈现IP地址盗用的状况。
首先咱们要先理解几种不同的IP地址盗用类型。
1.IP地址动态盗用
该办法是指用户配置或者批改计算机IP设置时,应用别人非法IP地址或者未经非法调配的 IP地址,典型的例子是在用户非法入网和歹意暗藏本人的身份,还有一部分用户是IP设置信息因故失落后没有记住原有的非法信息,随便配置。
2.成对批改 IP—MAC地址
MAC地址是网卡的物理地址,也就是咱们常说的网卡地址,应用网卡自带的配置程序或者批改注册表即可使网卡配置程序反对批改MAC地址,成对批改 IP—MAC地址后就可使非法用户的主机齐全假冒所盗用IP—MAC主机。这种盗用形式比拟荫蔽,如果没有产生IP抵触的话则很难发现,危害极大。
3.IP地址动静盗用
这种办法次要利用Socket编程,绕过下层网络软件,间接发送伪造源IP地址的IP数据包,从而实现动静批改本人对外通信的IP地址 ,也被称为IP地址电子坑骗。
在网络管理中,IP地址盗用常常产生,不仅对网络的失常应用造成影响,也会互联网的潜在安全隐患,比方IP地址盗用也是黑客罕用的办法之一,次要用来暗藏本人的身份,隐匿本人的网络行踪。那么咱们又要如何避免IP地址的盗用?
1.交换机控制技术
①交换机端口绑定
指将交换机的端口配置成单地址工作模式,就是把交换机端口和该端口上的计算机MAC地址绑定,这种办法能够无效地防备IP地址动态盗用,但不能齐全防备成对批改IP—MAC地址形式盗用。
②VLAN划分法
利用交换机的VLAN技术,正当划分IP地址段,使每个IP只能在指定的VLAN(虚构局域网)中应用,在其余 VLAN中则有效 。此办法能够防备不同VLAN中的IP地址盗用,但不能防备同一个VLAN中的IP盗用。
2.路由器隔离技术
①动态ARP表技术
在路由器中动态设置ARP表,当有盗用IP地址上网时,依然按动态设置ARP表来转发数据包,数据包将不能到达目的地,从而阻止盗用IP持续应用网络,这种属于被动防备。
②路由器动静隔离技术
在路由器中应用SNMP协定动静获取以后的ARP表并与实现存储的非法的IP—MAC映射表比拟,如果不统一,则认为产生了IP地址盗用。咱们能够采取下列行为来被动阻止非法拜访。
一是向盗用IP的主机发送ICMP不可达的坑骗包,阻止其持续发送数据;二是批改路由器的存取控制列表,禁止其非法拜访;三是用非法的IP—MAC 地址映射笼罩动静ARP表中非法的IP—MAC映射表项。然而,该办法依然不能防备成对批改IP—MAC地址这种形式的IP地址盗用。
3.通明网关过滤技术
该通明网关作为内网和外网通信的桥梁,在外部主机拜访外网时应用ARP协定来解析和应答,在与内部主机拜访内网时则应用动态路由表来响应,最终实现防备IP地址盗用。该技术计划对通明网关的性能要求较高,容易产生瓶颈,且无法控制盗用IP地址拜访内网。
4.基于 802.1X的用户认证计划
802.1X是一种基于端 口(包含物理和逻辑 )的认证协定,因而也被称为“端口级别的鉴权”。它采纳RADIUS(近程认证拨号用户服务)办法,并将其划分为三个不同小组:申请方(客户端 )、认证方和受权服务器。
在用户没有认证前,交换机端口处于关闭的状态,只容许认证数据包(802.1x格局 )通过该端口,认证通过后,端口对用户凋谢,容许失常的网络拜访,而且 IP地址是由接入服务器动态分配,因而不存在 IP地址盗用问题。
该计划的毛病一是因为认证流与业务流的拆散,如果用户用自定义的数据报文代替EAP认证报文就能够不需认证进行局域网拜访,如果用户伪造认证流数据包就能够齐全实现整个网络拜访;二是 802.1x的劣势和安全性很大水平上依赖于公有拨号客户端,一旦客户端被破解或者被仿造,那么这些都将形同虚设;
三是认证基于端口,一旦认证通过则端口处于凋谢状态,此时其它用户通过该端口接入时,不需再次认证即可拜访全副网络资源。
5.防火墙与代理服务器
应用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:防火墙用来隔离外部网络和内部网络,用户拜访内部网络通过代理服务器进行。
这样能够把IP防盗放到应用层来解决,变IP治理为用户身份和口令的治理,因为用户对于网络的应用归根结底是网络应用。
这样的话,盗用IP地址只能在子网内应用,失去盗用的意义;非法用户能够抉择任意一台IP主机应用,通过代理服务器拜访内部网络资源,而无权用户即便盗用IP,也没有身份和明码,不能应用内部网络。
IP地址作为咱们上网的必要条件之一,每一个都有不可代替的价值。尤其是互联网时代下,IP地址已蕴含了多方面的信息,咱们要审慎看待。
比方前几年产生在非洲IP地址盗窃案。从2016年开始,加利福尼亚的独立平安研究员Ron Guilmette 便始终跟踪察看非洲的IP地址块。
他发现留给非洲的IP地址块以某种形式流转到了基于互联网的营销公司的手中,IP地址对垃圾邮件发送者和网络罪犯的经营至关重要,这些犯罪分子须要一直地更换大量IP地址维持经营。此次案件共波及被盗 IP地址超过五千万美元。
尤其是在IPV4枯竭的状况下,尽管IPV6正在疾速倒退,然而铺设IPV6的价格不菲,也须要肯定工夫,并不是所有国家都可能累赘。