局域網IP地址非法使用問題的解決方法

2019-11-05 03:06:32

字體：大中小

來源：轉載

供稿：網友

　　在大多數局域網的運行治理工作中，網絡治理員負責治理用戶ip地址的分配，用戶通過正確地注冊后才被認為是合法用戶。在局域網上任何用戶使用未經授權的IP地址都應視為IP非法使用。但在Windows操作系統中，終端用戶可以自由修改IP地址的設置，從而產生了IP地址非法使用的問題。改動后的IP地址在局域網中運行時可能出現的情況如下。??
　　
　　a. 非法的IP地址即IP地址不在規劃的局域網范圍內。
　　
　　b.重復的IP地址與已經分配且正在局域網運行的合法的IP地址發生資源沖突，使合法用戶無法上網。
　　
　　c.冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯網，使合法用戶的權益受到侵害。
　　
　　1 IP地址非法使用的動機??
　　
　　IP地址的非法使用問題，不是普通的技術問題，而是一個治理問題。只有找到其存在的理由，根除其存在的基礎，才可能從根本上杜絕其發生。分析非法使用者的動機有以下幾種情況：
　　
　　a. 干擾、破壞網絡服務器和網絡設備的正常運行。
　　
　　b. 企圖擁有被非法使用的IP地址所擁有的特權。最典型的，就是因特網訪問權限。
　　
　　c. 因機器重新安裝、臨時部署等原因，無意中造成的非法使用。
　　
　　2 非法使用方法
　　
　　2.1 靜態修改IP地址配置用戶在配置TCP/IP選項時，使用的不是治理員分配的IP地址，就形成了IP地址的非法使用。
　　
　　2.2 同時修改MAC地址和IP地址
　　
　　非法用戶還有可能將一臺計算機的IP地址和MAC地址都改為另一臺合法主機的IP地址和MAC地址。他們可以使用答應自定義MAC地址的網卡或使用軟件修改MAC地址。
　　
　　2.3 IP電子欺騙
　　
　　IP電子欺騙是偽造某臺主機IP地址的技術。它通常需要編程來實現。通過使用SOCKET編程，發送帶有假冒的源IP地址的IP數據包
　　
　　3 治理員的技術手段
　　
　　3.1 靜態ARP表的綁定
　　
　　對于靜態修改IP地址的問題，可以采用靜態路由技術加以解決，即IP-MAC地址綁定。因為在一個網段內的網絡尋址不是依靠IP地址而是物理地址。IP地址只是在網際之間尋址使用的。因此作為網關的路由器上有IP-MAC的動態對應表，這是由ARP協議生成并維護的。配置路由器時，可以指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，假如不能對應，則不進行數據轉發。
　　
　　該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進行跨網段的訪問。
　　
　　3.2 交換機端口綁定
　　
　　借助交換機的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。可治理的交換機中都有端口—MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有答應合法MAC地址的主機通過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。
　　
　　3.3 VLAN劃分
　　
　　嚴格來說，VLAN劃分不屬于技術手段，而是治理與技術結合的手段。將具有相近權限的IP地址劃分到同一個VLAN，設置路由策略，可以有效阻止非法用戶冒用其他網段的IP地址的企圖。
　　
　　3.4 與應用層的身份認證相結合
　　
　　避免采用針對IP地址的直接授權的治理模式，綜合運用用戶名、口令、加密、VPN及其他應用層的身份認證機制，構成多層次的嚴密的安全體系，可以有效降低IP地址非法使用所帶來的危害。
　　
　　4 治理建議
　　
　　a.普通用戶明白非法使用IP地址所產生的危害和處罰措施，制定并實施嚴格的IP地址治理制度，包括：IP地址申請和發放流程，IP地址變更流程，臨時IP地址分配流程，機器MAC地址登記治理，IP地址非法使用的處罰制度。
　　
　　b.非法使用IP的行為，總是內部網絡少數人的行為。因此，對于已經建成的網絡，治理員要根據當前存在的問題，有針對性的運用技術措施，重點阻止個別用戶的非法行為。
　　
　　c. 劃分VLAN時，兼顧可治理性和易用性。在不增加網絡復雜性的前提下，充分運用VLAN的劃分手段，將權限相近的用戶劃分到同一個VLAN內，弱化非法使用同網段IP地址所帶來的利益。
　　
　　d. 部署網絡治理系統。網絡治理軟件可以實現靜態ARP表綁定的初始化操作，避免網絡治理員的大量重復性勞動。網絡治理軟件的日常監視和日志功能，可以及時有效的發現網絡中的IP地址變化、MAC地址變化、交換機端口改變等異常行為，幫助網絡治理員查找網絡故障的根源。同時，網絡治理員還可以借助網管系統，很方便的治理網絡交換機，針對個別問題突出的用戶，進行交換機端口綁定操作，禁止其修改MAC地址。
　　
　　e. 與應用層的身份認證相結合，建立完整嚴密的多層次的安全認證體系，弱化IP地址在身份認證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于輕易盜用的資源，建議有條件的單位采用指紋鼠標等先進的身份認證系統，強化重要系統的安全強度。
　　
　　5 結束語
　　
　　內部人員非法使用IP地址，并不是為了進行侵入和破壞，而是為了謀取某些特定的權限和利益。網絡治理員除有法律手段和技術手段，還擁有各種內部治理手段。假如單純使用技術手段來防范IP地址的非法使用，必然產生高昂的系統投資成本和人員開支。因此，只有綜合運用治理手段和技術手段，來處理IP地址非法使用問題，才能實現高可靠性的系統運行與低成本的治理維護的統一。

上一篇：局域網中無法訪問的解決方法集錦

下一篇：【網管成長歷程】如何合理規劃局域網