Internet是一個開放的、互操作的通信系統,其基礎協議是TCP/IP。Internet協議地址(簡 稱IP地址)是TCP/IP網絡中可尋址設施的唯一邏輯標識,它是一個32位的二進制無符號數。對於 Internet上的任一主機,它都必須有一個唯一的IP地址。IP地址由InterNIC及其下級授權機構分 配,沒有分配到自己的IP地址的主機不能夠直接連接到Internet。
隨著Internet的迅速發展,IP地址的消耗非常快,據權威機構預測,現行IPv4版本的IP只夠 用到2007年。現在,企業、機構、個人要申請到足夠的IP地址都非常困難,作為一種稀缺資 源,IP地址的盜用就成為很常見的問題。特別是在按IP流量計費的CERNET網絡,由於費用是 按IP地址進行統計的,許多用戶為了逃避網絡計費,用IP地址盜用的辦法,將網絡流量計費 轉嫁到他人身上。另外,一些用戶因為一些不可告人的目的,采用IP地址盜用的方式來逃避 追蹤,隱藏自己的身份。
IP地址盜用侵害了Internet網絡的正常用戶的權利,並且給網絡計費、網絡安全和網絡運行 帶來了巨大的負面影響,因此解決IP地址盜用問題成為當前一個迫切的課題。
1 IP地址盜用方法分析
IP地址的盜用方法多種多樣,其常用方法主要有以下幾種:
1) 靜態修改IP地址
對於任何一個TCP/IP實現來說,IP地址都是其用戶配置的必選項。如果用戶在配置TCP/IP 或修改TCP/IP配置時,使用的不是授權機構分配的IP地址,就形成了IP地址盜用。由於IP地 址是一個邏輯地址,是一個需要用戶設置的值,因此無法限制用戶對於IP地址的靜態修改, 除非使用DHCP服務器分配IP地址,但又會帶來其它管理問題。
2) 成對修改IP-MAC地址
對於靜態修改IP地址的問題,現在很多單位都采用靜態路由技術加以解決。針對靜態路由技 術,IP盜用技術又有了新的發展,即成對修改IP-MAC地址。MAC地址是設備的硬件地址,對 於我們常用的以太網來說,即俗稱的計算機網卡地址。每一個網卡的MAC地址在所有以太網 設備中必須是唯一的,它由IEEE分配,是固化在網卡上的,一般不能隨意改動。但是,現在 的一些兼容網卡,其MAC地址可以使用網卡配置程序進行修改。如果將一台計算機的IP地址和 MAC地址都改為另外一台合法主機的IP地址和MAC地址,那靜態路由技術就無能為力了。
另外,對於那些MAC地址不能直接修改的網卡來說,用戶還可以采用軟件的辦法來修改MAC地址, 即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。
3) 動態修改IP地址
對於一些黑客高手來說,直接編寫程序在網絡上收發數據包,繞過上層網絡軟件,動態修改自 己的IP地址(或IP-MAC地址對),達到IP欺騙並不是一件很困難的事。
2 防范技術研究
針對IP盜用問題,網絡專家采用了各種防范技術,現在比較通常的防范技術主要是根據TCP/IP的層 次結構,在不同的層次采用不同的方法來防止IP地址的盜用。
2.1 交換機控制
解決IP地址的最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制:使用交換機提供的 端口的單地址工作模式,即交換機的每一個端口只允許一台主機通過該端口訪問網絡,任何其它地址 的主機的訪問被拒絕[1]。但此方案的最大缺點在於它需要網絡上全部采用交換機提供用戶接入,這 在交換機相對昂貴的今天不是一個能夠普遍采用的解決方案。
2.2 路由器隔離
采用路由器隔離的辦法其主要依據是MAC地址作為以太網卡地址全球唯一不能改變。其實現方法為通 過SNMP協議定期掃描校園網各路由器的ARP表,獲得當前IP和MAC的對照關系,和事先合法的IP和 MAC地址比較,如不一致,則為非法訪問[2]。對於非法訪問,有幾種辦法可以制止,如:
使用正確的IP與MAC地址映射覆蓋非法的IP-MAC表項;
向非法訪問的主機發送ICMP不可達的欺騙包,干擾其數據發送;
修改路由器的存取控制列表,禁止非法訪問。
路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得, 而采用靜態設置。這樣,當非法訪問的IP地址和MAC地址不一致時,路由器根據正確的靜態設置轉發 的幀就不會到達非法主機。 路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞, 即成對修改IP-MAC地址,對這樣的IP地址盜用它就無能為力了。
2.3 防火牆與代理服務器
使用防火牆與代理服務器相結合,也能較好地解決IP地址盜用問題:防火牆用來隔離內部網絡和外 部網絡,用戶訪問外部網絡通過代理服務器進行[3]。使用這樣的辦法是將IP防盜放到應用層來解決, 變IP管理為用戶身份和口令的管理,因為用戶對於網絡的使用歸根結底是要使用網絡應用。這樣實現 的好處是,盜用IP地址只能在子網內使用,失去盜用的意義;合法用戶可以選擇任意一台IP主機使用, 通過代理服務器訪問外部網絡資源,而無權用戶即使盜用IP,也沒有身份和密碼,不能使用外部網絡。
使用防火牆和代理服務器的缺點也是明顯的,由於使用代理服務器訪問外部網絡對用戶不是透明的, 增加了用戶操作的麻煩;另外,對於大數量的用戶群(如高校的學生)來說,用戶管理也是一個問題。