黃文勝　吳翠艷

摘 要 從企業(yè)Intranet運(yùn)行的情況來看，存在非法使用IP地址接入網(wǎng)絡(luò)的現(xiàn)象，冒充合法用戶使用網(wǎng)絡(luò)服務(wù)，這種行為侵害了正常用戶的權(quán)益，危及網(wǎng)絡(luò)安全，擾亂網(wǎng)絡(luò)的正常運(yùn)行。為了有效地保護(hù)合法用戶的權(quán)益，維護(hù)網(wǎng)絡(luò)正常運(yùn)行和安全，本文主要就IP地址與網(wǎng)絡(luò)安全的問題進(jìn)行論述，詳細(xì)介紹了常見的非法使用IP地址的行為，并提出相應(yīng)的解決措施和策略，可有效解決企業(yè)內(nèi)部網(wǎng)中非法使用IP地址的問題。

【關(guān)鍵詞】非法IP地址 端口安全 DHCP窺探 ARP欺騙 解決策略

使用TCP/IP協(xié)議構(gòu)建的企業(yè)Intranet是一個(gè)開放的、互操作的通信系統(tǒng)，IP地址是TCP/IP網(wǎng)絡(luò)中可尋址設(shè)備的唯一邏輯標(biāo)識。對于IP網(wǎng)絡(luò)上的每臺計(jì)算機(jī)必須分配一個(gè)唯一的IP地址才能夠連接到網(wǎng)絡(luò)使用服務(wù)，IP地址是使用網(wǎng)絡(luò)服務(wù)的必備資源。在企業(yè)網(wǎng)絡(luò)中，IP地址還往往標(biāo)志著享有不同類型或級別的服務(wù)。如在按IP地址流量計(jì)費(fèi)的網(wǎng)絡(luò)中，通過非法使用合法用戶的IP地址，則將網(wǎng)絡(luò)流量計(jì)費(fèi)轉(zhuǎn)嫁給其他人來逃避網(wǎng)絡(luò)使用費(fèi)，或?yàn)槠渌豢筛嫒四康姆欠ㄊ褂肐P地址的方式來逃避偵查，隱藏自己的身份。非法使用IP地址侵害了合法用戶的權(quán)利，并且給網(wǎng)絡(luò)計(jì)費(fèi)、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運(yùn)行帶來了巨大的負(fù)面影響，探討使用非法IP地址的問題，并尋找有效的解決方法對維護(hù)企業(yè)網(wǎng)的安全和健康運(yùn)行是非常必要的。

1 IP地址與計(jì)算機(jī)網(wǎng)絡(luò)安全

1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全含義

網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。當(dāng)前，人為的網(wǎng)絡(luò)入侵和攻擊行為成為網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.2 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因

1.2.1 計(jì)算機(jī)網(wǎng)絡(luò)的主要安全缺陷

（1）網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面。系統(tǒng)設(shè)計(jì)不規(guī)范、不合理以及缺乏安全性考慮。

（2）網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器，它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。二是工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

（3）缺乏安全策略。許多站點(diǎn)在防火墻配置上無意識的擴(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。

（4）訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)。

（5）管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)，隨之任之。

1.2.2 網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因

（1）TCP/IP的脆弱性。TCP/IP協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多，并且TCP/IP協(xié)

議是公開的，熟悉TCP/IP的人可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。

（2）網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。TCP/IP協(xié)議是一種網(wǎng)際互聯(lián)技術(shù)，它實(shí)現(xiàn)無數(shù)個(gè)局域網(wǎng)互聯(lián)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，數(shù)據(jù)流要經(jīng)過很多節(jié)點(diǎn)重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫獲用戶的數(shù)據(jù)包。

（3）易被竊聽。TCP/IP協(xié)議數(shù)據(jù)流大多數(shù)沒有加密，因此人們可利用相關(guān)工具對網(wǎng)上的郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。

（4）缺乏安全意識。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識，從而使這些保護(hù)措施形同虛設(shè)。

1.2.3 IP自身的不安全性

TCP/IP協(xié)議先天具有脆弱性。當(dāng)初制定TCP/IP協(xié)議時(shí)，由于當(dāng)時(shí)網(wǎng)絡(luò)軟硬件設(shè)備的局限性，設(shè)計(jì)該協(xié)議時(shí)只著重考慮了網(wǎng)絡(luò)的速度，而對網(wǎng)絡(luò)的安全性沒做太多的考慮，這使得現(xiàn)今的網(wǎng)絡(luò)非常不安全。IP是面向非連接的，所以不保持任何連接狀態(tài)的信息，因此可以對IP堆棧進(jìn)行修改，制造任意滿足要求的源地址和目標(biāo)地址，從而形成IP欺騙。

1.2.4 IP地址使用與網(wǎng)絡(luò)安全

Windows系統(tǒng)的終端用戶可以自由修改IP地址的設(shè)置，常導(dǎo)致IP地址重復(fù)引發(fā)沖突，盜用合法用戶的IP地址非授權(quán)使用網(wǎng)絡(luò)服務(wù)，最終會導(dǎo)致網(wǎng)絡(luò)不能正常運(yùn)行及合法用戶的權(quán)益受到侵害。

2 企業(yè)網(wǎng)絡(luò)非法使用IP地址的問題

2.1 IP地址非法使用的動機(jī)分析

IP地址的非法使用不是普通的技術(shù)問題，而是一個(gè)管理問題。只有找到其存在的理由，根除其存在的基礎(chǔ)，才可能從根本上杜絕其發(fā)生。非法使用者的動機(jī)有以下幾種情況：

（1）干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。

（2）企圖擁有被非法使用的IP地址所擁有的特權(quán)。

（3）因機(jī)器重新安裝、臨時(shí)部署等原因，無意中造成的非法使用。

2.2 非法使用 IP地址的方法分析

2.2.1 靜態(tài)修改IP地址

IP地址用戶使用網(wǎng)絡(luò)服務(wù)配置的必選項(xiàng)，由于無法限制用戶對于IP地址的靜態(tài)修改，當(dāng)用戶在配置網(wǎng)絡(luò)連接參數(shù)時(shí)，使用的不是授權(quán)機(jī)構(gòu)分配的IP地址，就形成了IP地址的非法使用。

2.2.2 成對修改IP-MAC地址

對于靜態(tài)修改IP地址的問題，交換機(jī)的端口安全功能支持IP地址或IP+MAC綁定，只有符合綁定規(guī)則的報(bào)文可以進(jìn)入交換機(jī)，不符合綁定規(guī)則的報(bào)文將被丟棄，從而限制了靜態(tài)修改IP地址。但對端口安全技術(shù)，可以通過工具成對修改IP+MAC地址來達(dá)到欺騙上層網(wǎng)絡(luò)協(xié)議的目的。

2.2.3 動態(tài)修改IP地址

利用黑客工具直接在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，繞過上層網(wǎng)絡(luò)軟件，動態(tài)修改自己的IP地址（或IP+MAC地址對），是非法使用IP地址的新趨勢。

3 非法使用IP地址的解決策略

根據(jù)網(wǎng)絡(luò)中IP地址的分配方案是靜態(tài)分配還是DHCP動態(tài)分配以及根據(jù)TCP/IP的層次結(jié)構(gòu)，在不同的層次采用不同的方法來防止IP地址的非法使用。

3.1 交換機(jī)端口安全技術(shù)

端口安全技術(shù)通過報(bào)文的源MAC或IP地址來限定報(bào)文是否可以進(jìn)入交換機(jī)的端口。端口安全支持IP+MAC綁定或者僅綁定IP，滿足綁定規(guī)則的報(bào)文允許進(jìn)入交換機(jī)，否則報(bào)文被丟棄。在支持ARP Check功能的交換機(jī)中，ARP報(bào)文檢查功能，對邏輯端口下的所有的ARP報(bào)文根據(jù)合法用戶信息（IP 或IP+MAC）產(chǎn)生相應(yīng)的ARP過濾信息進(jìn)行過濾，對所有非法的ARP報(bào)文進(jìn)行丟棄，能夠有效的防止網(wǎng)絡(luò)中ARP欺騙，防止非法使用IP地址，提高網(wǎng)絡(luò)的穩(wěn)定性。

3.2 DHCP窺探技術(shù)

用DHCP進(jìn)行動態(tài)IP地址分配的網(wǎng)絡(luò)中，DHCP窺探技術(shù)通過對DHCP客戶和服務(wù)器之間的DHCP 交互報(bào)文進(jìn)行窺探，實(shí)現(xiàn)對用戶的監(jiān)控。同時(shí)DHCP 窺探起到一個(gè)DHCP 報(bào)文過濾的功能，實(shí)現(xiàn)對非法服務(wù)器的過濾，防止合法用戶使用非法DHCP服務(wù)器提供的IP地址。DHCP窺探把用戶獲取到的IP 信息以及用戶計(jì)算機(jī)的MAC地址、VLAN號、連接端口號、租約時(shí)間等信息添加到DHCP 窺探數(shù)據(jù)庫中，配合ARP檢測功能，防止用戶私設(shè)IP 地址，從而達(dá)到控制用戶連網(wǎng)的目的。

3.3 動態(tài)ARP檢測技術(shù)

ARP協(xié)議本身不對收到的ARP報(bào)文進(jìn)行合法性檢查，這給了攻擊者實(shí)施ARP欺騙攻擊的機(jī)會。在開啟動態(tài)ARP檢查后，將在VLAN 所對應(yīng)的非信任端口上攔截住所有ARP請求和應(yīng)答報(bào)文，然后根據(jù)DHCP窺探數(shù)據(jù)庫的記錄，對攔截住的ARP報(bào)文進(jìn)行合法性檢查?？杀＞W(wǎng)絡(luò)通信的安全。

3.4 防網(wǎng)關(guān)ARP欺騙

網(wǎng)絡(luò)中的計(jì)算機(jī)可冒充網(wǎng)關(guān)向客戶計(jì)算機(jī)發(fā)送ARP響應(yīng)報(bào)文，讓客戶計(jì)算機(jī)誤以為網(wǎng)關(guān)，通信數(shù)據(jù)就被劫取到假冒網(wǎng)關(guān)的計(jì)算機(jī)上。啟用防網(wǎng)關(guān)ARP欺騙技術(shù)，可以在邏輯端口上檢查ARP報(bào)文的源IP 是否為配置的網(wǎng)關(guān)IP，只有交換機(jī)的上連設(shè)備能夠下發(fā)網(wǎng)關(guān)的ARP報(bào)文，其它PC 發(fā)送的假冒網(wǎng)關(guān)ARP響應(yīng)報(bào)文將被過濾以防止用戶收到錯(cuò)誤的ARP響應(yīng)報(bào)文。

3.5 IP Source Guard技術(shù)

為了防止客戶端私設(shè)IP，可以在連接服務(wù)器與客戶端網(wǎng)絡(luò)之間的設(shè)備上開啟IP Source Guard 功能。IP Source Guard 維護(hù)一個(gè)IP 源地址綁定數(shù)據(jù)庫，可以在對應(yīng)的接口上對報(bào)文進(jìn)行基于源IP 、源IP+MAC的報(bào)文過濾，從而保證只有IP 源地址綁定數(shù)據(jù)庫中的主機(jī)才能正常使用網(wǎng)絡(luò)，有效防止非法私設(shè)IP地址的現(xiàn)象發(fā)生。

3.6 采用路由器隔離技術(shù)

路由器隔離可使用靜態(tài)ARP表，當(dāng)非法訪問的IP地址和MAC地址不一致時(shí)，路由器根據(jù)正確的靜態(tài)設(shè)置轉(zhuǎn)發(fā)的幀就不會到達(dá)非法主機(jī)。未經(jīng)授權(quán)的IP無法通過路由器轉(zhuǎn)發(fā)數(shù)據(jù)。也可以使用正確的IP與MAC地址映射覆蓋非法的IP+MAC表項(xiàng)，向非法訪問的主機(jī)發(fā)送ICMP不可達(dá)的欺騙包，干擾其數(shù)據(jù)發(fā)送，或修改路由器的訪問控制列表來禁止非法訪問。

3.7 使用驗(yàn)證服務(wù)器技術(shù)

在一個(gè)企業(yè)網(wǎng)中，任何使用網(wǎng)絡(luò)服務(wù)的用戶需要到網(wǎng)絡(luò)管理部門申請帳戶和口令，IP地址的使用可以是無償?shù)?，即變IP地址管理為用戶身份和口令的管理。讓非法使用IP地址失去意義。

4 結(jié)論

以上各種解決方法亦各有局限，路由器隔離技術(shù)雖然能夠較好地解決IP地址非法使用問題，但不能應(yīng)對成對修改IP-MAC地址的情況。DHCP窺探、動態(tài)ARP檢查等技術(shù)會帶來額外的開銷，影響通信的性能。在企業(yè)網(wǎng)絡(luò)管理中，要根據(jù)實(shí)際出現(xiàn)的情況來選擇相應(yīng)的解決措施，在采取技術(shù)手段來解決IP地址非法使用問題的同時(shí)，還應(yīng)該通過制度建設(shè)來規(guī)范員工的使用行為，使網(wǎng)絡(luò)用戶能更好的保護(hù)自己的合法權(quán)益和維護(hù)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京：清華大學(xué)出版社，2001：190-358.

[2]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社，2001：25-50.

[3]W.Richard Stevens著，尹浩瓊，李劍等譯，TCP/IP詳解[M].北京：機(jī)械工業(yè)出版社，2003：20-80.

作者簡介

黃文勝（1969-）男，現(xiàn)為重慶市商務(wù)學(xué)校高級講師。主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件。

吳翠艷，現(xiàn)為重慶市商務(wù)學(xué)校講師。主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)。

作者單位

重慶市商務(wù)學(xué)校 重慶市 400080