IP地址是由網際網路編號分配機構(IANA,Internet AssignedNumbersAuthority)先把IP地址分給各大洲的機構,然後各大洲的機構把IP地址分給運營商,再由運營商把固定的IP地址分配給使用者。
假如出現分配的IP地址和裝置不匹配的話,就有可能出現IP地址盜用的情況。
首先我們要先了解幾種不同的IP地址盜用型別。
1.IP地址靜態盜用
該方法是指使用者配置或者修改計算機IP設定時,使用他人合法IP地址或者未經合法分配的 IP地址,典型的例子是在使用者非法入網和惡意隱藏自己的身份,還有一部分使用者是IP設定資訊因故丟失後沒有記住原有的合法資訊,隨意配置。
2.成對修改 IP—MAC地址
MAC地址是網路卡的實體地址,也就是我們常說的網路卡地址,使用網路卡自帶的配置程式或者修改登錄檔即可使網路卡配置程式支援修改MAC地址,成對修改 IP—MAC地址後就可使非法使用者的主機完全冒充所盜用IP—MAC主機。這種盜用方式比較隱蔽,如果沒有發生IP衝突的話則很難發現,危害極大。
3.IP地址動態盜用
這種方法主要利用Socket程式設計,繞過上層網路軟體,直接傳送偽造源IP地址的IP資料包,從而實現動態修改自己對外通訊的IP地址 ,也被稱為IP地址電子欺騙。
在網路管理中,IP地址盜用經常發生,不僅對網路的正常使用造成影響,也會網際網路的潛在安全隱患,比如IP地址盜用也是駭客常用的方法之一,主要用來隱藏自己的身份,隱匿自己的網路行蹤。那麼我們又要如何防止IP地址的盜用?
1.交換機控制技術
交換機埠繫結
指將交換機的埠配置成單地址工作模式,就是把交換機埠和該埠上的計算機MAC地址繫結,這種方法可以有效地防範IP地址靜態盜用,但不能完全防範成對修改IP—MAC地址方式盜用。
VLAN劃分法
利用交換機的VLAN技術,合理劃分IP地址段,使每個IP只能在指定的VLAN(虛擬區域網)中使用,在其他 VLAN中則無效 。此方法可以防範不同VLAN中的IP地址盜用,但不能防範同一個VLAN中的IP盜用。
2.路由器隔離技術
靜態ARP表技術
在路由器中靜態設定ARP表,當有盜用IP地址上網時,仍然按靜態設定ARP表來轉發資料包,資料包將不能到達目的地,從而阻止盜用IP繼續使用網路,這種屬於被動防範。
路由器動態隔離技術
在路由器中使用SNMP協議動態獲取當前的ARP表並與實現儲存的合法的IP—MAC對映表比較,如果不一致,則認為發生了IP地址盜用。我們可以採取下列行為來主動阻止非法訪問。
一是向盜用IP的主機傳送ICMP不可達的欺騙包,阻止其繼續傳送資料;二是修改路由器的存取控制列表,禁止其非法訪問;三是用合法的IP—MAC 地址對映覆蓋動態ARP表中非法的IP—MAC對映表項。但是,該方法仍然不能防範成對修改IP—MAC地址這種方式的IP地址盜用。
3.透明閘道器過濾技術
該透明閘道器作為內網和外網通訊的橋樑,在內部主機訪問外網時使用ARP協議來解析和應答,在與外部主機訪問內網時則使用靜態路由表來響應,最終實現防範IP地址盜用。該技術方案對透明閘道器的效能要求較高,容易產生瓶頸,且無法控制盜用IP地址訪問內網。
4.基於 802.1X的使用者認證方案
802.1X是一種基於端 口(包括物理和邏輯 )的認證協議,因此也被稱為“埠級別的鑑權”。它採用RADIUS(遠端認證撥號使用者服務)方法,並將其劃分為三個不同小組:請求方(客戶端 )、認證方和授權伺服器。
在使用者沒有認證前,交換機埠處於封閉的狀態,只允許認證資料包(802.1x格式 )透過該埠,認證透過後,埠對使用者開放,允許正常的網路訪問,而且 IP地址是由接入伺服器動態分配,因此不存在 IP地址盜用問題。
該方案的缺點一是由於認證流與業務流的分離,如果使用者用自定義的資料包文代替EAP認證報文就可以不需認證進行區域網訪問,如果使用者偽造認證流資料包就可以完全實現整個網路訪問;二是 802.1x的優勢和安全性很大程度上依賴於私有撥號客戶端,一旦客戶端被破解或者被仿造,那麼這些都將形同虛設;
三是認證基於埠,一旦認證透過則埠處於開放狀態,此時其它使用者透過該埠接入時,不需再次認證即可訪問全部網路資源。
5.防火牆與代理伺服器
使用防火牆與代理伺服器相結合,也能較好地解決IP地址盜用問題:防火牆用來隔離內部網路和外部網路,使用者訪問外部網路透過代理伺服器進行。
這樣可以把IP防盜放到應用層來解決,變IP管理為使用者身份和口令的管理,因為使用者對於網路的使用歸根結底是網路應用。
這樣的話,盜用IP地址只能在子網內使用,失去盜用的意義;合法使用者可以選擇任意一臺IP主機使用,透過代理伺服器訪問外部網路資源,而無權使用者即使盜用IP,也沒有身份和密碼,不能使用外部網路。
IP地址作為我們上網的必要條件之一,每一個都有不可替代的價值。尤其是網際網路時代下,IP地址已包含了多方面的資訊,我們要謹慎對待。
比如前幾年發生在非洲IP地址盜竊案。從2016年開始,加利福尼亞的獨立安全研究員Ron Guilmette 便一直跟蹤觀察非洲的IP地址塊。
他發現留給非洲的IP地址塊以某種方式流轉到了基於網際網路的營銷公司的手中,IP地址對垃圾郵件傳送者和網路罪犯的運營至關重要,這些犯罪分子需要不斷地更換大量IP地址維持運營。此次案件共涉及被盜 IP地址超過五千萬美元。
尤其是在IPV4枯竭的情況下,雖然IPV6正在快速發展,但是鋪設IPV6的價格不菲,也需要一定時間,並不是所有國家都能夠負擔。