經典：詳解IP地址盜用常用方法及防範(轉)

經典：詳解IP地址盜用常用方法及防範(轉)[@more@]　　目前IP地址盜用行為非常常見，許多“不法之徒”用盜用地址的行為來逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網路正常使用者的權益，並且給網路安全、網路的正常執行帶來了巨大的負面影響，因此研究IP地址盜用的問題，找出有效的防範措施，是當前的一個緊迫課題。

　　IP地址盜用常用的方法及其防範機制

　　IP地址盜用是指盜用者使用未經授權的IP地址來配置網上的計算機。IP地址的盜用通常有以下兩種方法:

　　一是單純修改IP地址的盜用方法。如果使用者在配置或修改配置時，使用的不是合法獲得的IP地址，就形成了IP地址盜用。由於IP地址是一個協議邏輯地址，是一個需要使用者設定並隨時修改的值，因此無法限制使用者修改本機的IP地址。

　　二是同時修改IP-MAC地址的方法。針對單純修改IP地址的問題，很多單位都採用IP-MAC捆綁技術加以解決。但IP-MAC捆綁技術無法防止使用者對IP-MAC的修改。MAC地址是網路裝置的硬體地址，對於乙太網來說，即俗稱的網路卡地址。每個網路卡上的MAC地址在所有乙太網裝置中必須是惟一的，它由IEEE分配，固化在網路卡上一般不得隨意改動。但是，一些相容網路卡的MAC地址卻可以透過配置程式來修改。如果將一臺計算機的IP和MAC地址都修改為另一臺合法主機對應的IP和MAC地址，那麼IP-MAC捆綁技術就無能為力了。另外，對於一些MAC地址不能直接修改的網路卡，使用者還可以透過軟體修改MAC地址，即透過修改底層網路軟體達到欺騙上層軟體的目的。

　　目前發現IP地址盜用比較常用的方法是定期掃描網路各路由器的ARP(address resolution protocol)表，獲得當前正在使用的IP地址以及IP-MAC對照關係，與合法的IP地址表，IP-MAC表對照，如果不一致則有非法訪問行為發生。另外，從使用者的故障報告(盜用正在使用的IP地址會出現MAC地址衝突的提示)也可以發現IP地址的盜用行為。在此基礎上，常用的防範機制有:IP-MAC捆綁技術、代理伺服器技術、IP-MAC-USER認證授權以及透明閘道器技術等。

　　這些機制都有一定的侷限性，比如IP-MAC捆綁技術使用者管理十分困難;透明閘道器技術需要專門的機器進行資料轉發，該機器容易成為瓶頸。更重要的是，這些機制都沒有完全從根本上防止IP地址盜用行為所產生的危害，只是防止地址盜用者直接訪問外部網路資源。事實上，由於IP地址盜用者仍然具有IP子網內完全活動的自由，因此一方面這種行為會干擾合法使用者的使用:另一方面可能被不良企圖者用來攻擊子網內的其他機器和網路裝置。如果子網內有代理伺服器，盜用者還可以透過種種手段獲得網外資源。

　　目前IP地址盜用行為非常常見，許多“不法之徒”用盜用地址的行為來逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網路正常使用者的權益，並且給網路安全、網路的正常執行帶來了巨大的負面影響，因此研究IP地址盜用的問題，找出有效的防範措施，是當前的一個緊迫課題。 網路卡地址。每個網路卡上的MAC地址在所有乙太網裝置中必須是惟一的，它由IEEE分配，固化在網路卡上一般不得隨意改動。但是，一些相容網路卡的MAC地址卻可以透過配置程式來修改。如果將一臺計算機的IP和MAC地址都修改為另一臺合法主機對應的IP和MAC地址，那麼IP-MAC捆綁技術就無能為力了。另外，對於一些MAC地址不能直接修改的網路卡，使用者還可以透過軟體修改MAC地址，即透過修改底層網路軟體達到欺騙上層軟體的目的。