解決局域網(wǎng)中IP盜用問(wèn)題的三種技術(shù)手段

局域網(wǎng)上若有兩臺主機IP地址相同，則兩臺主機相互報警，造成應用混亂。因此，IP地址盜用成了網(wǎng)管員最頭疼的問(wèn)題。當幾百臺、甚至上千臺主機同時(shí)上網(wǎng)，如何控制IP地址盜用?

引入問(wèn)題

對于集團用戶(hù)而言，多數都用專(zhuān)線(xiàn)方式接入互聯(lián)網(wǎng)。網(wǎng)絡(luò )管理部門(mén)在規劃的網(wǎng)段中，為注冊用戶(hù)分配并制定了相應的網(wǎng)絡(luò )IP地址資源，以保證通信數據的正常傳輸。這里，靜態(tài)的IP地址是必不可少的配置項目之一，它享有“網(wǎng)絡(luò )通信身份證”的特權。網(wǎng)絡(luò )管理員在配置IP地址資源時(shí)，對其正確性有特殊的要求，表現在下面兩個(gè)方面：分配的地址應在規劃的子網(wǎng)網(wǎng)段范圍內;分配的IP地址對任何聯(lián)網(wǎng)的主機必須是惟一的，即無(wú)二義性。

在實(shí)際中，網(wǎng)絡(luò )管理員為入網(wǎng)用戶(hù)分配和提供的IP地址，只有通過(guò)客戶(hù)進(jìn)行正確地注冊后才有效。 這為終端用戶(hù)直接接觸IP地址提供了一條途徑。由于終端用戶(hù)的介入，入網(wǎng)用戶(hù)有可能自由修改IP地址。改動(dòng)后的IP地址在聯(lián)網(wǎng)運行時(shí)可導致三種結果：1.非法的IP地址，自行修改的IP地址不在規劃的網(wǎng)段內，網(wǎng)絡(luò )呼叫中斷;2.重復的IP地址，與已經(jīng)分配且正在聯(lián)網(wǎng)運行的合法的IP地址發(fā)生資源沖突，無(wú)法鏈接;3.非法占用已分配的資源，盜用其它注冊用戶(hù)的合法IP地址(且注冊該IP地址的機器未通電運行)聯(lián)網(wǎng)通訊。前兩種情況可被網(wǎng)絡(luò )系統自行識別而屏蔽，導致運行中斷，第三種情況操作系統則不能有效判別。如果系統管理員未采取防范措施，第三種情況將涉及到注冊用戶(hù)的合法權益，危害很大。

工作原理

TCP/IP協(xié)議模型由四層結構組成。其中的網(wǎng)絡(luò )接口層位于網(wǎng)絡(luò )層與物理層之間，由NIC和設備驅動(dòng)程序組成。該層上的數據可以通過(guò)單一而特定的網(wǎng)絡(luò )被發(fā)送和接受。這種單一性和特定性由NIC的物理地址MAC決定。每個(gè)Ethernet NIC廠(chǎng)家的MAC都必須嚴格遵守IEEE組織的規定，保證世界上任何NIC的MAC都是惟一而無(wú)二義性的。因此，MAC固化在每個(gè)NIC中，且只被授予訪(fǎng)問(wèn)權限。

在Ethernet中，MAC地址存在于每個(gè)Ethernet包的頭部，Ethernet交換設備依據Ethernet包頭中的MAC源地址和MAC的目的地址實(shí)現數據包的交換和傳輸。

網(wǎng)絡(luò )層在把高層協(xié)議中的網(wǎng)絡(luò )地址轉換成Ethernet、FDDI、Token Ring等協(xié)議使用的地址時(shí)，需要將IP地址映射到物理接口，以實(shí)現網(wǎng)絡(luò )節點(diǎn)間的通訊。為實(shí)現這種映射，TCP/IP協(xié)議族在網(wǎng)絡(luò )接口層中提供地址解析協(xié)議(ARP)，實(shí)現將IP地址轉換成硬件地址。在網(wǎng)絡(luò )通信時(shí)，提出硬件地址解析請求的機器會(huì )發(fā)送廣播報文給本網(wǎng)中其它聯(lián)網(wǎng)的機器，其中與目標IP地址匹配的機器，會(huì )響應地址解析請求，將其硬件地址返回給源機器。而網(wǎng)絡(luò )中的其它機器則不響應此請求，但它們監聽(tīng)這些請求數據包，并將源機器的IP地址及硬件地址記錄存入。值得注意的是：ARP的運行機制具有動(dòng)態(tài)的特點(diǎn)，當IP地址和硬件地址隨時(shí)間的推移發(fā)生變化時(shí)，能及時(shí)地提供修正。

實(shí)際中，用戶(hù)因某種原因有改動(dòng)客戶(hù)端的IP地址和更換網(wǎng)絡(luò )適配器的可能性。這種改動(dòng)有時(shí)具有隨意性，尤其當這種改動(dòng)不在網(wǎng)絡(luò )管理員的監控之內時(shí)，將直接影響網(wǎng)絡(luò )IP地址的管理、通信流量的計算等網(wǎng)絡(luò )資源環(huán)境的安全運行。為了有效地防止和杜絕這類(lèi)問(wèn)題的發(fā)生，保證IP地址的惟一性，網(wǎng)絡(luò )管理員必須建立規范的IP地址分配表、IP地址和硬件地址(MAC)登記表，并且做到完備備案。

解決途徑

可以通過(guò)下面三種方法制定相應的IP地址管理措施和對策，來(lái)監測和防止IP地址的隨意改動(dòng)問(wèn)題，提高網(wǎng)絡(luò )管理的科學(xué)性和安全性。

方法1：利用UNIX、Windows系統提供的ARP功能，定時(shí)收集信息，定向輸出存入數據庫或文檔文件，形成實(shí)時(shí)的IP地址與網(wǎng)卡硬件地址的對應表。并結合編寫(xiě)查詢(xún)程序實(shí)現與歷史紀錄自動(dòng)排查，確定問(wèn)題的發(fā)生點(diǎn)及原因。

方法2：利用網(wǎng)絡(luò )交換設備的網(wǎng)絡(luò )管理功能，完善檢測手段，提高網(wǎng)絡(luò )故障的清查能力。目前有許多種網(wǎng)絡(luò )交換機內置網(wǎng)絡(luò )管理功能。如3Com SUPERSTACK II系列交換機，具備尋找IP地址設置沖突對應交換機端口的功能，可以迅速準確地定位和查找故障主機點(diǎn)。

方法3：根據接入互聯(lián)網(wǎng)Internet的IP地址管理是通過(guò)IP地址分配和路由器的配置來(lái)實(shí)現的原理，可以通過(guò)設置靜態(tài)路由表，完成IP地址和硬件地址的嚴格對應，保證已分配IP地址的完全惟一性。

三種方法比較

方法1 無(wú)需借助額外的網(wǎng)絡(luò )設備，檢測結果需人工判讀，對非沖突、非分配IP地址的故障處理具有一定的滯后性。

方法2 監測效果快速準確。需要具有網(wǎng)絡(luò )管理功能的交換設備，交換機自動(dòng)跟蹤IP沖突地址，監測沖突需要人工完成。對非沖突、非分配IP地址的故障處理具有一定的滯后性。

方法3 對接入Internet的IP地址管理效果明顯。它能自動(dòng)鎖定任何非法IP地址的路由出口，使之僅能訪(fǎng)問(wèn)內部IP地址，運行于局域網(wǎng)內，并對非沖突、非分配IP地址的故障處理具有實(shí)時(shí)性。它還有效制止了非法IP地址用戶(hù)的訪(fǎng)問(wèn)空間，保證了注冊用戶(hù)的合法權益，也給系統維護提供了更多的便利。