欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

IP地址盜用常用的方法及其防范機制

IP地址盜用是指盜用者使用未經(jīng)授權的IP地址來(lái)配置網(wǎng)上的計算機。IP地址的盜用通常有以下兩種方法：

一是單純修改IP地址的盜用方法。如果用戶(hù)在配置或修改配置時(shí)，使用的不是合法獲得的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)協(xié)議邏輯地址，是一個(gè)需要用戶(hù)設置并隨時(shí)修改的值，因此無(wú)法限制用戶(hù)修改本機的IP地址。

二是同時(shí)修改IP-MAC地址的方法。針對單純修改IP地址的問(wèn)題，很多單位都采用IP-MAC捆綁技術(shù)加以解決。但IP-MAC捆綁技術(shù)無(wú)法防止用戶(hù)對IP-MAC的修改。MAC地址是網(wǎng)絡(luò )設備的硬件地址，對于以太網(wǎng)來(lái)說(shuō)，即俗稱(chēng)的網(wǎng)卡地址。每個(gè)網(wǎng)卡上的MAC地址在所有以太網(wǎng)設備中必須是惟一的，它由IEEE分配，固化在網(wǎng)卡上一般不得隨意改動(dòng)。但是，一些兼容網(wǎng)卡的MAC地址卻可以通過(guò)配置程序來(lái)修改。如果將一臺計算機的IP和MAC地址都修改為另一臺合法主機對應的IP和MAC地址，那么IP-MAC捆綁技術(shù)就無(wú)能為力了。另外，對于一些MAC地址不能直接修改的網(wǎng)卡，用戶(hù)還可以通過(guò)軟件修改MAC地址，即通過(guò)修改底層網(wǎng)絡(luò )軟件達到欺騙上層軟件的目的。

目前發(fā)現IP地址盜用比較常用的方法是定期掃描網(wǎng)絡(luò )各路由器的ARP(address resolution protocol)表，獲得當前正在使用的IP地址以及IP-MAC對照關(guān)系，與合法的IP地址表，IP-MAC表對照，如果不一致則有非法訪(fǎng)問(wèn)行為發(fā)生。另外，從用戶(hù)的故障報告(盜用正在使用的IP地址會(huì )出現MAC地址沖突的提示)也可以發(fā)現IP地址的盜用行為。在此基礎上，常用的防范機制有：IP-MAC捆綁技術(shù)、代理服務(wù)器技術(shù)、IP-MAC-USER認證授權以及透明網(wǎng)關(guān)技術(shù)等。

這些機制都有一定的局限性，比如IP-MAC捆綁技術(shù)用戶(hù)管理十分困難；透明網(wǎng)關(guān)技術(shù)需要專(zhuān)門(mén)的機器進(jìn)行數據轉發(fā)，該機器容易成為瓶頸。更重要的是，這些機制都沒(méi)有完全從根本上防止IP地址盜用行為所產(chǎn)生的危害，只是防止地址盜用者直接訪(fǎng)問(wèn)外部網(wǎng)絡(luò )資源。事實(shí)上，由于IP地址盜用者仍然具有IP子網(wǎng)內完全活動(dòng)的自由，因此一方面這種行為會(huì )干擾合法用戶(hù)的使用：另一方面可能被不良企圖者用來(lái)攻擊子網(wǎng)內的其他機器和網(wǎng)絡(luò )設備。如果子網(wǎng)內有代理服務(wù)器，盜用者還可以通過(guò)種種手段獲得網(wǎng)外資源。

利用端口定位及阻斷IP地址盜用

交換機是局域網(wǎng)的主要網(wǎng)絡(luò )設備，它工作在數據鏈路層上，基于MAC地址來(lái)轉發(fā)和過(guò)濾數據包。因此，每個(gè)交換機均維護著(zhù)一個(gè)與端口對應的MAC地址表。任何與交換機直接相連或處于同一廣播域的主機的MAC地址均會(huì )被保存到交換機的MAC地址表中。通過(guò)SNMP(Simple Network Management protocol)管理站與各個(gè)交換機的SNMP代理通信可以獲取每個(gè)交換機保存的與端口對應的MAC地址表，從而形成一個(gè)實(shí)時(shí)的Switch-Port-MAC對應表。將實(shí)時(shí)獲得的Switch-Port-MAC對應表與事先獲得的合法的完整表格對照，就可以快速發(fā)現交換機端口是否出現非法MAC地址，進(jìn)一步即可判定是否有IP地址盜用的發(fā)生。如果同一個(gè)MAC地址同時(shí)出現在不同的交換機的非級聯(lián)端口上，則意味著(zhù)IP-MAC成對盜用。

發(fā)現了地址盜用行為后，實(shí)際上也已經(jīng)將盜用行為定位到了交換機的端口。再通過(guò)查詢(xún)事先建立的完整的Switch-Port-MAC對應表，就可以立即定位到發(fā)生盜用行為的房間。

發(fā)生了地址盜用行為后，可以立即采取相應的方法來(lái)阻斷盜用行為所產(chǎn)生的影響，技術(shù)上可以通過(guò)SNMP管理站向交換機代理發(fā)出一個(gè)SNMP消息來(lái)關(guān)斷發(fā)生盜用行為的端口，這樣盜用IP地址的機器無(wú)法與網(wǎng)絡(luò )中其他機器發(fā)生任何聯(lián)系，當然也無(wú)法影響其他機器的正常運行。

端口的關(guān)斷可以通過(guò)改變其管理狀態(tài)來(lái)實(shí)現。在MIB(Management Information Base)中有一個(gè)代表端口管理狀態(tài)的可讀寫(xiě)對象ifAdminStatus(對象標識符號為1.3.6.1.2.1.2.2.1.7)，給ifAdminStatus賦不同的值，可以改變端口的管理狀態(tài)，即“1”—開(kāi)啟端口，“2”—關(guān)閉端口，“3”—供測試用。

這樣，通過(guò)管理站給交換機發(fā)送賦值信息(Set Request)，就可以關(guān)閉和開(kāi)啟相應的端口，比如要關(guān)閉某一交換機(192.168.1.1)的2號端口，可以向該交換機發(fā)出如下信息：

set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2).

結合IP-MAC綁定技術(shù)，通過(guò)交換機端口管理，可以在實(shí)際使用中迅速發(fā)現并阻斷IP地址的盜用行為，尤其是解決了IP-MAC成對盜用的問(wèn)題，同時(shí)也不影響網(wǎng)絡(luò )的運行效率。