前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的議校園網(wǎng)中網(wǎng)絡(luò)資源盜用及防范措施,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
一、ARP攻擊的防范
說到ARP攻擊,那肯定要說一下如何對ARP攻擊進行防范。對ARP攻擊完全的防范是比較困難的,如果要通過修改ARP協(xié)議的方式也不大可能。但可以對本機進行一些設(shè)置,將被ARP病毒入侵的幾率降到最小。這里簡單介紹兩種方法。
1)安裝ARP防火墻
目前比較流行的就是360ARP防火墻,360ARP防火墻解決ARP攻擊問題采用的方案是:主要是通過在系統(tǒng)內(nèi)核層攔截ARP攻擊數(shù)據(jù)包,采取措施保證網(wǎng)關(guān)的MAC地址不被修改,保證數(shù)據(jù)正確流向,通訊數(shù)據(jù)不被第三者控制。
2)也就是最原始的辦法,即“雙向綁定”+“ARP廣播”
在路由器上綁定客戶機的IP和MAC地址,在客戶機上綁定路由器的IP和MAC地址,同時開啟路由上的ARP廣播,不停地廣播正確網(wǎng)關(guān)的ARP信息。步驟如下:在客戶機上綁定路由的IP和MAC地址,可以通過DOS命令,如arp-s172.31.24.2390013-026F-CF06來實現(xiàn)綁定;在路由上綁定客戶機的IP和MAC地址:進入路由的Web控制→“防火墻”→“訪問控制(ACL)”→“MAC與IP綁定”,開啟MAC與IP綁定,并將內(nèi)網(wǎng)所有主機的IP和對應(yīng)MAC地址加入到綁定列表中即可。我們學(xué)校目前使用的即是雙向綁定,特別是針對學(xué)生網(wǎng),為每個合法的學(xué)生用戶都分配了一個IP地址,并在核心交換上進行IP-MAC的綁定。這種方法固然能對ARP攻擊進行一定防范,但對一些通過非法軟件掃描他人網(wǎng)絡(luò)資源,進而盜用的“非法用戶”,就無法進行防范。下面我來介紹一些校園網(wǎng)中常見的IP地址的盜用。
網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)資源被盜用問題,是保證網(wǎng)絡(luò)安全的眾多工作中的一項非常重要而又棘手的工作。ARP協(xié)議是將網(wǎng)際互連中的IP地址與網(wǎng)絡(luò)接口卡的物理地址(MAC)相關(guān)聯(lián)起來的協(xié)議。前幾年IP地址綁定MAC地址即可解決IP地址被盜用的問題,然而隨著計算機網(wǎng)絡(luò)技術(shù)的不斷進步,全球唯一的MAC地址,同樣可以隨意進行修改,這樣通過IP地址與MAC地址綁定已無法湊效。目前在校園網(wǎng)中,特別是學(xué)生公寓,盜用IP地址的現(xiàn)象非常的多,很多學(xué)生用戶通過盜用別人地址的方法來隱藏自己的身份。IP地址的盜用行為嚴重擾亂了校園網(wǎng)絡(luò)的正常運行,侵害了網(wǎng)絡(luò)用戶的利益,給網(wǎng)絡(luò)管理人員帶了很大的麻煩,因此解決IP地址盜用問題成為校園網(wǎng)絡(luò)安全建設(shè)的一個重要課題。
1.兩種常見的盜取IP地址的方法
第一種方法:人為修改機器的IP地址。用戶電腦終端配置IP地址時不是自動獲取,也沒有設(shè)置網(wǎng)絡(luò)管理人員制定的IP地址,而是人為修改本機的IP地址,產(chǎn)生IP地址盜用。第二種方法:同時修改IP地址和MAC地址的方法。針對第一種方法可以通過IP+MAC綁定技術(shù)進行解決。然而現(xiàn)在一些兼容型網(wǎng)卡的MAC地址可以通過配置程序和第三方軟件進行修改,非法用戶通過將自己的電腦終端的IP和MAC地址同時修改成另一臺合法終端對應(yīng)的IP和MAC地址,則IP+MAC捆綁失效。我們學(xué)校學(xué)生公寓網(wǎng)發(fā)生的數(shù)起盜用網(wǎng)絡(luò)資源事件,就是通過這種方法進行盜用的。
2.防范IP地址盜用的方法
2.1定期掃描及防范機制
定期掃描網(wǎng)絡(luò)中路由器的ARP表,將掃描到的IP-MAC的對照關(guān)系與合法的IP-MAC表進行比對,如果發(fā)現(xiàn)有的信息不一樣,則說明IP地址有可能被盜用。也可以通過用戶投訴的故障現(xiàn)象來判斷是否出現(xiàn)IP地址盜用的行為。常用的幾種防范機制有:服務(wù)器技術(shù)、IP+MAC綁定技術(shù),IP-MAC-USER認證授權(quán)技術(shù)以及透明網(wǎng)關(guān)技術(shù)等等。但這幾種防范技術(shù)都存在一定的局限性。例如IP-MAC綁定技術(shù),很難對用戶進行管理;透明網(wǎng)關(guān)技術(shù)需要專用的機器轉(zhuǎn)發(fā)數(shù)據(jù),所有數(shù)據(jù)都通過此節(jié)點,造成這個專用機器的性能很大程度上可能成為網(wǎng)絡(luò)運行的瓶頸。最重要的局限在于,這些防范技術(shù)只是阻止了盜用IP地址的終端直接訪問外部的網(wǎng)絡(luò)資源,沒有從本質(zhì)上規(guī)避和解決盜用IP地址而產(chǎn)生危害的風(fēng)險。盜用了IP地址的終端仍然可以在此IP所在的子網(wǎng)中進行網(wǎng)絡(luò)訪問,干擾了其他正常用戶的使用,同時也可能造成子網(wǎng)中的其他終端和網(wǎng)絡(luò)設(shè)備被IP地址盜用者攻擊,帶來危害。
2.2利用端口定位技術(shù)及時終止IP地址盜用
很多情況下需要利用端口技術(shù)來阻止IP地址盜用行為,此技術(shù)是根據(jù)交換機的工作原理而采取的策略。一般的二層交換機都是通過MAC地址來過濾和轉(zhuǎn)發(fā)數(shù)據(jù)包,在數(shù)據(jù)鏈路層上工作。根據(jù)交換機的設(shè)計,工作中的交換機需要自動創(chuàng)建一個與端口對應(yīng)的MAC地址表,此表存儲的信息就是與其有信息交換的并處于同一個子網(wǎng)中的所有主機MAC地址。交換機通過SNMP協(xié)議與其他交換機進行信息交換,獲取其他交換機存儲MAC地址信息,生成一個實時的Switch-Port-MAC對應(yīng)表,將此表與原來合法的完整表進行比對,可以找出與之連接的不合法MAC地址,通過深入一步工作后,即可判定是否存在IP地址盜用的情況發(fā)生。如果在不同的交換機非級聯(lián)端口上都有一個相同的MAC地址,則存在IP-MAC的成對盜用。通過以上的工作確定了網(wǎng)絡(luò)中有人盜用IP地址,可以直接鎖定到交換機的端口,再檢索Switch-Port-MAC對應(yīng)表,就可以確定發(fā)生盜用行為的物理地點。確定IP地址盜用后,應(yīng)立即采取預(yù)案響應(yīng),將此行為的影響和損失降到最低。從技術(shù)層面上,可以通過SNMP管理站向交換機發(fā)送SNMP消息,切斷有IP地址盜用情況的端口,從而使得盜用IP地址的終端不能與網(wǎng)絡(luò)中其他設(shè)備產(chǎn)生信息的互通,保證整個網(wǎng)絡(luò)正常運行。
三、結(jié)束語
以上介紹了校園網(wǎng)中常見的兩種比較嚴重的問題。其中對ARP攻擊的防范,使用目前比較流行的IP-MAC雙向綁定較為普遍,當(dāng)然安裝ARP防火墻更是必不可少。網(wǎng)絡(luò)資源的盜用可以通過IP-MAC綁定+交換機端口管理進行防治,效果是非常顯著的。校園網(wǎng)的穩(wěn)定與和諧要靠大家共同來維護,了解掌握一些網(wǎng)絡(luò)安全的知識,會給大家在使用網(wǎng)絡(luò)資源工作的過程中減少一些不必要的麻煩,更大地提高工作效率。
作者:解明慧 單位:合肥鐵路工程學(xué)校