企業Intranet中非法使用IP地址的解決策略

黃文勝　吳翠艷

摘 要 從企業Intranet運行的情況來看，存在非法使用IP地址接入網絡的現象，冒充合法用戶使用網絡服務，這種行為侵害了正常用戶的權益，危及網絡安全，擾亂網絡的正常運行。為了有效地保護合法用戶的權益，維護網絡正常運行和安全，本文主要就IP地址與網絡安全的問題進行論述，詳細介紹了常見的非法使用IP地址的行為，并提出相應的解決措施和策略，可有效解決企業內部網中非法使用IP地址的問題。

【關鍵詞】非法IP地址 端口安全 DHCP窺探 ARP欺騙 解決策略

使用TCP/IP協議構建的企業Intranet是一個開放的、互操作的通信系統，IP地址是TCP/IP網絡中可尋址設備的唯一邏輯標識。對于IP網絡上的每臺計算機必須分配一個唯一的IP地址才能夠連接到網絡使用服務，IP地址是使用網絡服務的必備資源。在企業網絡中，IP地址還往往標志著享有不同類型或級別的服務。如在按IP地址流量計費的網絡中，通過非法使用合法用戶的IP地址，則將網絡流量計費轉嫁給其他人來逃避網絡使用費，或為其他不可告人目的非法使用IP地址的方式來逃避偵查，隱藏自己的身份。非法使用IP地址侵害了合法用戶的權利，并且給網絡計費、網絡安全和網絡運行帶來了巨大的負面影響，探討使用非法IP地址的問題，并尋找有效的解決方法對維護企業網的安全和健康運行是非常必要的。

1 IP地址與計算機網絡安全

1.1 計算機網絡安全含義

網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。當前，人為的網絡入侵和攻擊行為成為網絡安全面臨新的挑戰。

1.2 計算機網絡中的安全缺陷及產生原因

1.2.1 計算機網絡的主要安全缺陷

（1）網絡系統在穩定性和可擴充性方面。系統設計不規范、不合理以及缺乏安全性考慮。

（2）網絡硬件的配置不協調。一是文件服務器，它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。二是工作站選配不當導致網絡不穩定。

（3）缺乏安全策略。許多站點在防火墻配置上無意識的擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

（4）訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。

（5）管理制度不健全，網絡管理、維護，隨之任之。

1.2.2 網絡安全缺陷產生的原因

（1）TCP/IP的脆弱性。TCP/IP協議對于網絡的安全性考慮得并不多，并且TCP/IP協

議是公開的，熟悉TCP/IP的人可以利用它的安全缺陷來實施網絡攻擊。

（2）網絡結構的不安全性。TCP/IP協議是一種網際互聯技術，它實現無數個局域網互聯。當人們用一臺主機和另一局域網的主機進行通信時，數據流要經過很多節點重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫獲用戶的數據包。

（3）易被竊聽。TCP/IP協議數據流大多數沒有加密，因此人們可利用相關工具對網上的郵件、口令和傳輸的文件進行竊聽。

（4）缺乏安全意識。雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。

1.2.3 IP自身的不安全性

TCP/IP協議先天具有脆弱性。當初制定TCP/IP協議時，由于當時網絡軟硬件設備的局限性，設計該協議時只著重考慮了網絡的速度，而對網絡的安全性沒做太多的考慮，這使得現今的網絡非常不安全。IP是面向非連接的，所以不保持任何連接狀態的信息，因此可以對IP堆棧進行修改，制造任意滿足要求的源地址和目標地址，從而形成IP欺騙。

1.2.4 IP地址使用與網絡安全

Windows系統的終端用戶可以自由修改IP地址的設置，常導致IP地址重復引發沖突，盜用合法用戶的IP地址非授權使用網絡服務，最終會導致網絡不能正常運行及合法用戶的權益受到侵害。

2 企業網絡非法使用IP地址的問題

2.1 IP地址非法使用的動機分析

IP地址的非法使用不是普通的技術問題，而是一個管理問題。只有找到其存在的理由，根除其存在的基礎，才可能從根本上杜絕其發生。非法使用者的動機有以下幾種情況：

（1）干擾、破壞網絡服務器和網絡設備的正常運行。

（2）企圖擁有被非法使用的IP地址所擁有的特權。

（3）因機器重新安裝、臨時部署等原因，無意中造成的非法使用。

2.2 非法使用 IP地址的方法分析

2.2.1 靜態修改IP地址

IP地址用戶使用網絡服務配置的必選項，由于無法限制用戶對于IP地址的靜態修改，當用戶在配置網絡連接參數時，使用的不是授權機構分配的IP地址，就形成了IP地址的非法使用。

2.2.2 成對修改IP-MAC地址

對于靜態修改IP地址的問題，交換機的端口安全功能支持IP地址或IP+MAC綁定，只有符合綁定規則的報文可以進入交換機，不符合綁定規則的報文將被丟棄，從而限制了靜態修改IP地址。但對端口安全技術，可以通過工具成對修改IP+MAC地址來達到欺騙上層網絡協議的目的。

2.2.3 動態修改IP地址

利用黑客工具直接在網絡上收發數據包，繞過上層網絡軟件，動態修改自己的IP地址（或IP+MAC地址對），是非法使用IP地址的新趨勢。

3 非法使用IP地址的解決策略

根據網絡中IP地址的分配方案是靜態分配還是DHCP動態分配以及根據TCP/IP的層次結構，在不同的層次采用不同的方法來防止IP地址的非法使用。

3.1 交換機端口安全技術

端口安全技術通過報文的源MAC或IP地址來限定報文是否可以進入交換機的端口。端口安全支持IP+MAC綁定或者僅綁定IP，滿足綁定規則的報文允許進入交換機，否則報文被丟棄。在支持ARP Check功能的交換機中，ARP報文檢查功能，對邏輯端口下的所有的ARP報文根據合法用戶信息（IP 或IP+MAC）產生相應的ARP過濾信息進行過濾，對所有非法的ARP報文進行丟棄，能夠有效的防止網絡中ARP欺騙，防止非法使用IP地址，提高網絡的穩定性。

3.2 DHCP窺探技術

用DHCP進行動態IP地址分配的網絡中，DHCP窺探技術通過對DHCP客戶和服務器之間的DHCP 交互報文進行窺探，實現對用戶的監控。同時DHCP 窺探起到一個DHCP 報文過濾的功能，實現對非法服務器的過濾，防止合法用戶使用非法DHCP服務器提供的IP地址。DHCP窺探把用戶獲取到的IP 信息以及用戶計算機的MAC地址、VLAN號、連接端口號、租約時間等信息添加到DHCP 窺探數據庫中，配合ARP檢測功能，防止用戶私設IP 地址，從而達到控制用戶連網的目的。

3.3 動態ARP檢測技術

ARP協議本身不對收到的ARP報文進行合法性檢查，這給了攻擊者實施ARP欺騙攻擊的機會。在開啟動態ARP檢查后，將在VLAN 所對應的非信任端口上攔截住所有ARP請求和應答報文，然后根據DHCP窺探數據庫的記錄，對攔截住的ARP報文進行合法性檢查。可保網絡通信的安全。

3.4 防網關ARP欺騙

網絡中的計算機可冒充網關向客戶計算機發送ARP響應報文，讓客戶計算機誤以為網關，通信數據就被劫取到假冒網關的計算機上。啟用防網關ARP欺騙技術，可以在邏輯端口上檢查ARP報文的源IP 是否為配置的網關IP，只有交換機的上連設備能夠下發網關的ARP報文，其它PC 發送的假冒網關ARP響應報文將被過濾以防止用戶收到錯誤的ARP響應報文。

3.5 IP Source Guard技術

為了防止客戶端私設IP，可以在連接服務器與客戶端網絡之間的設備上開啟IP Source Guard 功能。IP Source Guard 維護一個IP 源地址綁定數據庫，可以在對應的接口上對報文進行基于源IP 、源IP+MAC的報文過濾，從而保證只有IP 源地址綁定數據庫中的主機才能正常使用網絡，有效防止非法私設IP地址的現象發生。

3.6 采用路由器隔離技術

路由器隔離可使用靜態ARP表，當非法訪問的IP地址和MAC地址不一致時，路由器根據正確的靜態設置轉發的幀就不會到達非法主機。未經授權的IP無法通過路由器轉發數據。也可以使用正確的IP與MAC地址映射覆蓋非法的IP+MAC表項，向非法訪問的主機發送ICMP不可達的欺騙包，干擾其數據發送，或修改路由器的訪問控制列表來禁止非法訪問。

3.7 使用驗證服務器技術

在一個企業網中，任何使用網絡服務的用戶需要到網絡管理部門申請帳戶和口令，IP地址的使用可以是無償的，即變IP地址管理為用戶身份和口令的管理。讓非法使用IP地址失去意義。

4 結論

以上各種解決方法亦各有局限，路由器隔離技術雖然能夠較好地解決IP地址非法使用問題，但不能應對成對修改IP-MAC地址的情況。DHCP窺探、動態ARP檢查等技術會帶來額外的開銷，影響通信的性能。在企業網絡管理中，要根據實際出現的情況來選擇相應的解決措施，在采取技術手段來解決IP地址非法使用問題的同時，還應該通過制度建設來規范員工的使用行為，使網絡用戶能更好的保護自己的合法權益和維護網絡安全。

參考文獻

[1]胡道元.計算機局域網[M].北京：清華大學出版社，2001：190-358.

[2]朱理森，張守連.計算機網絡應用技術[M].北京：專利文獻出版社，2001：25-50.

[3]W.Richard Stevens著，尹浩瓊，李劍等譯，TCP/IP詳解[M].北京：機械工業出版社，2003：20-80.

作者簡介

黃文勝（1969-）男，現為重慶市商務學校高級講師。主要研究方向為計算機網絡技術、計算機軟件。

吳翠艷，現為重慶市商務學校講師。主要研究方向為計算機網絡技術。

作者單位

重慶市商務學校 重慶市 400080