国家政策对基于ARP伪装技术的IP地址防盗用方案的研究.docVIP

2012年全国高考模拟参考部分 基于ARP伪装技术的IP地址防盗用方案的研究 杜暖男 马莹莹 （平顶山工业职业技术学院，河南平顶山 467001） 1 研究背景 众所周之，IP地址的盗用对网络的正常运行是十分有害的。一方面，非法用户盗用合法用户的IP地址以获得特殊的访问权限；另一方面，非法用户盗用未分配的IP地址，对正常的网络运行和应用进行破坏。因此，当前找出在通用网络模型下IP地址防盗用的方法是十分有必要的。 2 IP地址防盗用方案模式分析 2.1 IP-MAC模型 IP-MAC模型是人们较早提出的一种模型。IP地址盗用的问题归根结底是解决IP地址的唯一性的问题，而在实践中IP地址的唯一性很难保证。正如前面所分析的，在目前日益广泛应用的Linux系统下，用户可以随意地更改所使用的主机的IP地址，因此IP地址的唯一性需要依赖于其他本身具有唯一性的因素来保持。 2.2 IP-MAC-USER模型 针对成对修改IP-MAC地址和动态修改IP的IP地址盗用方式，人们提出了IP-MAC-USER模型。 IP-MAC-USER模型的原理是，在采用IP-MAC模型实现IP绑定MAC地址的基础上，在重点、高危险网段实施IP同时绑定MAC地址和用户，即在IP-MAC绑定的同时，检验与IP相对应的用户名和口令，实现IP绑定用户。 这种方案对成对修改IP-MAC地址和动态修改IP的IP地址盗用方式能够进行彻底的防范，是一种普遍防御和重点防范相结合的方案。 IP-MAC-USER模型不能简化为IP-USER模型，那样就会带来大量IP用户管理的麻烦，同时造成网络使用的不便。 2.3 IP-MAC-PORT模型 随着共享式以太网向交换式以太网的发展，具有简单网络管理功能的交换机越来越为人们所采用。在这种形势下人们提出了IP-MAC-PORT模型。 IP-MAC-PORT模型的原理是，在交换以太网环境下，将IP地址与MAC地址、主机所连接的交换机端口同时绑定，即在检验（IP，MAC）地址对的同时，检验IP对应的交换机端口。 3 基于ARP伪装技术的IP地址防盗用方案 3.1 ARP协议分析 ARP（地址解析协议）用于将IP地址映射为硬件地址（MAC地址），它是TCP/IP协议组中的一个非常重要的协议，在OSI七层网络模型中，网络层下面是数据链路层，为了它们可以互通，需要转换协议。ARP（地址解析协议）用于把网络层（第三层）地址映射到数据链路层（第二层）地址，RARP（反向地址解析协议）则反之。 网络层地址是由网络管理员定义的抽象映射，它不去关心下层是哪种数据链路层协议。然而，网络接口只能根据第二层地址来互相通信，第二层地址通过ARP从第三层地址得到。并不是发送每个数据包都需要进行ARP请求，ARP应答被缓存在本地的ARP表中，这样就减少了网络中的ARP包。 3.2 ARP伪装技术 利用ARP协议的无认证特性，假设主机Q与X，Y在同一局域网内，Y向X发送ARP应答后，Q伪装成Y，再向X发送一个以Ipy，MACq为源地址的ARP包或向Y发一个以Ipx，MACq为源地址的ARP包，就会更新X或Y的ARP缓存表，使X将Ipy的MAC地址解析为MACq或使Y将Ipx的地址解析为MACq，这就是ARP伪装技术。 Q应用ARP伪装技术修改X和Y的ARP缓存表后，X和Y发给对方的IP数据报都会发向MAC地址MACq.若MACq为网络内不存在的空MAC地址，则X，Y可以继续向对方发IP数据包，但对方收不到，X，Y之间的网络通信无法实现，本文称之为ARP截断。 基于ARP伪装技术的IP防盗用方法就是采用ARP截断的方法，使IP盗用主机无法进行网络通信，从而实现IP地址防盗用。 3.3 应用ARP伪装技术实现IP-MAC模型 随着技术的发展，有些IP盗用者采用修改主机MAC地址的方法，来避开IP防盗用系统。虽然修改MAC并不容易，但IP防盗用系统也应对其防范。 对于修改MAC的盗用方法，可在子网的IP-MAC地址库中增加一项IP开关状态标志，此标志项由用户自行管理，当用户要退出网络时，访问IP-MAC地址库，将分配给他的IP地址所对应的开关状态标志项设置为关闭；当用户重新使用网络时，再次访问IP-MAC地址库将开关状态标志打开。 对于ARP监听模块，在将ARP包中的源IP地址与IP-MAC地址库比对时，增加一个判断IP地址开关状态标志项的进程，如开关状态标志项己关闭，就可判断为修改MAC地址的IP地址盗用，随即调用ARP截断模块。ARP截断模块不必做修改。 在IP防盗用软件运行的系统上开启Web服务，采用JSP技术开发一个B/S模式的Web数据库系统，使用户可以经过必要的用户、口令认证后，用浏览器访问IP-MAC地址库，管理IP地址开关状态标志。 通过以上方