边荷
(临洮县明德初级中学,甘肃省临洮县,730500)
【摘要】防止局域网IP地址被抢用及冲突解决对策文/边荷本论文通过对防止局域网IP摘地址被抢的技术原理进行阐述与要分析,对夺回局域网内IP地址的方法进行阐述。此外,本论文还对防止局域网IP地址被抢占的对策进行分析,包括IP地址动态分配、加强对物理地址的管理、使用应用层认证三种方法。在此基础上,笔者结合相关理论和实践经验,对局域网内IP地址分配及网络改进计划进行阐述与分析,包括IP地址分配原则、更换IP段计划、部署内部网络管理和安全方案、实施组织策略,加强网域安全性四项内容。本论文的研究,旨在为局域网内IP地址被抢占这一问题提供解决思路,从而提高局域网络的使用安全。
【关键词】局域网;IP地址冲突;防范方法
随着整个社会网络化和信息技术化水平的不断提升,现代企业对于局域网的应用也更为频繁,同时,局域网也已自身的便利性对于现代企业的发展起着明显的促进作用。在局域网和现代企业、现代社会逐渐结合的过程中,局域网本身所产生的安全性也对这种应用产生也有着明显的影响,网络管理员本身的技能也面临着挑战。在诸多问题中,最有代表性的就是局域网中IP地址冲突的问题,在网络运行总,IP地址就如同个人身份一样,有着突出的重要性,这种身份不能随意更改,一旦更改必然会产生网络运行故障,导致整个企业网络运行的瘫痪。但是当前,局域网辐射范围内,存在着明显的IP地址更改的现象,这也对企业的日常运行提出挑战。在这种背景下,网络管理员要寻找方法,去良好的规制局域网中IP地址冲突所造成的影响。
1、防止局域网IP地址被抢用技术原理在ARP协议的内部运行机制和帧格式上,针对其中的逻辑层次和硬件层次的使用,具有着明显的不同姓,如在逻辑层次上使用的逻辑地址,也即IP地址,在硬件层次上用的是以太网,即硬件接口地址。在实际运行的过程中,信源主机将数据帧通过以太网,发送给相同局域网中的另外一台主机,然后根据数据链路层所使用的MAC地址,来确定信源主机的地址,在此基础上进行两者之间的沟通进行。
明显,地址解析协议进行在上述的逻辑地址和与其相对应的物理硬件地址中,提供一种动态的映射。在具体的执行程序上,信源主机在将自身的IP数据信息传输到信宿目标主机上的之前,先要在自身的APR高速缓存中找到与信宿目标主机IP地址相对应的硬件地址,在此基础上才能进行传输。但是,如果信源主机没有找到这种对应的硬件地址,则会对局域网中的所有主机进行“询问”,通过这种“询问”找到信宿主机IP地址相对应的硬件地址。
在运行过程中,局域网内所有的以太网接口都会接收到这种请求,但是只需要目信宿目标主机对这种“询问”进行应答。这种“询问”,表面上类似于一种普遍性的询问,其实有着明确的对象,在信宿目标主机自我判断以后,就会将ARP发送给信源目标主机,并且,这种发送也是一对一的发送。在信源主机接收到这种信息以后,便会根据信宿主机提供的地址,进行先关信息的传输与发送,在传输与发送之前,信源主机会对APR高速缓存中的相关内容进行更新。
2、夺回被抢占IP地址的方法在此,本论文进行假设性的举例,如某局域网中存在F和M两台主机,路由器为A。再假设主机F的IP地址为透明地址,即该主机和外网之间可以相互访问。而主机F由于某种原因突然自动关机,主机M则可以将主机F的IP地址改为自己的IP地址,主机F在开机之后,则会遇到IP地址冲突的问题,而此时也就是说主机F的IP地址被抢占了。在此情况下,主机F的用户可以先更换其他的IP地址,再向主机M发送消息。
而此时主机M不知由于何种原因,对于外界的消息自动屏蔽,使其即手打不主机F的信息,主机F也得不到先关的回应。此时,局域网的网络管理员也无法得出主机M的具体位置。
在此种情况下,主机F可以强行取回自身的IP地址,即通过强制的方法,让主机M让出主机F的IP地址,从而使主机M自身所占取的IP地址无法职场使用。在此过程中,可以发挥出网关A的作用,即网关A作为局域网内主机访问外网的中介,只要切断A与主机M的联系,便可以让主机M无法进行正常的网络运行。
因此,可以发挥前述的ARP的作用,通过ARP协议来向主机M传送关于网关R的假的以太网硬件地址,从而使主机M无法将自身的数据包发送给网关A,导致其无法正常的网络运行。这也是上述的对ARP的欺骗,从而不违背道义上的原则。在本论文的研究中发现,ARP请求和应道并没有存在着紧密的联系,当网关A想主机B发送应答的时候,不用先向ARP发送请求。但是当主机B对此进行应答的时候,将自身的地址信息发送给网关A,同时在ARP高速缓存中进行更新,但是由于地址本身就是不存在的,必然导致其无法正常上网。遵循这个思路,利用SnifferPortable4.70工具软件构造出一个ARP应答包,并不间断地向主机M发送,最终导致主机M无法正常上网,迫使它更换所抢占的IP地址。
但是,这种方法效用的发挥是有一定的前提的,即主机M也没由于静态IP地址进行绑定,反而言之,倘若主机M绑定的有静态IP地址,并且改地址在ARP高速缓存中有相关储存和记录,这种方法就会失去效用。
当然,对于这种情况来说,也有解决的办法,即通过对网关A在ARP高速缓存中的IP地址和硬件地址的映射表进行修改,以静态绑定的方式,把主机F和主机F之前的IP地址绑定在一起,从而有效防止IP地址被强占。但是,这种方法也存在着明显的缺陷,即必须要先对网关的IP地址和硬件地址的映射表进行修改,存在着较低的安全性。因此,在日常的运行过程中,还是比较提倡双向的绑定方法,从而来保证其安全性。
3、防止IP地址被抢占对策3.1 IP地址的动态分配
对于IP地址的动态分配在防止IP地址被抢中也发挥着关键作用,很大程度上,IP地址的动态分配,是通过DHCP来完成的。所谓DHCP,就是指动态主机配置协议。DHCP在运行过程中,可以自动获取IP地址,配置在DHCP的服务器上,从而为局域网中的用户提供IP地址。子网掩码等。DHCP作为一种服务,有着自身明显的优点和缺点,以下对其优缺点进行阐述:
(1)DHCP有着明显的优点,这种优点不仅体现在便于网络管理员的管理上,还体现在对用户使用过程中的便利性。一方面,DHCP的使用,便于网络管理员对IP地址和其他的配置参数进行监控与管理;另一方面,用户也可以通过DHCP的使用,自动获取IP挥着DNS的地址,这可以让用户在计算机的移动过程中,不需要担心IP地址的变动而进行重新设置。
(2) 对于DHCP的缺点来说也是比较明显的,这主要体现在对于非DHCP中的IP地址,不能做到及时的发现。但方面的使用DHCP作为监管,也无法对于局域网中出现的IP地址非法使用的问题作出具体的监管和解决。这主要是因为,用户可以对IP地址进行手动设置,而这种手动设置很有可能与DHCP的分配重复,从而导致IP地址的冲突。如何控制用户不能设定静态IP地址是该解决方案的关键,这需要一个支持DHCPSNOOPING功能的交换机。DHCPSNOOPING功能是DHCP的一项安全特性,启用该功能后,交换机会监听DHCP的IP地址分配过程,同时交换机会生成一个IP地址、MAC地址、交换机端口的对应表.然后报据DHCPSNOOPING监听获得的IP地址、MAC地址、交换机瑞口对应表,进行绑定。
3.2 加强对物理地址的管理
对于加强物理地址的管理上,可以通过二层交换机,将端口与MAC地址进行绑定。这就需要管理员在进行IP地址的分配的过程中,要主动去获取用户的MAC地址,或者以三层交换机进行IP与MAC的绑定。无可置疑,这种方法对于用户IP地址的盗用上,能够起到一定的作用,但是也存在着其无法涉及到的领域。即对于局域网内,非法用户设置了与合法用户相同的IP地址,从而导致非法用户和合法用户均不能正常上网的问题。但是对于这种问题,管理员也没有办法去得到非法用户的IP地址,更不用说去进行解决。对于这种问题,管理员可以采取以下两种方法进行问题的解决。
(1) 管理员要针对局域网的使用范围,对局域网进行尽可能小的设定,从而对非法用户所造成的影响进行屏蔽。对此,管理员可以根据局域网的端口来进行划分,从而节省IP号码的资源。同时,有的交换机还可以启用Isolate特性,或启用SuperVLAN特性来划分SubLAN。
(2) 当面对这种问题的时候,管理员也可以通过MAC地址扫描软件,将局域网内的IP地址和MAC地址进行获取,从而在通过查看二层交换机中MAC地址,及其端口对应表,来获取非法IP地址的计算机的地址和位置。
3.3 使用应用层认证
结合IP地址动态分配,使用认证是一种较好的方案。这种方案的缺点是花费较高,所以一般情况在局域网内不使用该方案。
4、局域网IP地址分配及网络改进计划4.1 IP地址分配原则
IP地址的分配原则,一为体系化编址;二可持续扩展性。体系化即结构化、组织化,对整个网络地址进行有条理的规划。使整个网络的结构清晰,而每个区域的地址与其他的区域地址相对独立,也便于独立的灵活管理。可持续扩展性,在初期规划时为将来的网络拓展考虑,在将来很可能增大规模的区块中要留出较大的余地。
4.2 更换IP段计划
因接入层均需要更换交换机,计划按两个阶段更换地址池。
(1)将现有地址段由C类地址迁移到A类地址池10.10.0.0/23地址段;
(2)待接入层更换支持VLAN的交换机后,将按VLAN划分地址池。
阶段一:(1)向电信申请一组公网IP;安装第二台防火墙用于VPN连接;(2)确认所有应用不受影响,并确认实施时间;
(3)在DC±配置原C类地址段DHCP池;
(4)组策略将客户端设置成自动获得地址;
(5)将DC等服务器、防火墙设置第二个IP地址(A类地址段);
(6)在DNS中设置第二地址池(新地址段),确认服务器DNS信息更新成功;
(7)测试在新的地址分区内将客户端加入域;
(8)更新DHCP设置,删除旧地址池,建立新的A类地址池;
(9)测试客户端得到新地址池,并登陆验证OK;
(10)移除服务器上第一IP地址。
4.3 部署内部网络管理和安全方案
在IP地址迁移之后计划部署一套内部网络管理系统用于监控交换机端口。
(1) Zenoss,基于linux平台的开源方案,基于SNMP协议监控各类网络设备和服务器状态和性能;
(2) Snort,基于Linux的开源IDS方案,分析网络内数据状态。
4.4 实施组策略,加强网域安全性。
(1)密码复杂度要求;
(2)管理员权限定期检查;
(3)移动存储设备管制;
(4)用户桌面定制;
(5)非授权软件的定期检查;
(6)网络防毒软件的自动更新和扫描。
5、结束语本质上,IP地址所产生的问题是一种技术性的问题,对于该问题的解决,也必须从技术的角度出发,对此进行应对与防范。而且,随着信息技术的不断普及,企业对于信息技术和局域网的应用程度不断提升,这种问题的频度和类型也比较多,并且苏浙网络信息技术的发展,该问题也呈现出一种更新化的趋势,这也对网络管理人员的要求进一步提升。在网络管理人员提高技术水平的同时,还应该对培养网络管理人员的综合素养,尤其是实用过程中的解决问题能力。此外,伴随着技术性的加强,要要从制度上入手对此进行防范,规范局域网用户的网络实用,从而避免IP冲突等问题,为企业营造一个更好地网络应用环境。
参考文献[1]任龙.局域网计算机的安全防护策略探析[J].网络安全技术与应用,2019(07):4-5.
[2]缪振龙.解决局域网IP地址冲突故障[J].网络安全和信息化,2019(05):145-146.
[3]王宁邦,徐博,洪亮,高大帅,李孟娟,彭程,谷峥霖,丁俊美.局域网防IP冲突的多叉树算法[JJ.云南民族大学学报(自然科学版),2018,27(05):426-432.
[4]杨继东,张春明,田学艳.防止局域网IP地址被抢用及冲突解决对策[J].
电脑编程技巧与维护,2014(02):80-82.
作者简介:边荷(1981-),女,甘肃省定西市临洸县人。大学本科学历,中小学二级教师。研究方向为初中计算机教育。