黄文胜　吴翠艳

摘 要 从企业Intranet运行的情况来看，存在非法使用IP地址接入网络的现象，冒充合法用户使用网络服务，这种行为侵害了正常用户的权益，危及网络安全，扰乱网络的正常运行。为了有效地保护合法用户的权益，维护网络正常运行和安全，本文主要就IP地址与网络安全的问题进行论述，详细介绍了常见的非法使用IP地址的行为，并提出相应的解决措施和策略，可有效解决企业内部网中非法使用IP地址的问题。

【关键词】非法IP地址 端口安全 DHCP窥探 ARP欺骗 解决策略

使用TCP/IP协议构建的企业Intranet是一个开放的、互操作的通信系统，IP地址是TCP/IP网络中可寻址设备的唯一逻辑标识。对于IP网络上的每台计算机必须分配一个唯一的IP地址才能够连接到网络使用服务，IP地址是使用网络服务的必备资源。在企业网络中，IP地址还往往标志着享有不同类型或级别的服务。如在按IP地址流量计费的网络中，通过非法使用合法用户的IP地址，则将网络流量计费转嫁给其他人来逃避网络使用费，或为其他不可告人目的非法使用IP地址的方式来逃避侦查，隐藏自己的身份。非法使用IP地址侵害了合法用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，探讨使用非法IP地址的问题，并寻找有效的解决方法对维护企业网的安全和健康运行是非常必要的。

1 IP地址与计算机网络安全

1.1 计算机网络安全含义

网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。当前，人为的网络入侵和攻击行为成为网络安全面临新的挑战。

1.2 计算机网络中的安全缺陷及产生原因

1.2.1 计算机网络的主要安全缺陷

（1）网络系统在稳定性和可扩充性方面。系统设计不规范、不合理以及缺乏安全性考虑。

（2）网络硬件的配置不协调。一是文件服务器，它是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。二是工作站选配不当导致网络不稳定。

（3）缺乏安全策略。许多站点在防火墙配置上无意识的扩大了访问权限，忽视了这些权限可能会被其他人员滥用。

（4）访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机。

（5）管理制度不健全，网络管理、维护，随之任之。

1.2.2 网络安全缺陷产生的原因

（1）TCP/IP的脆弱性。TCP/IP协议对于网络的安全性考虑得并不多，并且TCP/IP协

议是公开的，熟悉TCP/IP的人可以利用它的安全缺陷来实施网络攻击。

（2）网络结构的不安全性。TCP/IP协议是一种网际互联技术，它实现无数个局域网互联。当人们用一台主机和另一局域网的主机进行通信时，数据流要经过很多节点重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫获用户的数据包。

（3）易被窃听。TCP/IP协议数据流大多数没有加密，因此人们可利用相关工具对网上的邮件、口令和传输的文件进行窃听。

（4）缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。

1.2.3 IP自身的不安全性

TCP/IP协议先天具有脆弱性。当初制定TCP/IP协议时，由于当时网络软硬件设备的局限性，设计该协议时只着重考虑了网络的速度，而对网络的安全性没做太多的考虑，这使得现今的网络非常不安全。IP是面向非连接的，所以不保持任何连接状态的信息，因此可以对IP堆栈进行修改，制造任意满足要求的源地址和目标地址，从而形成IP欺骗。

1.2.4 IP地址使用与网络安全

Windows系统的终端用户可以自由修改IP地址的设置，常导致IP地址重复引发冲突，盗用合法用户的IP地址非授权使用网络服务，最终会导致网络不能正常运行及合法用户的权益受到侵害。

2 企业网络非法使用IP地址的问题

2.1 IP地址非法使用的动机分析

IP地址的非法使用不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。非法使用者的动机有以下几种情况：

（1）干扰、破坏网络服务器和网络设备的正常运行。

（2）企图拥有被非法使用的IP地址所拥有的特权。

（3）因机器重新安装、临时部署等原因，无意中造成的非法使用。

2.2 非法使用 IP地址的方法分析

2.2.1 静态修改IP地址

IP地址用户使用网络服务配置的必选项，由于无法限制用户对于IP地址的静态修改，当用户在配置网络连接参数时，使用的不是授权机构分配的IP地址，就形成了IP地址的非法使用。

2.2.2 成对修改IP-MAC地址

对于静态修改IP地址的问题，交换机的端口安全功能支持IP地址或IP+MAC绑定，只有符合绑定规则的报文可以进入交换机，不符合绑定规则的报文将被丢弃，从而限制了静态修改IP地址。但对端口安全技术，可以通过工具成对修改IP+MAC地址来达到欺骗上层网络协议的目的。

2.2.3 动态修改IP地址

利用黑客工具直接在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址（或IP+MAC地址对），是非法使用IP地址的新趋势。

3 非法使用IP地址的解决策略

根据网络中IP地址的分配方案是静态分配还是DHCP动态分配以及根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的非法使用。

3.1 交换机端口安全技术

端口安全技术通过报文的源MAC或IP地址来限定报文是否可以进入交换机的端口。端口安全支持IP+MAC绑定或者仅绑定IP，满足绑定规则的报文允许进入交换机，否则报文被丢弃。在支持ARP Check功能的交换机中，ARP报文检查功能，对逻辑端口下的所有的ARP报文根据合法用户信息（IP 或IP+MAC）产生相应的ARP过滤信息进行过滤，对所有非法的ARP报文进行丢弃，能够有效的防止网络中ARP欺骗，防止非法使用IP地址，提高网络的稳定性。

3.2 DHCP窥探技术

用DHCP进行动态IP地址分配的网络中，DHCP窥探技术通过对DHCP客户和服务器之间的DHCP 交互报文进行窥探，实现对用户的监控。同时DHCP 窥探起到一个DHCP 报文过滤的功能，实现对非法服务器的过滤，防止合法用户使用非法DHCP服务器提供的IP地址。DHCP窥探把用户获取到的IP 信息以及用户计算机的MAC地址、VLAN号、连接端口号、租约时间等信息添加到DHCP 窥探数据库中，配合ARP检测功能，防止用户私设IP 地址，从而达到控制用户连网的目的。

3.3 动态ARP检测技术

ARP协议本身不对收到的ARP报文进行合法性检查，这给了攻击者实施ARP欺骗攻击的机会。在开启动态ARP检查后，将在VLAN 所对应的非信任端口上拦截住所有ARP请求和应答报文，然后根据DHCP窥探数据库的记录，对拦截住的ARP报文进行合法性检查。可保网络通信的安全。

3.4 防网关ARP欺骗

网络中的计算机可冒充网关向客户计算机发送ARP响应报文，让客户计算机误以为网关，通信数据就被劫取到假冒网关的计算机上。启用防网关ARP欺骗技术，可以在逻辑端口上检查ARP报文的源IP 是否为配置的网关IP，只有交换机的上连设备能够下发网关的ARP报文，其它PC 发送的假冒网关ARP响应报文将被过滤以防止用户收到错误的ARP响应报文。

3.5 IP Source Guard技术

为了防止客户端私设IP，可以在连接服务器与客户端网络之间的设备上开启IP Source Guard 功能。IP Source Guard 维护一个IP 源地址绑定数据库，可以在对应的接口上对报文进行基于源IP 、源IP+MAC的报文过滤，从而保证只有IP 源地址绑定数据库中的主机才能正常使用网络，有效防止非法私设IP地址的现象发生。

3.6 采用路由器隔离技术

路由器隔离可使用静态ARP表，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。未经授权的IP无法通过路由器转发数据。也可以使用正确的IP与MAC地址映射覆盖非法的IP+MAC表项，向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送，或修改路由器的访问控制列表来禁止非法访问。

3.7 使用验证服务器技术

在一个企业网中，任何使用网络服务的用户需要到网络管理部门申请帐户和口令，IP地址的使用可以是无偿的，即变IP地址管理为用户身份和口令的管理。让非法使用IP地址失去意义。

4 结论

以上各种解决方法亦各有局限，路由器隔离技术虽然能够较好地解决IP地址非法使用问题，但不能应对成对修改IP-MAC地址的情况。DHCP窥探、动态ARP检查等技术会带来额外的开销，影响通信的性能。在企业网络管理中，要根据实际出现的情况来选择相应的解决措施，在采取技术手段来解决IP地址非法使用问题的同时，还应该通过制度建设来规范员工的使用行为，使网络用户能更好的保护自己的合法权益和维护网络安全。

参考文献

[1]胡道元.计算机局域网[M].北京：清华大学出版社，2001：190-358.

[2]朱理森，张守连.计算机网络应用技术[M].北京：专利文献出版社，2001：25-50.

[3]W.Richard Stevens著，尹浩琼，李剑等译，TCP/IP详解[M].北京：机械工业出版社，2003：20-80.

作者简介

黄文胜（1969-）男，现为重庆市商务学校高级讲师。主要研究方向为计算机网络技术、计算机软件。

吴翠艳，现为重庆市商务学校讲师。主要研究方向为计算机网络技术。

作者单位

重庆市商务学校 重庆市 400080