IP地址资源

2024-06-27

IP地址资源（共7篇）

IP地址资源篇1

全球IPv4地址资源数周内枯竭,2011年2月分配殆尽

国际互联网编号分配机构IANA宣布,截至2011年1月18日,可供分配的IPv4地址仅剩下3551万个,预计到201 1年2月10日IANA的IPv4地址池中将不再有IPv4地址块。有“互联网之父”之称的文特?瑟夫日前说,全球IP地址将在“几个星期内”用尽。

我国IP地址严重不足,制约物联网、移动互联网、云计算、三网融合发展

我国物联网、移动互联网、云计算、三网融合等产业的发展都需要海量的IP地址作为支撑,因此我国IP地址严重不足,已成为制约我国物联网、移动互联网、云计算、三网融合发展的瓶颈。私有地址转换(NAT)无法从根本上解决IP地址短缺问题,大规模部署NAT在网络性能、成本、安全、可管可控性等方面都面临严峻挑战。

在互联网领域,当前我国拥有的IPv4地址数量约为2.5亿,而互联网用户达到4.2亿,平均用户仅拥有0.595个IP地址。在三网融合领域,如果现有5亿台电视终端全部实现双向化改造,所需IP地址数量非常巨大。

中国电信集团总经理王晓初日前公开表示“物联网最大瓶颈是IP地址缺乏”。此外,根据工信部电信研究院的研究报告,未来5年我国IP需求量为345亿,其中在移动互联网为10亿,物联网预计需求量为100亿,固定互联网为5亿,而按照IP地址33%的利用率来推算我国未来IP地址需求量为345亿。

美国等发达国家正在发力基于IPv6的下一代互联网产业

2010年,美国正在强力推进基于IPv6的下一代互联网发展计划,将其提升到国家战略高度,并得到美国互联网产业巨头的响应。美国等发达国家希望将互联网时代的技术优势延续到下一代互联网领域,在新一轮产业技术和国家经济竞争中掌握主动:

1、2010年9月,美国政府CIO和CTO同时出席相关发布会,发布美国IPv6行动计划,颁布实施IPv6的时间表:2012年底所有政府网站支持IPv6,政府只采购支持IPv6的IT设备,2014年完成全国性IPv6升级改造;

2、2010年12月,美国国防部和国家标准技术研究院通过安全部署IPv6的政策文件,标志着奥巴马政府推进IPv6工作的进一步落实;

3、Google、Facebook、Yahoo等在互联网领域最具影响力的企业已宣布201 1年6月8日为“全球IPv6日”,联手开展第一次全球性规模的IPv6服务。

我国下一代互联网产业积极应对,将举办中国IPv6日

随着IPv4地址即将消耗殆尽,且美国等发达国家正在发力基于IPv6的下一代互联网产业,我国加快推进实施基于IPv6的下一代互联网已势在必行。

目前,以下一代互联网产业联盟为代表,我国下一代互联网产业已初具规模,初步形成较为完整的产业链。据下一代互联网产业联盟理事长天地互连公司总裁刘东介绍,联盟企业已成功申请目前中国最大的IPv6地址块,为中国下一代互联网发展提供了充足的研发和产业化资源。

2011年,下一代互联网产业联盟计划举办一系列重大活动,组织产业界积极应对挑战。2011年4月,联盟将推动举办“全球IPv6下一代互联网高峰会议”,以举办这一在世界范围内最具影响力的下一代互联网盛会为契机,全面部署我国IPv6下一代互联网商业建设和应用。2011年6月8日,联盟将组织我国在互联网领域最具影响力的企业,在2011年6月8日同期举办“中国IPv6日”。

浅谈IP地址规划篇2

IP地址是网络中用来标识主机、路由器和网关等设备的, 在网络中为了区别不同的计算机网络设备, 就需要给计算机网络设备指定一个号码, 这个号码就是“IP地址”。IP地址就相当于计算机网络设备的身份证。合理科学的规划IP地址, 是未来网络管理和维护的重要基础。

1 规划思路

IP地址规划, 应该与网络拓扑结构相适应, 既要有效地利用地址空间, 又要体现出网络的可扩展性和灵活性, 减少路由器中路由表的长度, 减少对路由器CPU、内存的消耗, 提高路由算法的效率, 加快路由变化的收敛速度, 同时还要考虑到网络地址的可管理性。思路如下:

1) 从全局角度考虑IP地址规划方案, 根据网络结构和数据业务, 全网统一进行规划;

2) IP地址分为网络管理地址及业务地址, 网络管理地址包括设备管理地址和链路互连地址。业务地址按业务分区划分, 地址空间互不重叠, 便于管理和今后划分网络VPN;

3) 地址的分配必须采用可变长子网掩码 (VLSM) 技术, 保证IP地址的利用效率;

4) IP地址规划应简单易于管理, 降低网络扩展的复杂性, 简化路由表项;

5) IP地址规划应具有灵活性, 以满足多种路由策略的优化, 充分利用地址空间, 连续地址在层次结构网络中易于进行路径叠合, 大大缩减路由表, 提高路由算法的效率, 优化网络性能;

6) 为利于今后网络节点的扩展和业务规模的扩展, 在IP地址规划时需预留充足的IP地址空间, 虽然在网络初期的一段可能很长的时间里, 未合理考虑余量的IP地址规划也能满足需要, 但是当一个局部区域出现高增长, 或者整体的网络规模不断增大, 这时不合理的规划很可能必须重新部署局部甚至整体的IP地址, 因此IP地址的规划要制定恰当的预留策略, 以便将来的发展;

7) 根据单位组织、业务规模为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼, 然后逐级由大到小分割、划分的。先规划出一级单位, 再规划出二级单位、三级单位的地址。这样在各个单位的边界、业务的边界的路由设备上便于进行有效的路由汇总, 使整个网络的结构清晰, 路由信息明确, 也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立, 也便于独立的灵活管理。

2 网络IP地址规划原则

网络IP地址需求包括两方面:一是网络设备互连IP地址;二是网络设备管理IP地址。

1) 设备互连:设备之间的中继连接, 每条链路需要2个点对点的IP地址。根据实际需要, 以节约IP地址空间为原则, 可采用30位掩码来划分子网, 每条链路为一个网段, 则每个C类地址可分配64条链路;

2) 网络管理:每台设备需要1个IP地址, 这些设备包括所有的PE和CE路由器。三层交换机启用设备Loopback地址作为网管地址, 二层交换机使用链路接口地址作为网管地址。

为了便于区分互连地址和网络管理地址, 需要单独划出网段分配网管地址。

3 业务IP地址规划原则

为了保证地址的连续性, 根据不同特点可以有两种选择, 如图1所示。

一是“先业务、后单位 (站点) ”, 即先按业务分配地址, 再按单位分配地址, 这种方式有以下特点:1) 任意一种业务全公司范围内都是连续的, 同单位内同一业务的IP地址连续, 不同业务的IP地址不连续;2) 对于新增业务, 容易增加地址给业务使用, 只要调峰调频发电公司统一分配给地区就可为新业务增加地址。

二是“先地区 (站点) 、后业务”, 即先按地址分配地址, 再按业务分配地址, 这种方式有以下特点:1) 所有业务地址在地区内连续, 不同地区同一业务的IP地址不连续;2) 对于地区需要一定的富裕度, 以保证足够的地址用于新增业务。

两种规划原则各有特点, 在IP地址规划的时候可以根据实际需求来选择进行。

4 IP地址的分配

1) 设备管理地址:按每单位分配一段管理地址, 设备管理地址按地址从小到大使用, 设备管理地址掩码统一为255.255.255.255, 即/32;

2) 互连链路地址:用于上连链路及站内互连链路 (网络下层设备与上层设备之间, 站内路由器之间, 路由器和交换机之间) , 互连链路地址按照“从下至上”的原则使用;

3) 业务地址:各业务分区 (VPN) 用户网关地址一般安排在网络3层交换机 (核心或汇聚层) 设备上 (可以是一个虚拟的接口, 如VRRP接口或VLAN接口) , VPN用户网关IP地址使用分配给本站的地址空间内可用的数值最小的地址。

5 结论

IP地址细分建设方案篇3

关键词：IP地址细分,GGSN,WAP,防火墙

1 概述

随着通信业务量的不断增长, 互联网业务呈现爆炸式发展。名目繁多的互联网应用和资源吸引着亿万用户, 其中也有各种非法活动, 如何有效的追踪溯源用户上网行为是互联网重要的监测和管理手段。

工信部提出了相关需求, 要求进一步加强互联网行业管理, 支撑有关部门相关工作, 加强IP地址管理, 在指定区域将移动网络目前以省为单位的动态分配IP地址的方式, 升级改造成以区、县为单位动态分配IP的方式。

本文的研究将对IP地址细分原理进行分析, 同时对IP地址细分的建设给出了相关方案。

2 分组域I P地址细分

2.1 分组域核心网网络架构

分组网络架构主要包括SGSN、融合SGSN/MME、、GGSN、融合GGSN/SAE GW、HLR/HSS等设备, 网络架构如图1所示, LTE核心网与2G/3G核心网通过Gn接口进行互通。

2.2 分组域核心网网络设备

SGSN设备 (服务GPRS支持节点) :执行移动性管理、安全管理、接入控制和路由选择等功能, 要求支持IPv4及IPv6, 并且支持IPv4、IPv6及IPv4v6的PDP类型。

GGSN (网关GPRS支持节点) :负责提供GPRS PLMN与外部分组数据网的接口, 并提供必要的网间安全机制 (如防火墙功能) , 要求支持IPv4及IPv6, 并且支持IPv4、IPv6及IPv4v6 PDP类型。

融合SGSN/MME设备:包括服务GPRS支持节点 (SGSN) 和移动管理实体 (MME) 两个逻辑实体。

融合SAE-GW/GGSN设备:包括服务网关 (S-GW) 、PDN网关 (PDN-GW) 和网关GPRS支持节点 (GGSN) 三个逻辑实体。

2.3 分组域核心网I P地址细分原理

IP地址细分就是对I P地址池进行细化处理, 分组域核心网不再按照原来的方式-每个GGSN/SAE-GW对应全省的I P地址进行动态分配, 而是细分到区县甚至乡镇。

(1) 分组域核心网侧:GGSN、融合GGSN/SAE GW设备进行地址池划分, 每段地址池对应较小物理区域, 例如:一段地址池对应一个区/县, 而非全省。

(2) 无线侧:LAC与TA List按照区县进行编组:同一区/县的LAC编组, 配置在SGSN设备上;同一区/县的TA List编组, 配置在MME设备上。融合SGSN/MME设备支持LAC与TA List的配置。

IP地址池细化功能启用后, 为按照接入区域分配I P地址, 所有用户可以强制下线。用户之后发起激活请求, GGSN、融合GGSN/SAE GW依据LAC/TA List信息分配对应地址池中的I P地址。用户移动跨区域移动时, SGSN、融合SGSN/MME依据获取到的用户位置信息感知用户所属的LAC/TA List组变化, 对移动终端强制去活。

2.4 主要流程细述

2.4.1 用户由非细分区进入细分区域

用户由非细分区进入细分区域流程如图2所示。

(1) 移动用户从非细分区域 (B) 进入细分区域 (A) , SGSN/MME通过配置的LAC/TA List组与区域关系, 判断用户移动方向。

(2) SGSN/MME依据用户的位置信息, 感知到其所属的LAC/TA List组变化, 对于用户从非细分区域 (B) 进入细分区域 (A) , 强制终端去活。

(3) 用户下线后, 重新发起激活请求, SGSN/MME将用户的LAC/TA List信息传递到GGSN/SAE-GW。

(4) GGSN/SAE-GW根据用户的LAC/TA List信息, 按照之前IP地址池与LAC/TA List配置关系, 从对应的IP地址池内为用户分配IP地址。

(5) 用户使用GGSN/SAE-GW从指定的IP地址池中分配的IP地址访问互联网。Gi/s Gi防火墙对私网IP地址进行NAT转换, 对于细分地址池IP地址, 在指定的公网IP地址池中进行NAT转换, 实现细分目的。

2.4.2 用户由细分区进入细分区域

用户由细分区进入细分区域流程如图3所示。

(1) 移动用户从细分区域 (C) 进入细分区域 (A) , SGSN/MME通过配置的LAC/TA List组与区域关系, 判断用户移动方向。

(2) SGSN/MME依据用户的位置信息, 感知到其所属的LAC/TA List组变化, 对于用户从非细分区域 (B) 进入细分区域 (A) , 强制终端去活。

(3) 用户下线后, 重新发起激活请求, SGSN/MME将用户的LAC/TA List信息传递到GGSN/SAE-GW。

(4) GGSN/SAE-GW根据用户的LAC/TA List信息, 按照之前IP地址池与LAC/TA List配置关系, 从对应的IP地址池内为用户分配IP地址。

2.4.3 用户由细分区进入非细分区域

用户由细分区进入非细分区域流程如图4所示。

(1) 移动用户从细分区域 (A) 进入非细分区域 (D) 。

(2) SGSN/MME通过配置的LAC/TA List组与区域关系, 判断用户移动方向。依据用户的位置信息, 感知到其所属的LAC/TA List组变化。SGSN/MME可以强制用户下线, 也可保持用户在线状态, 直至用户发起下线请求。

(3) 用户发起数据请求, 访问互联网。

(4) 用户访问互联网, Gi/s Gi防火墙对私网IP地址进行NAT转换。

2.5 分组域核心网I P地址细分建设方案

2.5.1 SGSN、融合SGSN/MME

对LAC进行划分, 一个区县至少具有一个LAC, 同一区县的LAC编组, 配置在SGSN设备上。对TA进行划分, 一个区县至少具有一个TA List, 同一区县的TA List编组, 配置在MME设备上。融合SGSN/MME设备支持LAC与TA List的配置。

IP地址池细化功能启用后。当用户跨区域移动时, SGSN、融合SGSN/MME设备识别LAC或TA List组变化, 对移动终端强制去活。

2.5.2 GGSN、融合GGSN/SAE GW

GGSN、融合GGSN/SAE GW设备为覆盖区域内的终端分配私网I P地址, Gi/s Gi口防火墙为访问外网的请求进行NAT转换, 配置公网地址与端口, 如图5所示。

为实现IP地址细分, GGSN、融合GGSN/SAE GW设备能够依据用户LAC/TA信息从对应的IP地址池中为用户分配IP地址, 即:每个GGSN、融合GGSN/SAE GW设备进行地址池分段, 每段地址池对应更小一些的物理区域, 如区/县 (例如一段地址池对应一个区/县, 图6所示) , 而不是一个GGSN、融合GGSN/SAE GW设备对应全省, 实现快速用户定位。

2.5.3 Gi/s Gi防火墙

针对需进行Gi/s Gi防火墙NAT转换的情况, 防火墙上的I P地址池也可以进行分段:一部分I P地址对应需要I P细分的接入 (例如区域2) ;一部分I P地址对应无需I P细分的接入 (例如区域1) 。I P地址细分后分组域防火墙地址对应关系见图7。

3 中国移动WAP网关I P地址细分

3.1 中国移动WAP网络架构

WAP业务通常由以下几方面设备的合作来实现:WAP终端、无线传输网络 (GSM/GPRS/TD-SCDMA/TD-LTE) 、WAP网关系统等。WAP网关网络架构如图8所示。

3.1.1 WAP Ip地址细分实现流程

IP地址细化功能启用后, 代理流程中增加网关服务器负责识别手机端请求携带的GGSN IP Pool地址, 并维护GGSN IP Pool和网关特定区域内网地址的对应关系。一旦手机端地址匹配特定区域地址段, 网关服务器将手机端请求的源地址替换为网关特定区域内网地址。网关服务器将请求送至出口防火墙后, 防火墙识别网关服务器源地址, 并通过对应的防火墙策略将请求的源地址NAT为该策略配置的NAT地址。中国移动WAP Ip地址细分改造流程如图9所示。

为实现IP地址细分, 涉及WAP网关系统业务处理服务器、防火墙和日志服务器等设备的改造。

3.1.2 WAP网关服务器和防火墙设备改造方案

APN融合功能部署前, WAP网关承载配置CMWAP APN或10.0.0.172代理地址的数据业务;APN融合功能部署后, WAP网关承载配置10.0.0.172代理地址的数据业务。对于配置了代理地址10.0.0.172的终端访问请求, 通过WAP网关代理的形式访问互联网浏览业务;对于未配置10.0.0.172的终端请求, 经WAP网关防火墙NAT后透传访问互联网业务。

针对上述两种业务类型, 改造方案如下:

(1) 针对配置了代理地址10.0.0.172的终端业务

根据GGSN改造方案, GGSN对特定区域分配特定的GGSN IP Pool地址段, 相应WAP网关服务器上增加一个网关特定区域内网地址段与之相对应。WAP网关服务器负责识别手机端请求携带的GGSN IP Pool地址, 并维护GGSN IP Pool和网关特定区域内网地址的对应关系。当发现手机终端地址 (I P地址1) 为特定区域地址段时, 网关服务器将手机端请求的源地址替换为网关特定区域内网地址 (I P地址2) 。

在出口防火墙上新增防火墙策略, 对应网关服务器新增的特定区域源地址 (前述I P地址2所属地址段) , 为其配置用于特定区域的NAT公网地址, 与普通非特定区域的公网地址不同。网关服务器将请求送至出口防火墙后, 防火墙识别网关服务器源地址, 并通过对应的防火墙策略将请求的源地址NAT为该策略配置的NAT地址。

(2) 针对未配置代理地址10.0.0.172的终端业务

在出口防火墙上新增防火墙策略, 对应特定区域的GGSN IP POOL源地址段, 配置用于特定区域的NAT公网地址, 与普通非特定区域的公网地址不同。手机端将请求送至WAP网关Internet出口防火墙后, 防火墙识别手机端地址, 并通过对应的防火墙策略将请求的源地址NAT为该策略配置的NAT地址。

3.1.3 日志服务器改造方案

日志留存系统新增针对特定区域的NAT日志记录, 新增专用查询接口。报表系统新增特定区域报表。

4 结束语

如何防止IP地址被盗用篇4

当今社会是一个信息社会，信息技术的发展使得我们的生活日益精彩与便捷，互联网的发展更是将世界仅仅结合在一起的重要环节。如今网络的应用已涉及到现代生活的诸多方面。随着技术的发展和人们需求的增加，互联网的应用在我们生活中已经渗透到方方面面，因而安全管理工作则是人们关心的首要问题。而其中IP地址盗用问题当然是一个重点问题。

2. IP地址盗用方法

2.1 静态修改IP地址

静态修改IP地址是最简单的IP地址盗用方法。IP地址是对于任何一个TCP/IP实现的用户配置必选项。如果用户在配置TCP/IP或者修改TCP/IP配置的时候使用的不是授权机构分配的IP地址, 就形成了IP地址静态盗用。此类盗用最典型的例子是在用户端非法安装交换机或集线器等网络接入设备, 盗用合法IP地址从而将多台计算机接入网络。

2.2 成对修改IP-MAC地址

采用静态路由技术即可对很多的静态修改IP地址问题加以解决。但针对静态路由技术, IP盗用技术又有了新的发展, 即成对修改IP-MAC地址。MAC地址是设备的硬件的地址, 对于常用的以太网来说就是网卡地址。每一个网卡的MAC地址在所有以太网设备中是唯一的, 它由IEEE分配, 是固化在网卡上的, 一般不能随意更改。但是现在的一些兼容网卡, 其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址, 这样静态路由技术就无能为力了。而且对于那些MAC地址不能直接修改的网卡来说, 用户还可以采用软件的办法来修改MAC地址, 即通过修改底层软件达到欺骗上层网络软件的目的。这样就构成了成对修改IP-MAC地址从而实现IP盗用。

2.3 IP地址欺骗

IP地址欺骗就是通过伪造某台主机的IP地址, 使得某台主机能够伪装成另外一台主机, 而这台主机往往是具有某种特权或被另外主机所信任。IP欺骗是攻击防火墙系统的最常用方法, 也是许多其他攻击方法的基础。对于来自网络外部的欺骗来说, 只要配置一下防火墙就可以了, 但对同一网络内的机器实施攻击则不易防范。IP欺骗通常需要编程来实现, 对于一些黑客高手来说, 通过使用SOCKET编程, 发送带有假冒的IP地址的IP数据包, 绕过上层网络软件, 动态修改自己的IP地址或IP-MAC地址对达到IP欺骗不是一件很困难的事。

3．如何防止IP地址盗用

3.1 IP绑定技术

在网际互连中, 地址转换协议ARP是将地址与网络接口卡的物理地址（MAC地址）相关联的一个环节。地址在一定范围内, 客户可以随意更改或称为盗用, 而网卡的MAC地址相对而言却是唯一的、难以更改的, 利用ARP程序将IP地址与MAC地址绑定, 就可以解决地址被盗用的问题。

获得MAC地址后，管理员在服务器上的ARP Cache中写入IP与MAC地址的映射，将IP与MAC绑定。下面就Windows系统予以讲述：

在设置网络系统以后，在Windows的目录中就装入了ARP EXE程序，写入ARP Cache的参数是"ARP-S"，具体格式：

在使用上述写入ARP Cache命令时，如果服务器ARP Cache中没有该IP与MAC地址的映射，就会将新映射加入ARP Cache中，如果已经存在，就会将其改写为新映射。以后只有MAC地址正确的主机才能使用其绑定的IP地址，这样就可以有效防止IP地址盗用问题。

如果网络中的IP地址只分配了一部分，那么除了分配的IP地址与该IP地址的MAC地址绑定外，还要将未分配的IP地址与全"0"的MAC地址绑定，从而彻底防止IP地址的随意更改。如果要将本网络中所有IP地址进行绑定，那么就要使用许多条ARP命令，若在C类IP地址中，就要使用254条ARP命令，所以管理员在分配IP地址是，应将未分配的IP地址集中于某一段，就可以使用一些方法将这一段IP地址全部拒绝使用，就可以避免大量使用ARP命令的麻烦。但即便是这样，也将使用多条ARP命令，一种简单的方法就是将这些命令写入到一个批处理文件中，将批处理文件加入到AUTOEXEC.BAT，因而实现当机器一启动时，就将IP与MAC地址映射写入ARP Cache中。

3.2 动态配置MAC地址

根据TCP/IP的工作原理, 在数据交换过程中, IP包中的目的IP地址保持不变, 而目的MAC地址在不同的网段间会发生变化, 因为IP包在被发送时, 总会将他的目的MAC地址改为下一站的MAC地址, 因此MAC地址只在直接相连的物理网络内部进行发生作用, 他的作用范围也只在一个物理网络内, 只要一个网络内MAC地址不冲突, 通信就可进行。同时MAC地址是可修改的。MAC地址一般是固化在网络适配器的硬件当中但是, 基于IP软件效率的考虑, 系统一般并不会在每收发一帧的时候, 都直接从网络适配器中读取MAC地址, 而是在系统特定的缓冲区中获取MAC地址, 这就给动态修改MAC地址提供了可能。在Windows系统中可以通过修改注册表, 达到改变MAC地址的目的。事实上正是由于MAC地址的可修改性, 才有可能出现IP地址、MAC地址成对被盗用的现象。

动态配置MAC地址的方案是:设计一个C/S程序, 合法用户都有一个用户名和密码, 用户的机器运行客户端程序, 局域网的服务器运行服务器端程序。客户端在用户关机前, 向服务器申请修改客户端的MAC地址, 服务器收到申请后, 随机动态配置一个MAC地址给该客户端, 该MAC地址不会与在数据库中的整个内部网络其他MAC地址冲突, 客户端在收到服务器返回的MAC地址后, 对本机MAC地址做出修改, 然后正常关机。用户可以在客户端软件中保存用户名和密码, 这样全部动态配置和认证过程可以在用户正常使用网络的同时, 由软件自动在后台进行, 对用户使用网络不会有干扰和影响。用户在每次开机连入网络时, 都使用不同的MAC地址, 当用户在使用网络时, 盗用者即使通过某些手段获取该用户的IP-MAC地址对, 也无法盗用, 因为网络系统会发生地址冲突, 而当该用户下一次开机时, 会使用新申请的MAC地址进入网络, 这样盗用者将始终无法盗用IP-MAC地址对。

3.3 统一身份认证的方法

统一身份认证系统是整个网络安全体系的基础层, 它不仅能解决IP地址盗用的问题, 同时也为信息化的各项应用系统提供安全可靠的保证。

统一身份认证主要涉及三个方面的问题, 即统一认证、权限管理及单点登录。统一认证的目的是通过统一的登录窗口, 实现到不同的应用系统的认证。权限管理解决的是不同用户在系统中权限的问题。单点登录则是实现一点登录, 全网通行的前提和基础。统一身份认证系统的基本工作机制如下:用户通过账号密码认证、数字签名认证、卡认证等多种认证方式将用户登录信息传递给各应用服务器;应用服务器在接收到用户提交的信息后通过LDAP、REDIUS、SSO等认证协议向认证前置机发出认证请求;认证前置机首先确认该应用服务器的应用是否是统一身份认证系统所认可的, 如果否, 将直接返回失败信息;如果应用服务器的应用是统一身份认证系统所认可的, 则认证前置机与后台的认证服务器进行用户认证信息确认, 在通过对用户身份认证的同时返回一个认证令牌给用户;用户通过认证令牌即可访问应用系统, 并可在其他统一身份认证系统所认可的应用系统间自由切换, 无需再次认证。

身份认证系统为互联网络的通信建立信任关系, 保证身份的真实性, 为信息的保密性、完整性以及交易的不可抵赖性提供全面的服务。其宗旨是保证网络提供的服务和享受服务的客户实现安全交互, 为网络的客户提供网上身份认证和信任服务。在系统设计中, 建议采用的技术实现手段主要包括LDAP、SSO、SSL、PKI等。

4．结束语

IP地址的管理是网络管理中一个重要的方面。由盗用IP地址而导致的IP地址冲突正成为干扰网络正常运行的顽疾, 针对IP地址盗用技术, 我们可视具体情况采取相应的防范措施。进行以上防范技术的实施后, 在实际的网络管理中能对非法接入行为起很大的遏制作用, 加强了网络的整体安全性。

摘要：IP地址盗用问题是危害网络管理的一个重要问题, 本文就IP地址盗用的方法和一些防范IP地址盗用的手段进行了阐述。

关键词：IP地址盗用,IP绑定,动态配置MAC地址,统一身份认证

参考文献

[1]李光强, 殷俊华.利用IP捆绑技术防止IP地址盗用.电脑编程技巧与维护, 2000.7.

[2]Douglas E.Corner.Internetnetworking With TCP/IP Vol II.电子工业出版社, 1998.7.

[3]彭湘凯.防止IP地址盗用方法研究.现代电子技术, 2003.

[4]黄家林.利用MAC地址的动态配置防止IP地址盗用的方法[J].计算机工程, 2002, (8) .

IP地址资源篇5

IP协议为每一台在因特网上的计算机都定义了1个32位二进制的地址, 叫IP地址。连在某个网络上的两台计算机在相互通信时, 在它们所传送的数据包里含有某些附加信息, 这些附加信息就是发送数据的计算机的地址和接受数据的计算机的地址。当网络中存在以IP协议为基础的通信时, 这些发送和接受数据的地址就是IP地址。每台连网计算机都依靠IP地址来标识自己, 就很类似于我们的电话号码样的。通过电话号码来找到相应的电话, 全世界的电话号码都是唯一的, IP地址也同样。

(一) A类IP地址。

一个A类IP地址由1字节的网络地址和3字节主机地址组成, 网络地址的最高位必须是“0”, 地址范围从1.0.0.0到126.0.0.0。可用的A类网络有126个, 每个网络能容纳1亿多个主机。

(二) B类IP地址。

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成, 网络地址的最高位必须是“10”, 地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个, 每个网络能容纳6万多个主机。

(三) C类IP地址。

一个C类IP地址由3字节的网络地址和1字节的主机地址组成, 网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个, 每个网络能容纳254个主机。

(四) D类地址用于多点广播 (Multicast) 。

D类IP地址第一个字节以“lll0”开始, 它是一个专门保留的地址。它并不指向特定的网络, 目前这一类地址被用在多点广播 (Multicast) 中。多点广播地址用来一次寻址一组计算机, 它标识共享同一协议的一组计算机。

(五) E类IP地址。以“llll0”开始, 为将来使用保留。

全零 (“0.0.0.0”) 地址对应于当前主机。全“1”的IP地址 (“255.255.255.255”) 是当前子网的广播地址。

在IP地址3种主要类型里, 各保留了3个区域作为私有地址, 其地址范围如下:

A类地址:10.0.0.0~10.255.255.255 (第一组表示网络, 后面三组表示主机。)

B类地址:172.16.0.0~172.31.255.255 (第一, 二组表示网络, 后面两组表示主机。)

C类地址:192.168.0.0~192.168.255.255 (第一, 二, 三组表示网络, 最后一组表示主机。)

为了确定IP地址的网络号和主机号如何划分, 使用到了掩码。也就是说在一个IP地址中, 通过掩码来决定哪部分表示网络, 哪部分表示主机。大家规定, 用“1”代表网络部分, 用“0”代表主机部分。也就是说, 计算机通过IP地址和掩码才能知道自己是在哪个网络中。

二、IP地址管理

IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站, 它都是通过IP地址这个“身份”与其他工作站进行沟通交流的, 只要我们能安全妥善地管理好局域网中的所有IP地址, 就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配, 所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定, 使用这种方法来确认最终用户, 消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器, 并建立IP地址分配登记表, 统计每个终端机器网卡的MAC地址, 建立IP地址与MAC地址对照表, 并记录IP地址使用人的相关情况, 便于事后查找广播及病毒来源等。在交换机上采用V L A N (Virtual LAN, 虚拟局域网) 技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接, 只要通过配置命令将交换机的接口分给不同的VLAN, 就相当于把这些客户端划分到了不同的广播域。将接口划分到VLAN的方式如下:

执行上述命令, 可在交换机创建4个VLAN, 并将相应的端口划分到对应的VLAN中。

三、IP地址的绑定技术

(一) 基于交换机的IP地址、MAC地址、端口的绑定

1、MAC地址及MAC地址的作用。

MAC地址也叫物理地址、硬件地址或链路地址, 由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的, MAC地址通常表示为12位16进制数, 如:00-11-D8-29-09-78就是一个MAC地址, 其中前6位16进制数00-11-D8代表网络硬件制造商的编号, 而后3位16进制数29-09-78代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界上是惟一的。无论是局域网, 还是广域网中的计算机之间的通信, 最终都表现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP协议负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。

2、交换机、端口、IP地址三者的绑定。

为了防止IP地址被盗用, 就通过简单的交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法:如果是可网管交换机还可以提供:交换机、端口、IP地址三者的绑定, 一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例, 登录进入交换机, 输入管理口令进入系统视图, 敲入命令:

执行上述命令将每个端口与相应的计算机mac地址、IP地址绑定, 保存并退出。

通过这些设置, 可以将局域网中的IP地址和MAC地址绑定, 任何人在终端上任意更改IP地址, 都不能使其登陆互连网, 这样就便于网络管理员更好的维护整个网络的正常、安全地运行。

(二) 应用ARP绑定IP地址和MAC地址

1、什么是ARP及ARP的作用。

我们知道, 当我们在浏览器里面输入网址时, DNS服务器会自动把它解析为IP地址, 浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址 (即MAC地址) 的呢?在局域网中, 这是通过ARP协议来完成的。ARP即地址解析协议, ARP协议为IP地址到对应的MAC地址之间提供动态映射。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址可实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。

2、使用ARP绑定IP地址和MAC地址。

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时, 尽管盗用者修改了IP地址, 但因为网卡的MAC地址和ARP表中对应的MAC地址不一致, 所以也不能访问网络。

TCP/IP作为Internet网络协议, 已经被广泛用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式, 也已经被各种操作系统广泛采用, 因此IP地址在网络管理中显得尤为重要。

参考文献

[1]梁亚声, 汪永益, 刘京菊, 汪生, 计算机网络安全技术教程[M].机械工业出版社, 2004.

[2]刘韵洁, 张智江, 《下一代网络》[M].人民邮电出版社, 2005.

IP地址资源篇6

众所周知在现实的生活中, 身份证号码——唯一标识我们每个的专属ID号, 人们可以改变你的住所地址, 但是唯一标识你的身份证号却不能随着你地址更改而更改。在计算机网络中, IP地址是我们经常用到的概念, 但用来唯一标识计算机的MAC地址这个专业术语却很少被人提起。

1. IP地址与以太网MAC地址

在组建计算机局域网络时, 人们都知道IP地址只要规划合理, 你可以任意更改IP地址。修改的方法也是比较简单的, 只要在对应网卡的TCP/IP协议上双击一下然后修改参数就行了。那么MAC地址是怎样呢?下面就让我们分析一下IP地址和以太网MAC地址的异同。在OSI (Open System Interconnection, 开放系统互连) 7层网络协议参考模型中) , 第二层为数据链路层 (Data Link) 。MAC地址就位于这里。我们也将其称为物理地址、硬件地址或链路地址, 其由网络设备制造商生产时写在网卡硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的, IP地址是32位的, 而MAC地址则是48位的。MAC地址的长度为48位 (6个字节) , 通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:08:00:20:0A:8C:6D就是一个MAC地址, 其中前6位16进制数08:00:20代表网络硬件制造商的编号, 它由IEEE (电气与电子工程师协会) 分配, 而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界是惟一的。

2. MAC地址的作用

I P地址就如同网吧中的电脑, 而M AC地址则好像是用电脑的人, 网吧中电脑既可以让甲用, 也可以让乙用, 同样在计算机网络中一个节点的IP地址对于网卡没有要求, 基本上任何厂家都可以用, 也就是说IP地址与MAC地址并不存在着绑定关系。计算机具有流动性, 正如同人可以开不同的汽车道理一样的, 人的流动性是比较强的。汽车和人的对应关系类似IP地址与MAC地址的对应关系。例如, 某块网卡坏了, 可以被替换, 而无须获得一个新的IP地址。那么一个具有IP地址的主机从一个网络移到另一个网络, 可以给它一个新的IP地址, 而无须换一个新的网卡。显然MAC地址除了仅仅只有这个功能还是不够的, 我们用人类社会与计算机网络进行类比, 通过类比, 我们就可以发现其中的类似之处, 更好地理解MAC地址的作用。那么无论局域网、广域网中的计算机之间的通信, 最终都体现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP (Address Resolution Protocol:地址解析协议) 负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的, 试想在人际关系网络中, 甲要捎个口信给丁, 就会通过乙和丙中转一下, 最后由丙转告给丁。在计算机网络中, 这个口信就好比是一个计算机网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址, 这个过程就好比是人类社会的口信传送过程。相信通过这两个例子, 我们就可以进一步理解MAC地址的作用。

3. MAC地址的应用

身份证在日常的作用并不是很大, 但到了有的关键时刻, 身份证就是用来证明你的身份的。例如你要去乘飞机, 这时必须用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样的道理。有的时候, 我们为了计算机网络安全, 防止IP地址被盗用, 就通过对网络设备简单的处理——交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用, 如果是三层设备还可以提供:交换机端口/IP/MAC三者的绑定, 防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的, 是网管人员才能接触到的, 对于一般电脑用户来说只要了解了绑定的作用就行了。比如你在校园网中把自己的笔记本电脑换到另外一个宿舍就无法上网了, 这个就是因为MAC地址与IP地址 (端口) 绑定引起的。

4. 结束语

本文从IP地址与以太网MAC地址、MAC地址的作用、MAC地址的应用三个方面介绍了IP地址与以太网MAC地址的关系及如何利用以太网MAC地址与IP地址绑定来解决计算机网络安全的一种方法。

参考文献

[1] (美) Gary Govanus.TCP/IP 24seven北京:电子工业出版社2000年3月.

[2]杨雅辉.网络规划与设计教程, 北京:高等教育出版社, 2008年6月.

IP地址欺骗与防范技术研究篇7

1 IP地址欺骗的原理

在网络上, 计算机之间要进行交流必须在两个前提之下:认证和信任。认证是一种鉴别

过程, 两台计算机经过认证的过程, 才会建立起相互信任的关系。信任和认证具有逆反关系, 即如果计算机之间存在高度的信任关系, 则交流时就不会要求严格的认证。而反之, 如果计算机之间没有很好的信任关系, 则会进行严格的认证[2]。

IP地址欺骗实质上就是冒充身份通过认证来骗取信任的攻击方式, 攻击者针对认证机制的缺陷, 将自己伪装成其他计算机的IP地址, 骗取连接来获得信息或者得到特权。

2 常见的IP地址欺骗技术

2.1 IP源路由欺骗

TCP/IP网络中, IP包的传输路径完全由路由决定, IP报文首部的可选项中有“源站选路”, 可以指定到达目的站点的路由。

源站选路给攻击者带来了很大的便利。攻击者可以使用假冒地址10.10.20.30向受害者10.10.5.5发送数据包, 并指定了宽松的源站选路或者严格路由选择, 并把自己的IP地址10.50.50.50填入地址清单中。

当受害者在应答的时候, 按收到数据包的源路由选项反转使用源路由, 传送到被更改过的路由器, 由于路由器的路由表已被修改, 收到受害者的数据包时, 路由器根据路由表把数据包发送到攻击者所在的网络, 攻击者可在其局域网内较方便地进行侦听, 收取此数据包。

这样攻击者不再是盲目飞行了, 因为它能获得完整的会话信息。

2.2 TCP会话劫持

在一般的欺骗攻击中攻击者并不是积极主动地使一个用户下线来实现他针对受害目标的攻击, 而是仅仅装作是合法用户。此时, 被冒充的用户可能并不在线上, 而且它在整个攻击中不扮演任何角色, 因此攻击者不会对它发动进攻。但是在会话劫持中, 为了接管整个会话过程, 攻击者需要积极攻击使被冒充用户下线。

在TCP/IP协议中, TCP协议提供可靠的连接服务, 采用三次握手建立一个连接, 用来交换TCP窗口大小信息, 连接包含双方的序列号和确认号。在TCP连接中, 每台主机会创建一个TCB数据结构, 存储与连接有关的数据[3]。

TCP会话劫持过程分为五个步骤: (1) 发现攻击目标。首先, 通常攻击者希望这个目标是一个准予TCP会话连接 (例如Telnet和FTP等) 的服务器。 (1) 确认动态会话。与大多数攻击不同, 会话劫持攻击适合在网络流通量达到高峰时才会发生的。 (1) 猜测序列号。TCP区分正确数据包和错误数据包仅通过它们的SEQ/ACK序列号。序列号却是随着时间的变化而改变的。因此, 攻击者必须成功猜测出序列号。通过嗅探或者ARP欺骗, 先发现目标机正在使用的序列号, 再根据序列号机制, 可以猜测出下一对SEQ/ACK序列号。 (1) 使客户主机下线。当攻击者获得了序列号后, 为了彻底接管这个会话, 他就必须使客户主机下线。使客户主机下线最简单的方式就是对其进行拒绝服务攻击, 从而使其不再继续响应。 (1) 接管会话。既然攻击者已经获得了他所需要的一切信息, 那么他就可以持续向服务器发送数据包并且接管整个会话了。

3 IP欺骗攻击的防御

3.1 防范源路由欺骗

为了保护一个单位不成为基本IP地址攻击的受害者, 应该在路由器上进行基本过滤。大多数路由器有内置的欺骗过滤器。过滤器的最基本形式是, 不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址[4]。

保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。在一个C i s c o路由器上, 可以通过使用IPsource-route命令使源路由有效或者无效, 在其他路由器上可以使用类似的命令使源路由无效[5]。

3.2 防范会话劫持攻击

会话劫持攻击是非常危险的, 因为攻击者能够直接接管合法用户的会话。在其他的攻击中可以处理那些危险并且将它消除。但是在会话劫持中, 消除这个会话也就意味着禁止了一个合法的连接, 从本质上来说这么做就背离了使用Internet进行连接的目的。

没有有效的办法可以从根本上防范会话劫持攻击, 以下列举了一些方法可以尽量缩小会话攻击所带来危害: (1) 进行加密。加密技术是可以防范会话劫持攻击为数不多的方式之一。如果攻击者不能读取传输数据, 那么进行会话劫持攻击也是十分困难的。 (2) 使用安全协议。

无论何时当用户连入到一个远端的机器上, 特别是当从事敏感工作或是管理员操作时, 都应当使用安全协议。 (3) 限制保护措施。允许从网络上传输到用户单位内部网络的信息越少, 那么用户将会越安全, 这是个最小化会话劫持攻击的方法。攻击者越难进入系统, 那么系统就越不容易受到会话劫持攻击。

4 结语

IP地址欺骗是冒充身份通过认证来骗取信任的攻击方式, 是使一台主机信任另外一台主机的复杂技术。本文首先对IP地址欺骗的技术进行了分析, 针对其攻击特点, 论述了IP欺骗攻击的防范措施, 尽可能降低地址欺骗所带来的网络安全风险。

摘要：随着计算机网络的飞速发展, 网络业务迅速兴起, 然而由于网络自身固有的脆弱和中国的网络信息技术起步比较晚使网络安全存在很多潜在的威胁。在当今这样“数字经济”的时代, 网络安全显得尤为重要。本文剖析了IP地址欺骗的原理, 分析了IP欺骗攻击技术, 并在此基础上, 给出了一些防范措施。

关键词：IP欺骗,源路由欺骗,TCP会话劫持