防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1、交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
2、路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如:
a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;页码:[1] [2] [3] [4] [5] 第3页、共5页 |
