IP 地址及其管理一、目標分析第 1 頁 共 5 頁 ,第 2 頁 共 5 頁 ,第 3 頁 共 5 頁 ,有兩個特

IP 地址及其管理

一、目標分析

第 1 頁 共 5 頁

第 2 頁 共 5 頁

第 3 頁 共 5 頁

有兩個特殊的號不能分配給具體的計算機，那就是主機號全為0和全為1的情況。全為0的號留給網(wǎng)絡本身使用，全為1的號用作廣播地址。學生一般會得出：只能容納256-2=254臺。

如何看網(wǎng)絡標識：首先看是幾類IP ，然后看網(wǎng)絡標識。

A 類地址：第一段為網(wǎng)絡號，其余段為主機號

B 類地址：前兩段為網(wǎng)絡號，后兩段為主機號

C 類地址：前三段為網(wǎng)絡號，最后一段為主機號

6、IP 地址的管理

管理機構：IANA 因特網(wǎng)地址分配機構 www.iana.org （負責全球IP 地址和域名的管理）

（1）幻燈展示P47 IP地址管理機構圖，介紹IP 地址是如何管理的。

ICANN 將部分IP 地址分配給地區(qū)級的互聯(lián)網(wǎng)注冊機構 （Regional Internet Registry, 簡稱RIR ） RIR 負責該地區(qū)的IP 地址分配，登記注冊。通常RIR 會將地址進一步分配給區(qū)內(nèi)大的本地級互聯(lián)網(wǎng)注冊機構或因特網(wǎng)服務供應商（LIR/ISP）， 然后由他們做更進一步的分配。

RIR 共有三個，分別為ARIN 、RIPE 、APNIC 。

ARIN 主要負責北美地區(qū)的IP 地址/的分配管理。

RIPE 主要負責歐洲地區(qū)的IP 地址的分配管理。

APNIC 主要負責亞太地區(qū)的IP 地址的分配管理。

（2）展示資料：目前的因特網(wǎng)技術共能提供約4億個左右的獨立IP 地址，但是這些地址并沒有合理地分配給各個國家和地區(qū)。因為因特網(wǎng)是從美國興起并以美國為中心發(fā)展起來的，因此絕大多數(shù)IP 地址已被美國所占有，使IP 地址資源分配嚴重不均衡。中國，世界上人口最多的國家，所分得的大多是C 類IP 地址，A 類和B 類幾乎沒有。

IP 地址資源的不足，如何解決？

方法—：IPV6

方法二：IP 地址的動態(tài)分配

IPv4采用32位地址長度，只有大約43億個地址，估計在2005～2010年間將被分配完畢，而IPv6采用128位地址長度，幾乎可以不受限制地提供地址。

我們?yōu)槭裁葱枰狪Pv6，有以下幾點：

（1）IPv4地址資源面臨枯竭，我國僅有3000多萬個IP 地址

（2）互聯(lián)網(wǎng)黑客、病毒泛濫，IPv6能提供更安全的保障

（3）實現(xiàn)3G 與互聯(lián)網(wǎng)的融合，讓每部手機都有IP 地址

（4）IPv6支持“永遠在線”，為客戶提供更滿意的服務

IP 地址是唯一標識出主機所在的網(wǎng)絡及其網(wǎng)絡中位置的編號。IP 地址是一個32位的二進制數(shù), 共分為五類, 子網(wǎng)掩碼可以把IP 地址劃分為網(wǎng)絡地址和主機地址。為解決IP 地址的不足, 已開始研發(fā)IPV6。 三．IP 地址盜用常用方法及防范

目前IP 地址盜用行為非常常見，許多“不法之徒”用盜用地址的行為來逃避追蹤、隱藏自己的身份。IP 地址的盜用行為侵害了網(wǎng)絡正常用戶的權益，并且給網(wǎng)絡安全、網(wǎng)絡的正常運行帶來了巨大的負面影響，因此研究IP 地址盜用的問題，找出有效的防范措施，是當前的一個緊迫課題。

第 4 頁 共 5 頁

IP 地址盜用常用的方法及其防范機制

IP 地址盜用是指盜用者使用未經(jīng)授權的IP 地址來配置網(wǎng)上的計算機。IP 地址的盜用通常有以下兩種方法:

一是單純修改IP 地址的盜用方法。如果用戶在配置或修改配置時，使用的不是合法獲得的IP 地址，就形成了IP 地址盜用。由于IP 地址是一個協(xié)議邏輯地址，是一個需要用戶設置并隨時修改的值，因此無法限制用戶修改本機的IP 地址。

二是同時修改IP-MAC 地址的方法。針對單純修改IP 地址的問題，很多單位都采用IP-MAC 捆綁技術加以解決。但IP-MAC 捆綁技術無法防止用戶對IP-MAC 的修改。MAC 地址是網(wǎng)絡設備的硬件地址，對于以太網(wǎng)來說，即俗稱的網(wǎng)卡地址。每個網(wǎng)卡上的MAC 地址在所有以太網(wǎng)設備中必須是惟一的，它由IEEE 分配，固化在網(wǎng)卡上一般不得隨意改動。但是，一些兼容網(wǎng)卡的MAC 地址卻可以通過配置程序來修改。如果將一臺計算機的IP 和MAC 地址都修改為另一臺合法主機對應的IP 和MAC 地址，那么IP-MAC 捆綁技術就無能為力了。另外，對于一些MAC 地址不能直接修改的網(wǎng)卡，用戶還可以通過軟件修改MAC 地址，即通過修改底層網(wǎng)絡軟件達到欺騙上層軟件的目的。

目前發(fā)現(xiàn)IP 地址盜用比較常用的方法是定期掃描網(wǎng)絡各路由器的ARP(address resolution protocol)表，獲得當前正在使用的IP 地址以及IP-MAC 對照關系，與合法的IP 地址表，IP-MAC 表對照，如果不一致則有非法訪問行為發(fā)生。另外，從用戶的故障報告(盜用正在使用的IP 地址會出現(xiàn)MAC 地址沖突的提示) 也可以發(fā)現(xiàn)IP 地址的盜用行為。在此基礎上，常用的防范機制有:IP-MAC捆綁技術、代理服務器技術、IP-MAC-USER 認證授權以及透明網(wǎng)關技術等。

這些機制都有一定的局限性，比如IP-MAC 捆綁技術用戶管理十分困難; 透明網(wǎng)關技術需要專門的機器進行數(shù)據(jù)轉發(fā)，該機器容易成為瓶頸。更重要的是，這些機制都沒有完全從根本上防止IP 地址盜用行為所產(chǎn)生的危害，只是防止地址盜用者直接訪問外部網(wǎng)絡資源。事實上，由于IP 地址盜用者仍然具有IP 子網(wǎng)內(nèi)完全活動的自由，因此一方面這種行為會干擾合法用戶的使用:另一方面可能被不良企圖者用來攻擊子網(wǎng)內(nèi)的其他機器和網(wǎng)絡設備。如果子網(wǎng)內(nèi)有代理服務器，盜用者還可以通過種種手段獲得網(wǎng)外資源。

利用端口定位及時阻斷IP 地址盜用

交換機是局域網(wǎng)的主要網(wǎng)絡設備，它工作在數(shù)據(jù)鏈路層上，基于MAC 地址來轉發(fā)和過濾數(shù)據(jù)包。因此，每個交換機均維護著一個與端口對應的MAC 地址表。任何與交換機直接相連或處于同一廣播域的主機的MAC 地址均會被保存到交換機的MAC 地址表中。通過SNMP(Simple Network Management protocol)管理站與各個交換機的SNMP 代理通信可以獲取每個交換機保存的與端口對應的MAC 地址表，從而形成一個實時的Switch-Port-MAC 對應表。將實時獲得的Switch-Port-MAC 對應表與事先獲得的合法的完整表格對照，就可以快速發(fā)現(xiàn)交換機端口是否出現(xiàn)非法MAC 地址，進一步即可判定是否有IP 地址盜用的發(fā)生。如果同一個MAC 地址同時出現(xiàn)在不同的交換機的非級聯(lián)端口上，則意味著IP-MAC 成對盜用。

發(fā)現(xiàn)了地址盜用行為后，實際上也已經(jīng)將盜用行為定位到了交換機的端口。再通過查詢事先建立的完整的Switch-Port-MAC 對應表，就可以立即定位到發(fā)生盜用行為的房間。

發(fā)生了地址盜用行為后，可以立即采取相應的方法來阻斷盜用行為所產(chǎn)生的影響，技術上可以通過SNMP 管理站向交換機代理發(fā)出一個SNMP 消息來關斷發(fā)生盜用行為的端口，這樣盜用IP 地址的機器無法與網(wǎng)絡中其他機器發(fā)生任何聯(lián)系，當然也無法影響其他機器的正常運行。

端口的關斷可以通過改變其管理狀態(tài)來實現(xiàn)。在MIB(Management Information Base)中有一個代表端口管理狀態(tài)的可讀寫對象ifAdminStatus(對象標識符號為1.3.6.1.2.1.2.2.1.7) ，給ifAdminStatus 賦不同的值，可以改變端口的管理狀態(tài)，即“1”—開啟端口，“2”—關閉端口，“3”—供測試用。

這樣，通過管理站給交換機發(fā)送賦值信息(Set Request) ，就可以關閉和開啟相應的端口，比如要關閉某一交換機(192.168.1.1)的2號端口，可以向該交換機發(fā)出如下信息:

set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2).

結合IP-MAC 綁定技術，通過交換機端口管理，可以在實際使用中迅速發(fā)現(xiàn)并阻斷IP 地址的盜用行為，尤其是解決了IP-MAC 成對盜用的問題，同時也不影響網(wǎng)絡的運行效率。

第 5 頁 共 5 頁