(20080819原建20120606新增)不管是學習網路還是上網,IP位址都是出現頻率非常高的詞。Windows系統中設置IP位址的介面如圖1所示,圖中出現了IP地址、子網路遮罩、默認閘道和DNS伺服器這幾個需要設置的地方,只有正確設置,網路才能通,那這些名詞都是什麼意思呢?學習IP位址的相關知識時還會遇到網路位址、廣播位址、子 網等概念,這些又是什麼意思呢?
我發現有資料的教學 分享大家
IP 地址的概念
我們知道因特網是全世界範圍內的計算機聯為一體而構成的通信網絡的總稱。聯在某個網絡上的兩台計算機之間在相互通信時,在它們所傳送的數據包裡都會含有某些附加信息,這些附加信息就是發送數據的計算機的地址和接受數據的計算機的地址。
像這樣,人們為了通信的方便給每一台計算機都事先分配一個類似我們日常生活中的電話號碼一樣的標識地址,該標識地址就是我們今天所要介紹的 IP 地址。
根據 TCP/IP 協議規定,IP 地址是由 32 位二進制數組成,而且在 Internet 範圍內是唯一的。
例如,某台聯在因特網上的計算機的IP地址為:
11010010 01001001 10001100 00000010
很明顯,這些數字對於人來說不太好記憶。人們為了方便記憶,就將組成計算機的 IP 地址的 32 位二進制分成四段,每段 8 位,中間用小數點隔開,然後將每八位二進制轉換成十進制數,這樣上述計算機的IP地址就變成了:210.73.140.2。
IP地址的分類
我們說過因特網是把全世界的無數個網絡連接起來的一個龐大的網間網,每個網絡中的計算機通過其自身的 IP 地址而被唯一標識的,據此我們也可以設想,在 Internet 上這個龐大的網間網中,每個網絡也有自己的標識符。這與我們日常生活中的電話號碼很相像,例如有一個電話號碼為 0515163,這個號碼中的前四位表示該電話是屬於哪個地區的,後面的數字表示該地區的某個電話號碼。
與上面的例子類似,我們把計算機的 IP 地址也分成兩部分,分別為網絡標識和主機標識。同一個物理網絡上的所有主機都用同一個網絡標識,網絡上的一個主機(包括網絡上工作站、服務器和路由器等) 都有一個主機標識與其對應 IP 地址的 4 個字節劃分為 2 個部分,一部分用以標明具體的網絡段,即網絡標識;另一部分用以標明具體的節點,即主機標識,也就是說某個網絡中的特定的計算機號碼。
例如,鹽城市信息網絡中心的服務器的IP地址為 210.73.140.2,對於該 IP 地址,我們可以把它分成網絡標識和主機標識兩部分,這樣上述的IP地址就可以寫成:
網絡標識:210.73.140.0
主機標識: 2
合起來寫:210.73.140.2
由於網絡中包含的計算機有可能不一樣多,有的網絡可能含有較多的計算機,也有的網絡包含較少的計算機,於是人們按照網絡規模的大小,把 32 位地址信息設成三種定位的劃分方式,這三種劃分方法分別對應於 A 類、B 類、C 類 IP 地址。
1.A 類 IP 地址
一個 A 類 IP 地址是指,在 IP 地址的四段號碼中,第一段號碼為網絡號碼,剩下的三段號碼為本地計算機的號碼。
如果用二進製表示 IP 地址的話,A 類 IP 地址就由 1 字節的網絡地址和3字節主機地址組成,網絡地址的最高位必須是「0」。
A 類 IP 地址中網絡的標識長度為 7 位,主機標識的長度為 24 位,A 類網絡地址數量較少,可以用於主機數達 1600 多萬台的大型網絡。
2.B 類 IP 地址
一個 B 類 IP 地址是指,在 IP 地址的四段號碼中,前兩段號碼為網絡號碼,剩下的兩段號碼為本地計算機的號碼。
如果用二進製表示 IP 地址的話,B 類 IP 地址就由 2 字節的網絡地址和2字節主機地址組成,網絡地址的最高位必須是「10」。
B 類 IP 地址中網絡的標識長度為 14 位,主機標識的長度為 16 位,B 類網絡地址適用於中等規模規模的網絡,每個網絡所能容納的計算機數為 6 萬多台。
3.C 類 IP 地址
一個 C 類 IP 地址是指,在IP地址的四段號碼中,前三段號碼為網絡號碼,剩下的一段號碼為本地計算機的號碼。如果用二進製表示 IP 地址的話,C 類 IP 地址就由 3 字節的網絡地址和 1 字節主機地址組成,網絡地址的最高位必須是「110」。
C 類 IP 地址中網絡的標識長度為 21 位,主機標識的長度為 8 位,C 類網絡地址數量較多,適用於小規模的局域網絡,每個網絡最多只能包含 254 台計算機。
除了上面三種類型的 IP 地址外,還有幾種特殊類型的 IP 地址,TCP/IP 協議規定,凡 IP 地址中的第一個字節以「lll0」開始的地址都叫多點廣播地址。
因此,任何第一個字節大於 223 小於 240 的 IP 地址是多點廣播地址;
IP 地址中的每一個字節都為 0 的地址(「0.0.0.0」)對應於當前主機;IP 地址中的每一個字節都為 1 的 IP 地址(「255.255.255.255」)是當前子網的廣播地址;
IP 地址中凡是以「llll0」的地址都留著將來作為特殊用途使用;
IP 地址中不能以十進制「127」作為開頭,27.1.1.1用於回路測試,同時網絡 ID 的第一個 6 位組也不能全置為「0」,全「0」表示本地網絡。
三、IP 的尋址規則
1.網絡尋址規則
A、 網絡地址必須唯一。
B、 網絡標識不能以數字 127 開頭。在 A 類地址中,數字 127 保留給內部回送函數。
C、 網絡標識的第一個字節不能為 255。數字 255 作為廣播地址。
D、 網絡標識的第一個字節不能為「0」,「0」表示該地址是本地主機,不能傳送。
2.主機尋址規則
A、主機標識在同一網絡內必須是唯一的。
B、主機標識的各個位不能都為「1」,如果所有位都為「1」,則該機地址是廣播地址,而非主機的地址。
C、主機標識的各個位不能都為「0」,如果各個位都為「0」,則表示「只有這個網絡」,而這個網絡上沒有任何主機。
四、IP 子網掩碼概述
1.子網掩碼的概念
子網掩碼是一個 32 位地址,用於屏蔽 IP 地址的一部分以區別網絡標識和主機標識,並說明該 IP 地址是在局域網上,還是在遠稀網上。
2.確定子網掩碼數
用於子網掩碼的位數決定於可能的子網數目和每個子網的主機數目。在定義子網掩碼前,必須弄清楚本來使用的子網數和主機數目。
定義子網掩碼的步驟為:
A、確定哪些組地址歸我們使用。比如我們申請到的網絡號為 「210.73.A.B」,該網絡地址為 C 類 IP 地址,網絡標識為「210.73」,主機標識為「A.B」。
B、根據我們瓠在所需的子網數以及將來可能擴充到的子網數,用宿主機的一些位來定義子網掩碼。比如我們瓠在需要 12 個子網,將來可能需要 16 個。用第三個字節的前四位確定子網掩碼。前四位都置為「1」,即第三個字節為「11110000」,這個數我們暫且稱作新的二進制子網掩碼。
C、把對應初始網絡的各個位都置為「1」,即前兩個字節都置為「1」,第四個字節都置為「0」,則子網掩碼的間斷二進制形式為:「11111111.11111111.11110000.00000000」
D、把這個數轉化為間斷十進制形式為:「255.255.240.0」 這個數為該網絡的子網掩碼。
3.IP掩碼的標注
A、無子網的標注法對無子網的IP地址,可寫成主機號為 0 的掩碼。如 IP 地址 210.73.140.5,掩碼為 255.255.255.0,也可以缺省掩碼,只寫 IP 地址。
B、有子網的標注法==有子網時,一定要二者配對出瓠。以 C 類地址為例。
1.IP 地址中的前 3 個字節表示網絡號,後一個字節既表明子網號,又說明主機號,還說明兩個 IP 地址是否屬於一個網段。如果屬於同一網絡區間,這兩個地址間的信息交換就不通過路由器。如果不屬同一網絡區間,也就是子網號不同,兩個地
址的信息交換就要通過路由器進行。
例如:對於 IP 地址為 210.73.140.5 的主機來說,其主機標識為 00000101,對於 IP 地址為 210.73.140.16 的主機來說它的主機標識為 00010000,
以上兩個主機標識的前面三位全是 000,說明這兩個 IP 地址在同一個網絡區域中。
2.掩碼的功用是說明有子網和有幾個子網,但子網數只能表示為一個範圍,不能確切講具體幾個子網,掩碼不說明具體子網號,有子網的掩碼格式(對 C 類地址) : 主機標識前幾位為子網號,後面不寫主機,全寫 0。
五、IP 的其他事項
1.一般國際互聯網信息中心在分配IP地址時是按照網絡來分配的,因此只有說到網絡地址時才能使用 A 類、B 類、C 類的說法;
2.在分配網絡地址時,網絡標識是固定的,而計算機標識是可以在一定範圍內變化的,下面是三類網絡地址的組成形式:
A類地址:73.0.0.0
B類地址:160.153.0.0
C類地址:210.73.140.0
上述中的每個0均可以在 0~255 之間進行變化。
3.因為 IP 地址的前三位數字已決定了一個 IP 地址是屬於何種類型的網絡,所以 A 類網絡地址將無法再分成 B 類 IP 地址,B 類IP 地址也不能再分成 C 類 IP 地址。
4.在談到某一特定的計算機 IP 地址時不宜使用 A 類、B 類、C 類的說法,但可以說主機地址是屬於哪一個A類、B類、C類網絡了。通過上面的學習,大家對 IP 地址肯定有了瞭解。有了 IP 地址大家就可以發送電子郵件了,並且可以獲得 Internet 網上的其他信息,例如可以獲得 Internet上 的 WWW 服務、BBS 服務、FTP 服務等等。
徹底明白IP地址的含義
(作者:擔子 發文時間:2004.11.29)學習IP位址的相關知識時還會遇到網路位址、廣播位址、子 網等概念,這些又是什麼意思呢?
圖1
要解答這些問題,先看一個日常生活中的例子。如圖2所示,住在北大街的住戶要能互相找到對方,必須各自都要有個門牌號,這個門牌號就是各家的位址,門牌號 的表示方法為:北大街+XX號。
假如1號住戶要找6號住戶,過程是這樣的,1號在大街上喊了一聲:"誰是6號,請回答。",這時北大街的住戶都聽到了,但只有6號作了回答,這個喊的過程叫"廣播",北大街的所有用戶就是他的廣播範圍,
假如北大街共有20個用戶,那廣播地址就是:北大街 21號。也就是說,北大街的任何一個用戶喊一聲能讓"廣播位址-1"個用戶聽到。
圖2
從這個例中可以抽出下面幾個詞:
街道地址:北大街,如果給該大街一個位址則用第一個住戶的位址-1,
此例為:北大街0號
住戶的號:如1號、2號等。
住戶的地址:街道地址+XX號,如北大街 1號、北大街 2號等
廣播地址:最後一個住戶的位址+1,此例為:北大街21號
Internet網路中,每個上網的電腦都有一個像上述例子的位址,這個位址就是IP位址,是分配給網路設備的門牌號,為了網路中的電腦能夠互相訪問, IP位址=網路位址+主機位址,圖1中的IP位址是192.168.100.1,這個位址中包含了很多含義。如下所示:
網路位址(相當於街道地址): 192.168.100.0
主機位址(相當於各戶的門號): 0.0.0.1
IP地址(相當於住戶地址): 網路位址+主機位址=192.168.100.1
廣播地址: 192.168.100.255
這些位址是如何計算出來的呢?為什麼計算這些位址呢?要想知道如何,先要明白一個道理,學習網路的目的就是如何讓網路中的電腦相互通訊,也就是說要圍繞著"通"這個字來學習和理解網路中的概念,而不是只為背幾個名詞。
注:192.168.100.1是私有位址,是不能直接在Internet網路中應用的,上Internet要轉為公有地址,下面詳細說明。
一、為什麼要計算網路位址
一句話就是讓網路中的電腦能夠相互通訊。先看看最簡單的網路,圖3中是用網線(交叉線)直接將兩台電腦連起來。下面是幾種IP位址設置,看看在不同設置下網路是通還是不通。
1、設置1號機的IP位址為192.168.0.1
子網路遮罩為255.255.255.0,
2號機的IP地址為192.168.0.200
子網路遮罩為255.255.255.0,這來台電腦就能正常通訊。
2、如果1號機地址不變,將2號機的IP地址改為192.168.1.200子網路遮罩還是為255.255.255.0,那這兩台就無法通訊。
3、設置1號機的IP位址為192.168.0.1子網路遮罩為255.255.255.192,2號機的IP地址為192.168.0.200子網路遮 罩為255.255.255.192,注意和第1種情況的區別在於子網路遮罩,1為255.255.255.0本例是255.255.255.192這來 台電腦就能正常通訊。
圖3
第1種情況能通是因為這兩台電腦處在同一網路192.168.0.0,所以能通,而2、3種情況下兩台電腦處在不同的網路,所以不通。
這裏先給個結論:
用網線直接連接的電腦或是通過HUB或普通交換機間接的電腦之間要能夠相互通,電腦必須要在同一網路,也就是說它們的網路位址必須相同, 而且主機位址必須不一樣。
如果不在一個網路就無法通。這就像我們上面舉的例子,同是北大街的住戶由於街道名稱都是北大街,且各自的門牌號不同,所以能夠相 互找到對方。
計算網路位址就是判斷網路中的電腦在不在同一網路,在就能通,不在就不能通。注意,這裏說的在不在同一網路指的是IP位址而不是物理連接。那麼如何計算呢?
二、如何計算網路位址
我們日常生活中的地址如:北大街1號,從字面上就能看出街道地址是北大街,而我們從IP地址中卻難以看出網路位址,要計算網路位址,必須借助我們上邊提到過的子網路遮罩。
計算過程是這樣的,將IP位址和子網路遮罩都換算成二進位,然後進行與運算,結果就是網路位址。與運算如下所示,上下對齊,1位1位的算,1與1=1 ,其餘組合都為0
圖4
例如:計算IP位址為:202.99.160.50子網路遮罩是255.255.255.0的網路位址步驟如下:
1)將IP地址和子網路遮罩分別換算成二進位
202.99.160.50 換算成二進位為 11001010•01100011•10100000•00110010
255.255.255.0 換算成二進位為 11111111•11111111•11111111•00000000
2)將二者進行與運算
圖5
3)將運算結果換算成十進位,這就是網路位址。
11001010•01100011•10100000•00000000換算成十進位就是202.99.160.0
現在我們就可以解答上面三種情況的通與不通的問題了。
1、從下面運算結果可以看出二台電腦的網路位址都為192.168.0.0且IP位址不同,所以可以通。
圖6
2、從下面運算結果可以看出1號機的網路位址為192.168.0.0,2號機的網路位址為192.168.1.0 不在一個網路,所以不通。
圖7
3、從下面運算結果可以看出1號機的網路位址為192.168.0.0,2號機的網路位址為192.168.0.192 不在一個網路,所以不通
圖8
相信看到這應該明白了為何計算網路位址和如何計算了,但也許還有很多疑問,如IP地址為什麼寫成這樣,子網路遮罩到底是怎麼回事等等,別急,下面慢慢介紹。
IP地址的介紹
1、IP位址的表示方法
IP位址 = 網路號+主機號
把整個Internet網堪稱單一的網路,IP位址就是給每個連在Internet網的主機分配一個在全世界範圍內唯一的標示符,Internet管理委 員會定義了A、B、C、D、E五類地址,在每類位址中,還規定了網路編號和主機編號。在 TCP/IP協定中,IP位址是以二進位數字字形式出現的,共32bit,1bit就是二進位中的1位元,但這種形式非常不適用於人閱讀和記憶。
因此 Internet管理委員會決定採用一種"點分十進位表示法"表示IP位址:面向用戶的文檔中,由四段構成的32 比特的IP位址被直觀地表示為四個以圓點隔開的十進位整數,其中,每一個整數對應一個位元組(8個比特為一個位元組稱為一段)。A、B、C類最常用,下面 加以介紹。本文介紹的都是版本4的IP位址,稱為IPv4.
從上圖可以看出:
• A類地址:
A類位址的網路標識由第一組8位元二進位數字表示, A類位址的特點是網路標識的第一位二進位數字取值必須為"0"。
不難算出,A類位址第一個位址為00000001,最後一個位址是01111111,換算成十進位就是127,其中127留作保留位址,
A類位址的第一段範圍是:
1~126,A類位址允許有27 -2=126個網段(減2是因為0不用,127留作它用),網路中的主機標識占3組8位元二進位數字,每個網路允許有224-2=16777216台主機 (減2是因為全0地址為網路位址,全1為廣播地址,這兩個位址一般不分配給主機)。通常分配給擁有大量主機的網路。
• B類地址:
B類位址的網路標識由前兩組8位元二進位數字表示,網路中的主機標識占兩組8位元二進位數字,B類位址的特點是網路標識的前兩位元二進位數字取 值必須為"10"。 B類位址第一個位址為10000000,最後一個位址是10111111,換算成十進位B類位址第一段範圍就是128~191,B類位址允許有214 =16384個網段,網路中的主機標識占2組8位元二進位數字,每個網路允許有216-2=65533台主機,適用於結點比較多的網路。
• C類地址:
C類位址的網路標識由前3組8位元二進位數字表示,網路中主機標識占1組8位元二進位數字C類位址的特點是網路標識的前3位元二進位數字取值必 須為"110"。
C類位址第一個位址為11000000,最後一個位址是11011111,換算成十進位C類位址第一段範圍就是192~223,C類位址 允許有221 =2097152個網段,網路中的主機標識占1組8位元二進位數字,每個網路允許有28-2= 254台主機,適用於結點比較少的網路。
有些人對範圍是2x不太理解,舉個簡單的例子加以說明。如C類網,每個網路允許有28-2= 254台主機是這樣來的。因為C類網的主機位元是8位元,變化如下:
00000000
00000001
00000010
00000011
……
11111110
11111111
除去00000000和11111111不用外,從00000001到11111110共有254個變化,也就是28-2個。下圖是IP位址的使用範圍。
2、幾個特殊的IP地址
1)私有地址
上面提到IP地址在全世界範圍內唯一,看到這句話你可能有這樣的疑問,像192.168.0.1這樣的地址在許多地方都能看到,並不唯一,這是為何?
Internet管理委員會規定如下位址段為私有位址,私有位址可以自己組網時用,但不能在Internet網上用,Internet網沒有這些位址的路 由,有這些位址的電腦要上網必須轉換成為合法的IP位址,也稱為公網位址,這就像有很到的世界公園,每個公園內都可命名相同的大街,如香榭麗舍大街,但對 外我們只能看到公園的地址和真正的香榭麗舍大街。下面是A、B、C類網路中的私有位址段。
你自己組網時就可以用這些位址了。
10.0.0.0~10.255.255.255
172.16.0.0~172.131.255.255
192.168.0.0~192.168.255.255
2)回送地址
A類網路位址127是一個保留位址,用於網路軟體測試以及本地機進程間通信,叫做回送地址(loopback address)。
無論什麼程式,一旦使用回送位址發送資料,協定軟體立即返回之,不進行任何網路傳輸。含網路號127的分組不能出現在任何網路上。
小技巧:
• Ping 127.0.0.1,如果回饋資訊失敗,說明IP協定棧有錯,必須重新安裝TCP/IP協議。如果成功,ping本機IP位址,如果回饋資訊失敗,說明你的網卡不能和IP協定棧進行通信。
• 如果網卡沒接網線,用本機的一些服務如Sql Server、IIS等就可以用127.0.0.1這個位址。
3)廣播地址
TCP/IP規定,主機號全為"1"的網路位址用於廣播之用,叫做廣播地址。所謂廣播,指同時向同一子網所有主機發送報文。
4)網路位址
TCP/IP協議規定,各位全為"0"的網路號被解釋成"本"網路。由上可以看出:一、含網路號127的分組不能出現在任何網路上;二、主機和閘道不能為 該位址廣播任何尋徑資訊。由以上規定可以看出,主機號全"0"全"1"的位址在TCP/IP協議中有特殊含義,一般不能用作一台主機的有效位址。
3、子網路遮罩
從上面的例子可以看出,子網路遮罩的作用就是和IP位址與運算後得出網路位址,子網路遮罩也是32bit,並且是一串1後跟隨一串0組成,其中1表示在IP位址中的網路號對應的位元數,而0表示在IP位址中主機對應的位元數。
1)標準子網路遮罩
A類網路(1 - 126) 缺省子網路遮罩:255•0•0•0
255•0•0•0 換算成二進位為 11111111•00000000•00000000•00000000
可以清楚地看出前8位是網路位址,後24位元是主機位址,也就是說,如果用的是標準子網路遮罩,看第一段位址即可看出是不是同一網路的。如 21.0.0.0.1和21.240.230.1,第一段為21屬於A類,如果用的是默認的子網路遮罩,那這兩個位址就是一個網段的。
B類網路(128 - 191) 缺省子網路遮罩:255•255•0•0
C類網路(192 - 223) 缺省子網路遮罩:255•255•255•0
B類、C類分析同上。
2) 特殊的子網路遮罩
標準子網路遮罩出現的都是255和0的組合,在實際的應用中還有下面的子網路遮罩
255•128•0•0
255•192•0•0
。。。。。。
255•255•192•0
255•255•240•0
。。。。。。
255•255•255•248
255•255•255•252
這些子網路遮罩又是什麼意思呢?這些子網路遮罩的出現是為了把一個網路劃分成多個網路。
還記得上面的例子嗎?如下所示:
192•168•0•1和192•168•0•200
如果是默認遮罩255.255.255.0兩個位址就是一個網路的,
如果遮罩變為255.255.255.192這樣各位址就不屬於一個網路了。
下面的子網劃分將作詳細介紹。
表1是幾個子網路遮罩計算過程中非常有用的十進位和二進位的對照
私有地址
... ...
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
127.x.x.x是定義為loopback用,
實務上"通常"以127.0.0.1當作localhost,這不是定義好的,
但如果你認為約定俗成叫定義,那你對了
ARP 與 RARP 協定
位址解析協定(Address Resolution Protocol, ARP)
以網路 IP 位址查問對方的網路實體位址 (Ethernet 位址)。
運作程序:
反向位址解析協定(Reverse Address Resolution Protocol, RARP)
以自己的網路實體位址查詢 IP 位址。
運作程序:
ARP/RARP 封包格式
Hardware Type: 1 表 Ethernet。
Protocol Type : 0x0800 表示 IP 協定。
Operation Type:
1 → ARP Request
2 → ARP Reply
3 → RARP Request
4 → RARP Reply
HLEN:Ethernet 為 6。
PLEN:IP 協定為 4。
IP地址盗用常用的方法及其防範
目前IP地址盗用行为非常常见,许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益,并且给网络安全、网络的正常运行带来了巨大的负面影响,因此研究IP地址盗用的问题,找出有效的防范措施,是当前的一个紧迫课题。
IP地址盗用常用的方法及其防范机制
IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法:
一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时,使用的不是合法获得的IP地址,就形成了IP地址盗用。由于IP地址是一个协议逻辑地址,是一个需要用户设置并随时修改的值,因此无法限制用户修改本机的IP地址。
二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题,很多单位都采用 IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址,对于以太网来说,即俗称的网 卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的,它由IEEE分配,固化在网卡上一般不得随意改动。但是,一些兼容网卡的MAC地址却可 以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址,那么IP-MAC捆绑技术就无能为力了。另 外,对于一些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层软件的目的。
目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表,获得当前正在使用的IP地址以及IP-MAC对照关系,与合法的IP地址表,IP-MAC表对照,如果不一致则有非法访问行为发 生。另外,从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上,常用的防范机制有:IP- MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。
这些机制都有一定的局限性,比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需 要专门的机器进行数据转发,该机器容易成为瓶颈。更重要的是,这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害,只是防止地址盗用者直接访问 外部网络资源。事实上,由于IP地址盗用者仍然具有IP子网内完全活动的自由,因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻 击子网内的其他机器和网络设备。如果子网内有代理服务器,盗用者还可以通过种种手段获得网外资源。
利用端口定位及阻断IP地址盗用
交换机是局域网的主要网络设备,它工作在数据链路层上,基于MAC地址来转发和过滤数据 包。因此,每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表 中。
通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表,从而形成一个实时的Switch- Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照,就可以快速发现交换机端口是否出现非法 MAC地址,进一步即可判定是否有IP地址盗用的发生。
如果同一个MAC地址同时出现在不同的交换机的非级联端口上,则意味着IP-MAC成对盗用。
发现了地址盗用行为后,实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表,就可以立即定位到发生盗用行为的房间。
发生了地址盗用行为后,可以立即采取相应的方法来阻断盗用行为所产生的影响,技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口,这样盗用IP地址的机器无法与网络中其他机器发生任何联系,当然也无法影响其他机器的正常运行。
端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7),给 ifAdminStatus赋不同的值,可以改变端口的管理状态,即“1”—开启端口,“2”—关闭端口,“3”—供测试用。
这样,通过管理站给交换机发送赋值信息(Set Request),就可以关闭和开启相应的端口,比如要关闭某一交换机(192.168.1.1)的2号端口,可以向该交换机发出如下信息:
set("private" 192.168.1.1 1.3.6.1,2.1.2.2.1.7.2.0.2).
|
结合IP-MAC绑定技术,通过交换机端口管理,可以在实际使用中迅速发现并阻断IP地址的盗用行为,尤其是解决了IP-MAC成对盗用的问题,同时也不影响网络的运行效率。
IP 就是網路的電話號碼
或許你還不知道在網路上識別彼此用的是一個叫 IP 位址(IP Address)的號碼,例如現在你連線的高登工作室的 IP 位址是「206.253.165.170」這樣一組數字就是 IP 位址,而這樣子由四組數字組成的叫 IPv4
但是你會說:「我並不知道你網站的 IP 位址啊!」
沒錯!就像是你用手機撥電話給朋友,但你可能早已忘了他電話號碼是一樣的情形。只不過網路上的 IP 位址除非你特別去查詢,不然是不用知道的
因為網路用了另一個更聰明的作法:DNS 網域名稱系統 (Domain Name System)
有了這個系統你只要記住「gordon168.tw」這一串比較好記的文字網址就可以連到高登工作室網站
但是不只是要你連線的網站要有IP位址,用HiNet或是其他家ISP上網的你也都要有一個可以供人辨識的號碼(IP位址),這樣你瀏覽的網站才將資料傳送給你,或是你的朋友才可以跟你MSN
IPv4即將用盡
而從開始有網際網路所使用的IP位址,就是前面提到的「206.253.165.170」是由四組8位元的數字組成的,這四組0-255的數字可以組成將近有43億的號碼可用(事實上真正可用的只有30幾億而已,因為有一些號碼作為特定的用途)
而現在全世界的人口已經突破70億大關,你說這些門號夠用嗎?
而事實上全世界各國早在好幾年前就開始著手新一代的網路門號:IPv6的推動時程,而今天就是原先預定好的IPv6啟動日
本來大約在10年前就有人開始擔心IP不夠用,而這當中也發展出很多的因應技術:像是現在網站主機大部份都是許多網站共享同一個IP位址,如果要經營購物網站那你還有一個與眾不同的IP位址,而那是要額外花錢的
不過近兩三年由於手機行動上網裝置的流行,身處文明世界的我們每個人需要的IP位址都變成倍數成長,所以各大網路公司已經加速轉換為IPv6的腳步了
IPv6勢在必行
因為IP不夠用所以一定要升碼成IPv6,但是這當中的牽連的層面卻相當的廣,舉凡跟上網有關的硬體及軟體都要支援IPv6才行
所以各大網路服務提供的公司都要將舊的設備淘汰,甚至連你我家中寬頻(光纖)數據機,分享器(路由器)甚至是網路卡等也都要跟著升級才能連上新的IPv6網路
所以從今天開始大家在汰換設備的時候千萬要留意是不是支援IPv6,如果不支援那肯定過沒多久就不能用了
從現在開始是IPv4及IPv6雙軌並行,但是總有一天整網路就會全部轉為IPV6,而這一天應該不會太久
[參考來源]
http://www.52hgclub.com/viewthread.php?tid=326352&extra=page%3D2
http://forum.icst.org.tw/phpbb/viewtopic.php?t=5178
http://sywu.myweb.hinet.net/chap10/chap10-8.htm
留言列表
