專(zhuān)利名稱(chēng)：：基于arp應(yīng)答的內(nèi)網(wǎng)ip地址保護(hù)方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于IP地址資源管理
技術(shù)領(lǐng)域：
，特別涉及一種內(nèi)網(wǎng)IP地址保護(hù)方法。技術(shù)背景在一個(gè)單位的內(nèi)網(wǎng)管理工作中，如何高效解決IP(互聯(lián)網(wǎng)絡(luò)協(xié)議)地址沖突問(wèn)題往往是一個(gè)很常見(jiàn)但是很困擾的問(wèn)題，特別是大量使用微軟公司的windows操作系統(tǒng)的個(gè)人計(jì)算機(jī)，由于用戶(hù)使用的不規(guī)范，導(dǎo)致IP資源被亂用、盜用，嚴(yán)重時(shí)會(huì)影響整體局域網(wǎng)的運(yùn)行和重要服務(wù)器的運(yùn)行。單位內(nèi)部通常會(huì)制定相應(yīng)的管理制度來(lái)規(guī)范IP地址資源的使用，并且配備相應(yīng)的管理維護(hù)人員，但是由于缺少有效的技術(shù)手段，這種管理工作往往難以達(dá)到預(yù)期的效果，并且維護(hù)成本較高。現(xiàn)有解決IP地址沖突的問(wèn)題，通常有以下幾種方案一、采用DHCP(DynamicHostConfigurationProtocol,動(dòng)態(tài)主機(jī)分配協(xié)議)進(jìn)行IP地址分配這種方案有兩個(gè)主要的問(wèn)題，一是有些特定的網(wǎng)絡(luò)運(yùn)行環(huán)境要求必須使用靜態(tài)IP的分配方式，此時(shí)無(wú)法使用DHCP分配；二是這種方案只可以避免IP資源分配混亂的情況，但是不能提供避免IP被濫用或盜用的情況。二、采用軟件進(jìn)行誘騙通過(guò)專(zhuān)業(yè)網(wǎng)絡(luò)管理軟件對(duì)盜用IP地址現(xiàn)象的追査和網(wǎng)絡(luò)阻斷，但也存在一些不足之處-第一，這類(lèi)軟件阻斷的原理都是持續(xù)對(duì)違規(guī)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送欺騙包甚至是廣播包，對(duì)網(wǎng)絡(luò)的使用效率有一定的影響；第二，這種事后處理的方式并不符合當(dāng)前信息安全管理規(guī)范的要求，無(wú)法預(yù)先制定一個(gè)系統(tǒng)的安全策略，并且沒(méi)有符合審計(jì)規(guī)范的審計(jì)系統(tǒng)；第三，這種專(zhuān)業(yè)網(wǎng)管軟件往往價(jià)格不菲，單純?yōu)榱私鉀Q此問(wèn)題而購(gòu)買(mǎi)該軟件的成本太高。三、采用交換機(jī)綁定方式很多新型的可網(wǎng)關(guān)交換機(jī)提供了IP與交換機(jī)端口綁定的功能，但是對(duì)于早期型號(hào)的交換機(jī)產(chǎn)品，無(wú)法實(shí)現(xiàn)這種功能。所以要實(shí)現(xiàn)該管理目的，需要更新網(wǎng)絡(luò)設(shè)備；并且交換機(jī)管理通常是針對(duì)單臺(tái)設(shè)備進(jìn)行管理，特別是對(duì)于具有不同品牌的產(chǎn)品的環(huán)境，無(wú)法建立起一個(gè)整體的安全管理中心進(jìn)行策略統(tǒng)一管理和審計(jì)信息的維護(hù)
發(fā)明內(nèi)容本發(fā)明的目的在于，提供一種基于ARP(AddressResolutionProtocol,地址解析協(xié)議)應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法。以降低維護(hù)成本，提高維護(hù)效率。為實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案裝有Windows操作系統(tǒng)的主機(jī)(以下簡(jiǎn)稱(chēng)為windows主機(jī))在聯(lián)網(wǎng)獲取一個(gè)IP地址之前(不論是獲取動(dòng)態(tài)還是靜態(tài)IP地址)，首先將發(fā)送一個(gè)廣播包，向所在網(wǎng)段詢(xún)問(wèn)要啟用的IP地址是否己經(jīng)被其他的主機(jī)使用。本發(fā)明利用此原理，模擬生成ARP應(yīng)答包，使得windows主機(jī)在啟用IP地址之前得到控制。一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于包括以下步驟-1)監(jiān)控主機(jī)啟動(dòng)網(wǎng)絡(luò)監(jiān)聽(tīng)程序，并加載IP地址管理策略；2)當(dāng)某一windows主機(jī)(簡(jiǎn)稱(chēng)上線主機(jī))上線時(shí)，該上線主機(jī)發(fā)送一廣播包，該廣播包中包括該主機(jī)的硬件地址及其準(zhǔn)備使用的IP地址，開(kāi)始計(jì)時(shí)，等待回應(yīng)；3)監(jiān)控主機(jī)監(jiān)聽(tīng)到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機(jī)是否合法使用該IP地址；如果合法，則監(jiān)控主機(jī)不做任何處理，繼續(xù)監(jiān)聽(tīng)；如果非法，則進(jìn)入步驟4);4)所述監(jiān)控主機(jī)向上線主機(jī)發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包表明該IP地址正在被其它主機(jī)使用；5)上線主機(jī)如果在等待未超時(shí)的情況下，收到應(yīng)答包，則上線主機(jī)會(huì)提示IP地址沖突，例如"IP地址沖突，已經(jīng)被其它主機(jī)使用"，IP地址啟用失??；如果上線主機(jī)等待超時(shí)，并且未收到任何應(yīng)答包，則上線主機(jī)啟用該IP地址的操作成功。進(jìn)一步地，在所述步驟4)之后，所述監(jiān)控主機(jī)還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機(jī)的硬件地址。進(jìn)一步地，在所述步驟3)之后所述步驟4)之前，還包括對(duì)合法使用該IP地址的主機(jī)是否在線的判斷步驟，如果在線，則監(jiān)控主機(jī)繼續(xù)監(jiān)聽(tīng)；如果不在線，則進(jìn)入步驟4)。進(jìn)一步地，所述IP地址管理策略為主機(jī)網(wǎng)卡的物理地址與IP地址綁定的策略。本發(fā)明具有以下優(yōu)點(diǎn)1、可以部署在專(zhuān)業(yè)定制的硬件平臺(tái)上，支持30X24小時(shí)不間斷的運(yùn)行，為IP地址管理提供可信賴(lài)的運(yùn)行環(huán)境；2、完全按照windows操作系統(tǒng)啟用IP地址原理進(jìn)行設(shè)計(jì)，不會(huì)對(duì)網(wǎng)絡(luò)設(shè)備產(chǎn)生任何影響，對(duì)于原有網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)設(shè)備也沒(méi)有特殊要求；3、正常情況下阻斷只需要通過(guò)一個(gè)應(yīng)答包完成，被阻斷機(jī)器無(wú)法獲取相應(yīng)的IP,無(wú)法使用網(wǎng)絡(luò)，阻斷效果非常好，并且不會(huì)造成額外的網(wǎng)絡(luò)流量；4、可通過(guò)統(tǒng)一的IP地址管理策略，進(jìn)行IP地址接入策略的集中管理，并且對(duì)IP接入的違規(guī)事件進(jìn)行審計(jì)，且符合國(guó)內(nèi)外信息安全技術(shù)標(biāo)準(zhǔn)。圖1為本發(fā)明方法實(shí)施示意圖。具體實(shí)施方式如圖1所示，一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，假設(shè)有如下模擬參數(shù)表一-<table>tableseeoriginaldocumentpage5</column></row><table>表一包括以下步驟-O監(jiān)控主機(jī)啟動(dòng)網(wǎng)絡(luò)監(jiān)聽(tīng)程序，并加載IP地址管理策略;2)當(dāng)某一主機(jī)上線時(shí)，該主機(jī)廣播一廣播包，該廣播包中包括該主機(jī)的硬件地址及其準(zhǔn)備使用的IP地址，開(kāi)始計(jì)時(shí)，例如啟動(dòng)定時(shí)器，等待回應(yīng)；該廣播包的格式如下表二所示:<table>tableseeoriginaldocumentpage5</column></row><table>表二3)監(jiān)控主機(jī)監(jiān)聽(tīng)到該廣播包后，根據(jù)該IP地址管理策略判斷該主機(jī)是否合法使用該IP地址；如果合法，則監(jiān)控主機(jī)繼續(xù)監(jiān)聽(tīng)；如果非法，則進(jìn)入步驟4);4)所述監(jiān)控主機(jī)向該主機(jī)發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包中表明該主機(jī)屬于非法使用該IP地址；該模擬應(yīng)答包的格式如下表三所示-<table>tableseeoriginaldocumentpage6</column></row><table>表三5)該主機(jī)如果在等待未超時(shí)的情況下，收到該模擬應(yīng)答包，則該主機(jī)提示啟用該IP地址的操作失敗，如果該主機(jī)等待超時(shí)，并且未收到該模擬應(yīng)答包，則提示該主機(jī)啟用該IP地址的操作成功。其中，在所述步驟4)之后，所述監(jiān)控主機(jī)還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機(jī)的硬件地址。該模擬廣播包格式如表四所示，以告知網(wǎng)內(nèi)其它主機(jī)該IP地址應(yīng)該是被該廣播包內(nèi)的硬件地址對(duì)應(yīng)的主機(jī)使用。<table>tableseeoriginaldocumentpage6</column></row><table>表四其中，在所述步驟3)之后所述步驟4)之前，還包括對(duì)合法使用該IP地址的主機(jī)是否在線的判斷步驟，如果不在線，則監(jiān)控主機(jī)繼續(xù)監(jiān)聽(tīng)；如果在線，則進(jìn)入步驟4)。其中，所述1P地址管理策略為主機(jī)網(wǎng)卡的物理地址與IP地址綁定的策略。以管理一個(gè)標(biāo)準(zhǔn)C類(lèi)網(wǎng)，平均200個(gè)在線節(jié)點(diǎn)，發(fā)現(xiàn)10個(gè)違規(guī)節(jié)點(diǎn)，阻斷周期5秒為例，采用本技術(shù)方案后的IP控制效果和網(wǎng)絡(luò)發(fā)包對(duì)比情況如表五所示:<table>tableseeoriginaldocumentpage6</column></row><table>表三*注被阻斷節(jié)點(diǎn)平均10秒內(nèi)有1秒可以連通內(nèi)網(wǎng)。本發(fā)明可廣泛應(yīng)用于具備內(nèi)部局域網(wǎng)、并且具有內(nèi)網(wǎng)IP地址資源管理需求的企事業(yè)單位。權(quán)利要求1、一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于包括以下步驟1)監(jiān)控主機(jī)啟動(dòng)網(wǎng)絡(luò)監(jiān)聽(tīng)程序，并加載IP地址管理策略；2)當(dāng)上線主機(jī)上線時(shí)，該上線主機(jī)發(fā)送一廣播包，該廣播包中包括該主機(jī)的硬件地址及其準(zhǔn)備使用的IP地址，并開(kāi)始計(jì)時(shí)，等待回應(yīng)；3)監(jiān)控主機(jī)監(jiān)聽(tīng)到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機(jī)是否合法使用該IP地址；如果合法，則監(jiān)控主機(jī)不做仟何處理，繼續(xù)監(jiān)聽(tīng)；如果非法，則進(jìn)入步驟4)；4)所述監(jiān)控主機(jī)向該上線主機(jī)發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包表明該IP地址正在被其它主機(jī)使用；5)該上線主機(jī)如果在等待未超時(shí)的情況下，收到該模擬應(yīng)答包，則上線主機(jī)提示IP地址沖突，IP地址啟用失??；如果該上線主機(jī)等待超時(shí)，并且未收到任何應(yīng)答包，則該上線主機(jī)啟用該IP地址的操作成功。2、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于在所述步驟4)之后，所述監(jiān)控主機(jī)還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機(jī)的硬件地址。3、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于在所述步驟3)之后所述步驟4)之前，還包括對(duì)合法使用該IP地址的主機(jī)是否在線的判斷步驟，如果在線，則監(jiān)控主機(jī)繼續(xù)監(jiān)聽(tīng)；如果不在線，則進(jìn)入步驟4)。4、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于所述IP地址管理策略為主機(jī)網(wǎng)卡的物理地址與IP地址綁定的策略。全文摘要一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，包括1)監(jiān)控主機(jī)啟動(dòng)網(wǎng)絡(luò)監(jiān)聽(tīng)程序，加載IP地址管理策略；2)當(dāng)上線主機(jī)上線時(shí)，該上線主機(jī)發(fā)送一廣播包，開(kāi)始計(jì)時(shí)，等待回應(yīng)；3)監(jiān)控主機(jī)監(jiān)聽(tīng)到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機(jī)是否合法使用該IP地址；如果合法，則繼續(xù)監(jiān)聽(tīng)；如果非法，則進(jìn)入步驟4)；4)所述監(jiān)控主機(jī)向上線主機(jī)發(fā)送一模擬應(yīng)答包；5)上線主機(jī)如果在等待未超時(shí)的情況下，收到應(yīng)答包，則IP地址啟用失?。蝗绻暇€主機(jī)等待超時(shí)，并且未收到任何應(yīng)答包，則上線主機(jī)啟用該IP地址的操作成功。本發(fā)明在正常情況下阻斷只需要通過(guò)一個(gè)應(yīng)答包完成，被阻斷機(jī)器無(wú)法獲取相應(yīng)的IP，阻斷效果非常好，并且不會(huì)造成額外的網(wǎng)絡(luò)流量。文檔編號(hào)H04L12/26GK101399693SQ20071004633公開(kāi)日2009年4月1日申請(qǐng)日期2007年9月24日優(yōu)先權(quán)日2007年9月24日發(fā)明者剛李申請(qǐng)人:上海寶信軟件股份有限公司