專利名稱：：基于arp應(yīng)答的內(nèi)網(wǎng)ip地址保護(hù)方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于IP地址資源管理
技術(shù)領(lǐng)域：
，特別涉及一種內(nèi)網(wǎng)IP地址保護(hù)方法。技術(shù)背景在一個單位的內(nèi)網(wǎng)管理工作中，如何高效解決IP(互聯(lián)網(wǎng)絡(luò)協(xié)議)地址沖突問題往往是一個很常見但是很困擾的問題，特別是大量使用微軟公司的windows操作系統(tǒng)的個人計算機，由于用戶使用的不規(guī)范，導(dǎo)致IP資源被亂用、盜用，嚴(yán)重時會影響整體局域網(wǎng)的運行和重要服務(wù)器的運行。單位內(nèi)部通常會制定相應(yīng)的管理制度來規(guī)范IP地址資源的使用，并且配備相應(yīng)的管理維護(hù)人員，但是由于缺少有效的技術(shù)手段，這種管理工作往往難以達(dá)到預(yù)期的效果，并且維護(hù)成本較高。現(xiàn)有解決IP地址沖突的問題，通常有以下幾種方案一、采用DHCP(DynamicHostConfigurationProtocol,動態(tài)主機分配協(xié)議)進(jìn)行IP地址分配這種方案有兩個主要的問題，一是有些特定的網(wǎng)絡(luò)運行環(huán)境要求必須使用靜態(tài)IP的分配方式，此時無法使用DHCP分配；二是這種方案只可以避免IP資源分配混亂的情況，但是不能提供避免IP被濫用或盜用的情況。二、采用軟件進(jìn)行誘騙通過專業(yè)網(wǎng)絡(luò)管理軟件對盜用IP地址現(xiàn)象的追査和網(wǎng)絡(luò)阻斷，但也存在一些不足之處-第一，這類軟件阻斷的原理都是持續(xù)對違規(guī)網(wǎng)絡(luò)節(jié)點發(fā)送欺騙包甚至是廣播包，對網(wǎng)絡(luò)的使用效率有一定的影響；第二，這種事后處理的方式并不符合當(dāng)前信息安全管理規(guī)范的要求，無法預(yù)先制定一個系統(tǒng)的安全策略，并且沒有符合審計規(guī)范的審計系統(tǒng)；第三，這種專業(yè)網(wǎng)管軟件往往價格不菲，單純?yōu)榱私鉀Q此問題而購買該軟件的成本太高。三、采用交換機綁定方式很多新型的可網(wǎng)關(guān)交換機提供了IP與交換機端口綁定的功能，但是對于早期型號的交換機產(chǎn)品，無法實現(xiàn)這種功能。所以要實現(xiàn)該管理目的，需要更新網(wǎng)絡(luò)設(shè)備；并且交換機管理通常是針對單臺設(shè)備進(jìn)行管理，特別是對于具有不同品牌的產(chǎn)品的環(huán)境，無法建立起一個整體的安全管理中心進(jìn)行策略統(tǒng)一管理和審計信息的維護(hù)
發(fā)明內(nèi)容本發(fā)明的目的在于，提供一種基于ARP(AddressResolutionProtocol,地址解析協(xié)議)應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法。以降低維護(hù)成本，提高維護(hù)效率。為實現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案裝有Windows操作系統(tǒng)的主機(以下簡稱為windows主機)在聯(lián)網(wǎng)獲取一個IP地址之前(不論是獲取動態(tài)還是靜態(tài)IP地址)，首先將發(fā)送一個廣播包，向所在網(wǎng)段詢問要啟用的IP地址是否己經(jīng)被其他的主機使用。本發(fā)明利用此原理，模擬生成ARP應(yīng)答包，使得windows主機在啟用IP地址之前得到控制。一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于包括以下步驟-1)監(jiān)控主機啟動網(wǎng)絡(luò)監(jiān)聽程序，并加載IP地址管理策略；2)當(dāng)某一windows主機(簡稱上線主機)上線時，該上線主機發(fā)送一廣播包，該廣播包中包括該主機的硬件地址及其準(zhǔn)備使用的IP地址，開始計時，等待回應(yīng)；3)監(jiān)控主機監(jiān)聽到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機是否合法使用該IP地址；如果合法，則監(jiān)控主機不做任何處理，繼續(xù)監(jiān)聽；如果非法，則進(jìn)入步驟4);4)所述監(jiān)控主機向上線主機發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包表明該IP地址正在被其它主機使用；5)上線主機如果在等待未超時的情況下，收到應(yīng)答包，則上線主機會提示IP地址沖突，例如"IP地址沖突，已經(jīng)被其它主機使用"，IP地址啟用失敗；如果上線主機等待超時，并且未收到任何應(yīng)答包，則上線主機啟用該IP地址的操作成功。進(jìn)一步地，在所述步驟4)之后，所述監(jiān)控主機還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機的硬件地址。進(jìn)一步地，在所述步驟3)之后所述步驟4)之前，還包括對合法使用該IP地址的主機是否在線的判斷步驟，如果在線，則監(jiān)控主機繼續(xù)監(jiān)聽；如果不在線，則進(jìn)入步驟4)。進(jìn)一步地，所述IP地址管理策略為主機網(wǎng)卡的物理地址與IP地址綁定的策略。本發(fā)明具有以下優(yōu)點1、可以部署在專業(yè)定制的硬件平臺上，支持30X24小時不間斷的運行，為IP地址管理提供可信賴的運行環(huán)境；2、完全按照windows操作系統(tǒng)啟用IP地址原理進(jìn)行設(shè)計，不會對網(wǎng)絡(luò)設(shè)備產(chǎn)生任何影響，對于原有網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)設(shè)備也沒有特殊要求；3、正常情況下阻斷只需要通過一個應(yīng)答包完成，被阻斷機器無法獲取相應(yīng)的IP,無法使用網(wǎng)絡(luò)，阻斷效果非常好，并且不會造成額外的網(wǎng)絡(luò)流量；4、可通過統(tǒng)一的IP地址管理策略，進(jìn)行IP地址接入策略的集中管理，并且對IP接入的違規(guī)事件進(jìn)行審計，且符合國內(nèi)外信息安全技術(shù)標(biāo)準(zhǔn)。圖1為本發(fā)明方法實施示意圖。具體實施方式如圖1所示，一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，假設(shè)有如下模擬參數(shù)表一-<table>tableseeoriginaldocumentpage5</column></row><table>表一包括以下步驟-O監(jiān)控主機啟動網(wǎng)絡(luò)監(jiān)聽程序，并加載IP地址管理策略;2)當(dāng)某一主機上線時，該主機廣播一廣播包，該廣播包中包括該主機的硬件地址及其準(zhǔn)備使用的IP地址，開始計時，例如啟動定時器，等待回應(yīng)；該廣播包的格式如下表二所示:<table>tableseeoriginaldocumentpage5</column></row><table>表二3)監(jiān)控主機監(jiān)聽到該廣播包后，根據(jù)該IP地址管理策略判斷該主機是否合法使用該IP地址；如果合法，則監(jiān)控主機繼續(xù)監(jiān)聽；如果非法，則進(jìn)入步驟4);4)所述監(jiān)控主機向該主機發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包中表明該主機屬于非法使用該IP地址；該模擬應(yīng)答包的格式如下表三所示-<table>tableseeoriginaldocumentpage6</column></row><table>表三5)該主機如果在等待未超時的情況下，收到該模擬應(yīng)答包，則該主機提示啟用該IP地址的操作失敗，如果該主機等待超時，并且未收到該模擬應(yīng)答包，則提示該主機啟用該IP地址的操作成功。其中，在所述步驟4)之后，所述監(jiān)控主機還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機的硬件地址。該模擬廣播包格式如表四所示，以告知網(wǎng)內(nèi)其它主機該IP地址應(yīng)該是被該廣播包內(nèi)的硬件地址對應(yīng)的主機使用。<table>tableseeoriginaldocumentpage6</column></row><table>表四其中，在所述步驟3)之后所述步驟4)之前，還包括對合法使用該IP地址的主機是否在線的判斷步驟，如果不在線，則監(jiān)控主機繼續(xù)監(jiān)聽；如果在線，則進(jìn)入步驟4)。其中，所述1P地址管理策略為主機網(wǎng)卡的物理地址與IP地址綁定的策略。以管理一個標(biāo)準(zhǔn)C類網(wǎng)，平均200個在線節(jié)點，發(fā)現(xiàn)10個違規(guī)節(jié)點，阻斷周期5秒為例，采用本技術(shù)方案后的IP控制效果和網(wǎng)絡(luò)發(fā)包對比情況如表五所示:<table>tableseeoriginaldocumentpage6</column></row><table>表三*注被阻斷節(jié)點平均10秒內(nèi)有1秒可以連通內(nèi)網(wǎng)。本發(fā)明可廣泛應(yīng)用于具備內(nèi)部局域網(wǎng)、并且具有內(nèi)網(wǎng)IP地址資源管理需求的企事業(yè)單位。權(quán)利要求1、一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于包括以下步驟1)監(jiān)控主機啟動網(wǎng)絡(luò)監(jiān)聽程序，并加載IP地址管理策略；2)當(dāng)上線主機上線時，該上線主機發(fā)送一廣播包，該廣播包中包括該主機的硬件地址及其準(zhǔn)備使用的IP地址，并開始計時，等待回應(yīng)；3)監(jiān)控主機監(jiān)聽到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機是否合法使用該IP地址；如果合法，則監(jiān)控主機不做仟何處理，繼續(xù)監(jiān)聽；如果非法，則進(jìn)入步驟4)；4)所述監(jiān)控主機向該上線主機發(fā)送一模擬應(yīng)答包，該模擬應(yīng)答包表明該IP地址正在被其它主機使用；5)該上線主機如果在等待未超時的情況下，收到該模擬應(yīng)答包，則上線主機提示IP地址沖突，IP地址啟用失??；如果該上線主機等待超時，并且未收到任何應(yīng)答包，則該上線主機啟用該IP地址的操作成功。2、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于在所述步驟4)之后，所述監(jiān)控主機還包括一模擬廣播包發(fā)送步驟，該模擬廣播包中包括有該IP地址及合法使用該IP地址的主機的硬件地址。3、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于在所述步驟3)之后所述步驟4)之前，還包括對合法使用該IP地址的主機是否在線的判斷步驟，如果在線，則監(jiān)控主機繼續(xù)監(jiān)聽；如果不在線，則進(jìn)入步驟4)。4、根據(jù)權(quán)利要求1所述的基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，其特征在于所述IP地址管理策略為主機網(wǎng)卡的物理地址與IP地址綁定的策略。全文摘要一種基于ARP應(yīng)答的內(nèi)網(wǎng)IP地址保護(hù)方法，包括1)監(jiān)控主機啟動網(wǎng)絡(luò)監(jiān)聽程序，加載IP地址管理策略；2)當(dāng)上線主機上線時，該上線主機發(fā)送一廣播包，開始計時，等待回應(yīng)；3)監(jiān)控主機監(jiān)聽到該廣播包后，根據(jù)該IP地址管理策略判斷上線主機是否合法使用該IP地址；如果合法，則繼續(xù)監(jiān)聽；如果非法，則進(jìn)入步驟4)；4)所述監(jiān)控主機向上線主機發(fā)送一模擬應(yīng)答包；5)上線主機如果在等待未超時的情況下，收到應(yīng)答包，則IP地址啟用失敗；如果上線主機等待超時，并且未收到任何應(yīng)答包，則上線主機啟用該IP地址的操作成功。本發(fā)明在正常情況下阻斷只需要通過一個應(yīng)答包完成，被阻斷機器無法獲取相應(yīng)的IP，阻斷效果非常好，并且不會造成額外的網(wǎng)絡(luò)流量。文檔編號H04L12/26GK101399693SQ20071004633公開日2009年4月1日申請日期2007年9月24日優(yōu)先權(quán)日2007年9月24日發(fā)明者剛李申請人:上海寶信軟件股份有限公司