[发明专利]基于ARP应答的内网IP地址保护方法

说明书

技术领域

本发明属于IP地址资源管理技术领域，特别涉及一种内网IP地址保护方法。

背景技术

在一个单位的内网管理工作中，如何高效解决IP(互联网络协议)地址冲突问题往往是一个很常见但是很困扰的问题，特别是大量使用微软公司的windows操作系统的个人计算机，由于用户使用的不规范，导致IP资源被乱用、盗用，严重时会影响整体局域网的运行和重要服务器的运行。单位内部通常会制定相应的管理制度来规范IP地址资源的使用，并且配备相应的管理维护人员，但是由于缺少有效的技术手段，这种管理工作往往难以达到预期的效果，并且维护成本较高。

现有解决IP地址冲突的问题，通常有以下几种方案：

一、采用DHCP(Dynamic Host Configuration Protocol，动态主机分配协议)进行IP地址分配

这种方案有两个主要的问题，一是有些特定的网络运行环境要求必须使用静态IP的分配方式，此时无法使用DHCP分配；二是这种方案只可以避免IP资源分配混乱的情况，但是不能提供避免IP被滥用或盗用的情况。

二、采用软件进行诱骗

通过专业网络管理软件对盗用IP地址现象的追查和网络阻断，但也存在一些不足之处：第一，这类软件阻断的原理都是持续对违规网络节点发送欺骗包甚至是广播包，对网络的使用效率有一定的影响；第二，这种事后处理的方式并不符合当前信息安全管理规范的要求，无法预先制定一个系统的安全策略，并且没有符合审计规范的审计系统；第三，这种专业网管软件往往价格不菲，单纯为了解决此问题而购买该软件的成本太高。

三、采用交换机绑定方式

很多新型的可网关交换机提供了IP与交换机端口绑定的功能，但是对于早期型号的交换机产品，无法实现这种功能。所以要实现该管理目的，需要更新网络设备；并且交换机管理通常是针对单台设备进行管理，特别是对于具有不同品牌的产品的环境，无法建立起一个整体的安全管理中心进行策略统一管理和审计信息的维护。

发明内容

本发明的目的在于，提供一种基于ARP(Address Resolution Protocol，地址解析协议)应答的内网IP地址保护方法。以降低维护成本，提高维护效率。

为实现上述目的，本发明采用如下技术方案：

装有Windows操作系统的主机(以下简称为windows主机)在联网获取一个IP地址之前(不论是获取动态还是静态IP地址)，首先将发送一个广播包，向所在网段询问要启用的IP地址是否已经被其他的主机使用。本发明利用此原理，模拟生成ARP应答包，使得windows主机在启用IP地址之前得到控制。

一种基于ARP应答的内网IP地址保护方法，其特征在于包括以下步骤：

1)监控主机启动网络监听程序，并加载IP地址管理策略；

2)当某一windows主机(简称上线主机)上线时，该上线主机发送一广播包，该广播包中包括该主机的硬件地址及其准备使用的IP地址，开始计时，等待回应；

3)监控主机监听到该广播包后，根据该IP地址管理策略判断上线主机是否合法使用该IP地址；如果合法，则监控主机不做任何处理，继续监听；如果非法，则进入步骤4)；

4)所述监控主机向上线主机发送一模拟应答包，该模拟应答包表明该IP地址正在被其它主机使用；

5)上线主机如果在等待未超时的情况下，收到应答包，则上线主机会提示IP地址冲突，

例如：“IP地址冲突，已经被其它主机使用”，IP地址启用失败；如果上线主机等待超时，并且未收到任何应答包，则上线主机启用该IP地址的操作成功。

进一步地，在所述步骤4)之后，所述监控主机还包括一模拟广播包发送步骤，该模拟广播包中包括有该IP地址及合法使用该IP地址的主机的硬件地址。

进一步地，在所述步骤3)之后所述步骤4)之前，还包括对合法使用该IP地址的主机是否在线的判断步骤，如果在线，则监控主机继续监听；如果不在线，则进入步骤4)。

进一步地，所述IP地址管理策略为主机网卡的物理地址与IP地址绑定的策略。

本发明具有以下优点：

1、可以部署在专业定制的硬件平台上，支持30×24小时不间断的运行，为IP地址管理提供可信赖的运行环境；

2、完全按照windows操作系统启用IP地址原理进行设计，不会对网络设备产生任何影响，对于原有网络环境和网络设备也没有特殊要求；

3、正常情况下阻断只需要通过一个应答包完成，被阻断机器无法获取相应的IP，无法使用网络，阻断效果非常好，并且不会造成额外的网络流量；