对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使知道某一用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源 。
对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的 。
当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统 。
2.对于假冒IP地址的情况
由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址 。
对于静态地址分配策略,假如假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突 。
假如用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换机上采用IP地址 MAC地址绑定的方式来控制用户的访问接入 。这使得假冒用户无法进行正常的业务通信,从而达到了防止IP地址被篡改、假冒的目的 。
3.对于用户口令失窃、扩散的处理
在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,对于这类情况,能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的 。
推荐阅读
- TCP/IP协议处理 由“软”转“硬”
- 在Vovida的基础上实现自己的SIP协议栈①
- TCP/IP协议中的三个参数
- 802.1x协议工作机制
- QoS 的协议与结构
- 剖析TCP和UDP协议
- TCP协议的拥塞控制策略及改进
- 802.17和城域环网协议
- 轻松学习SNMP协议之入门篇
- PPP协议涉及到的几个典型压缩技术