ip地址冲突.docx
《ip地址冲突.docx》由会员分享,可在线阅读,更多相关《ip地址冲突.docx(11页珍藏版)》请在冰豆网上搜索。
ip地址冲突
分析并解决局域网内盗用IP的安全问题[转贴2007-04-2214:
50:
58]
字号:
大中小
分析并解决局域网内盗用IP的安全问题
一、IP地址盗用方法分析
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1、静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。
如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。
由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
2、成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。
针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。
MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。
每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。
但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。
如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
3、动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
二、防范技术研究
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1、交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:
使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
2、路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。
其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。
对于非法访问,有几种办法可以制止,如:
a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
c.修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。
这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
3、防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:
防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。
使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。
这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。
WindowsXP中轻松获取未使用的IP地址
作为网管员,在我们解决Windows操作系统的DHCP故障时,有时要找出某个地址范围内有哪些地址没有被使用。
本人以前介绍过一种方法:
打开命令提示窗口,在For…in…Do循环中调用ping命令。
例如,为了找出在地址范围192.168.1.1到192.168.1.100有哪些地址没有被使用,可以使用这个命令:
For/L%fin(1,1,100)DoPing.exe-n2192.168.1.%f
该命令会报告指定范围内的所有IP地址,不管是在用的还是未用的,用户都不得不在命令行窗口中翻看大量的内容。
其实,我们完全可以避免这些麻烦,只需建立一个批处理文件,要求它只返回那些未用的IP地址,然后再将命令的结果输入到一个文本文件中。
下面介绍方法:
打开记事本,在窗口中输入如下的命令:
@Echooff
date/t>IPList.txt
time/t>>IPList.txt
echo===========>>IPList.txt
For/L%%fin(1,1,100)DoPing.exe-n2192.168.1.%%f|Find
"Requesttimedout."&&echo192.168.1.%%fTimedOut>>
IPList.txt&&echooff
cls
EchoFinished!
@Echoon
Notepad.exeIPList.txt
将此文件存为IPTracker.bat,关闭记事本程序。
需要注意的是,在这个批处理文件中,整个的For…In…Do命令由几个被“&&”连接起来的命令组成。
该命令以“For”开始,以“Off”结尾,而且整个命令必须在一行上。
当然,如果用户要使用此方法的话,需要使用用户自己的IP地址来替换示例中的IP地址。
以后,如果用户要解决DHCP问题,可以在浏览器窗口中定位并双击IPTracker.bat文件,然后启动一个IP地址跟踪工具,这个批处理只查找那些未用的IP地址,并将结果存到记事本文件中。
(在此例中,这个保存的批处理文件成为一个IP地址跟踪工具,它可以一次创建,反复使用。
)
注意:
此方法只适用于WindowsXPProfessional(专业版)
IP被封?
教你两招修改网卡MAC地址
作者:
popo出处:
IT世界网
我们都知道一些公司,学校等都会对网络进行统一管理,其中一个很重要的统一管理是就是根据网卡的物理地址绑定IP地址。
如果你在公司上网,进行BT下载,QQ上网等违反了规定的,网管就可以根据你所登记的网卡地址封了你的IP地址。
要解决IP被封的问题根本就是要修改网卡地址,修改网卡MAC地址有多种方法:
一、直接修改
打开网络连接,在“本地连接”的小电脑图标,右键打开“属性”。
如下图
点击上图的配置,在下图选择“NetworkAddress”,然后在右侧的“值”中输入12个十六进制的数字(注意,mac地址每一位从0-F都是合法的,如00-50-8D-11-2F-9B,前3个字节表示制造商,后三个字节表示编号),单击“确定”保存设置,之后停用网络,在启用网络便可(或者重启电脑)如下图:
二、修改注册表
如果网卡不支持直接修改,就可以通过注册表来完成。
1、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002BE10318},之后就会看到0000、0001、0002等主键下,查找DriverDesc,内容为你要修改的网卡的描述,如“NVIDIAnforceNetworkingController”。
如下图:
2、在其下,添加一个字符串,命名为NetworkAddress,其值设为你要的MAC地址(注意地址还是连续写)。
如:
00E0DDE0E0E0。
3、然后到其下Ndiparams中添加一项名为NetworkAddress的主键,在该主键下添加名为default的字符串,其值是你要设的MAC地址,要连续写,如:
000000000000。
(实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的NetworkAddress参数,这个参数一旦设置后,以后高级属性中的值就是NetworkAddress给出的值而非default给出的了。
)
4、在NetworkAddress的主键下继续添加名为ParamDesc的字符串,其作用为指定NetworkAddress主键的描述,其值可自己命名,如“NetworkAddress”,这样在网卡的高级属性中就会出现NetworkAddress选项,就是你刚在注册表中加的新项NetworkAddress,以后只要在此修改MAC地址就可以了。
继续添加名为Optional的字符串,其值设为“1”,则以后当你在网卡的高级属性中选择NetworkAddress项时,右边会出现“不存在”选项。
5、重新启动你的计算机,打开网络邻居的属性,双击相应网卡项会发现有一个NetworkAddress的高级设置项,可以用来直接修改MAC地址或恢复原来的地址。
绝妙两招全面有效的管理局域网IP地址
作者:
张清 来源:
赛迪网-中国电脑教育报
局域网的一大特点就是拥有一定数量的终端用户。
作为省属重点中学,笔者所在学校局域网的终端用户有600多个,为了区分各类不同用户,我们采用的是终端固定IP设置的方法。
和其他许多学校的网管一样,我们也一直被终端用户私改IP地址造成的网络冲突问题困扰着。
咨询相关网络公司,他们也提供了不少解决方案,但大多价格不菲。
没有办法,只好绞尽脑汁自己想办法了。
笔者采用了基于防火墙的IP地址与MAC地址绑定+基于交换机的MAC地址与端口绑定的二级管理方法,双管齐下,较好地解决了这个问题。
现将实现方法阐述如下:
一、基于防火墙的IP地址与MAC地址绑定
1.做好整个局域网终端用户计算机的命名,指定IP地址根据用户的类别统一命名计算机,并给定IP地址。
这样一看机器名,就知道是哪个部门哪台机器,便于管理。
比如高一年级语文组1号机器,我们就将其命名为“gaoyiyuwen01”。
同时,统一规划分配IP地址给每台终端机器,并建立IP地址分配登记表。
江苏省泗阳中学局域网ip地址综合管理登记表
2.统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对应表
我们知道,在MS-DOS方式下键入命令“Winipcfg”就可以获得本机IP地址和MAC地址(Windows98系统下)。
我们可以将此方法公布一下,然后要求相关用户将本机MAC地址抄录上报到网管中心,再进行登记汇总。
也可在设定机器名和IP地址时一并统计好。
网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。
在MS-DOS方式下键入命令“Nbtstat-a远程计算机名”,即可获得指定机器的IP地址和MAC地址。
3.将IP地址与MAC地址绑定
这要根据局域网接入互联网的方式不同而采用不同的办法。
如果是采用代理服务器接入互联网,那就使用命令:
ARP-sIP地址MAC地址
例:
ARP-s192.168.1.400-EO-4C-6C-08-75
这样,就将静态IP地址192.168.1.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.1.4,也无法通过代理服务器上网。
如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。
一般的硬件防火墙都具有这个功能,具体操作也非常简单。
到这里似乎可以大功告成了,但事情并不像我们想象的那么简单。
花了相当多的精力构筑起来的防线不到一个月就又冲突依旧了。
原来,有的终端用户通过修改注册表、下载专用小工具等方法,没费多少力气就更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和主服务器一模一样,搞得局域网内又鸡犬不宁了。
二、基于交换机的MAC地址与端口绑定
为了进一步解决这个问题,笔者又想到了基于交换机的MAC地址与端口绑定。
这样一来,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。
以思科3548交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
(config)#mac_address_tablepermanentMAC地址以太网端口号
这样逐一将每个端口与相应的计算机MAC地址绑定,保存并退出。
其他品牌的交换机只要是可以网管的,大多可以仿此操作。
(T004)
升级会员 