当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 防范盗取IP的方法

安全基础
用net start 可以启动肉鸡的命令(2)
用net start 可以启动肉鸡的命令(3)
用net start 可以启动肉鸡的命令(4)
DDOS攻击 如何判断是否遭到流量攻击
网络防“虫”手段和全局安全网络的应用
个人网络安全防卫手册(1)
个人网络安全防卫手册(2)
个人网络安全防卫手册(3)
个人网络安全防卫手册(4)
个人网络安全防卫手册(5)
个人网络安全防卫手册(6)
一位高手整理的IIS FAQ
使用Exchange 2003防御地址欺骗(1)
使用Exchange 2003防御地址欺骗(2)
RAdmin 服务端高级配置(1)
只防病毒不安全 网络还需防什么(1)
只防病毒不安全 网络还需防什么(2)
主动防御电脑病毒并非天方夜谭
用XPSP2防火墙打造最强护身甲(1)
用XPSP2防火墙打造最强护身甲(2)

安全基础 中的 防范盗取IP的方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 88 ::
收藏到网摘: n/a

首先,要求有网络的管理权限,普通用户没有权限修改网络设备的配置 

1 配置交换机端口单地址工作模式防止IP盗用 

利用交换机提供功能,每个端口只允许一台主机通过该端口访问网络,如果下连HUB,则拒绝访问 

例: 在Cisco 2950系列交换机上的设置(其它厂商的设备原理类似) 

conf t 
int faste 0/1 
port secure max-mac-count 1 

看其它参考文档,还可以设置当发生IP盗用时该端口采用的动作,有挂起、禁用和忽略方式。如果使用diasble,则下挂HUB会导致整个HUB上的所有用户都无法通过SWITCH端口访问.我只是禁止使用,不想关闭PORT,因此未配置该选项 

2 利用MAC和交换机端口对应表查找盗用者所使用的端口 
一般SWITCH都配了VLAN ,盗用IP只能在VLAN内实现。则可以把VLAN按照交换机划分,每个交换机维护一个与端口对应的MAC表 

不过在考虑这个方法时发现有个问题,如果不启用路由,则各个交换机之间无法互访;如果启用路由,则VLAN设置形同虚设,发生IP冲突时还是不能确定发生在那个VLAN里(哪个交换机上),这是我没想明白的,期望大家指点 

2950上查MAC表: 
sh mac-address-table