当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 天下无贼 两招解决IP地址盗用问题

安全基础
详述虚拟网站的权限突破及防范
帮你检查网络安全
个人计算机网络安全防线
程序员的“十大安全技巧”
修改设置打造安全的个人电脑
个人电脑防御黑客绝招
如何使您的Windows系统更安全
计算机病毒防范技术重点措施
网络安全新技术:网络隔离
网络安全四个误区
安全概念及思路
个人电脑详细的安全设置方法
十大流氓软件完全卸载方案
三种新Sober蠕虫病毒爆发
入侵代码现身 Windows再次危险
网络安全十大信条并非金科玉律
全面掌控无线局域网安全技巧
病毒杀不死的原因分析和相应对策
浅析进程“伪隐藏”技术与实现两则
鲜为人知的“Windows 2000/XP受限”问题

安全基础 中的 天下无贼 两招解决IP地址盗用问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 68 ::
收藏到网摘: n/a

  出处: IT168

  笔者所在局域网的有500多台计算机,为了区分各类不同用户,对不同用户分配更详细的访问权限,我们采用的是设置固定IP的方法,而不是自动获取IP地址。不过在实际使用中遇到了和其他LAN管理上的相同问题。那就是经常有用户私自修改IP地址,从而造成网络冲突的问题。

  虽然很多网络公司可以提供硬件解决的办法但价格不菲。俗话说穷人有穷人的办法,笔者经过查询资料发现了两个行知有效的方法——代理服务器IP与MAC地址绑定和交换机MAC地址与端口绑定的。将这两个办法结合起来有效的解决了非法用户上网这个问题。

  如何查看计算机MAC地址

  我们可以在98系统中执行winipcfg查看MAC地址,在2000及其以上操作系统中运行ipconfig /all进行查看。

  小提示:实际上网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。不过这需要实现建立IPC连接,如果初次使用不会有任何反应。

  这里告诉大家一个方便快捷的办法那就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描,自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。

  方法一:代理服务器上IP与MAC地址的绑定

  这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网,那就可以在代理服务器上使用——ARP -s IP地址 MAC地址 

  例如:使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令,这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用了IP地址192.168.1.4,也无法通过代理服务器上网。

  小提示:ARP的映射信息会在每次重新启动计算机后消失,所以请将所有的映射命令保存到一个批处理BAT文件中,并将这个文件设置为随系统启动而加载,从而保证代理服务器重新启动ARP映射信息也不会消失了。

  如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能,具体操作也非常简单。鉴于篇幅有限这里就不举例介绍了。

  方法二:交换机的MAC地址与端口绑定

  上面提到的方法一虽然可以在一定程度上解决非法用户网络接入的问题,但用户还是可以通过修改注册表,下载专用小工具等方法,轻松更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和代理服务器一模一样。非法用户又可以非法使用网络了。因此方法二应运而生。

  将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。我们以CISCO交换机讲解配置命令。

  登录进入交换机,输入管理口令进入配置模式,敲入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]

  这样逐一的将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的,大多可以按照此方法进行操作。

  总结:实际使用中笔者发现将两个方法进行结合可以最大限度的阻止非法用户的非法使用网络,效果很好。写出来希望能为各位深陷此痛苦的网络管理员排忧解难。