当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 天下无贼 两招解决IP地址盗用问题

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 天下无贼 两招解决IP地址盗用问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 61 ::
收藏到网摘: n/a

  出处: IT168

  笔者所在局域网的有500多台计算机,为了区分各类不同用户,对不同用户分配更详细的访问权限,我们采用的是设置固定IP的方法,而不是自动获取IP地址。不过在实际使用中遇到了和其他LAN管理上的相同问题。那就是经常有用户私自修改IP地址,从而造成网络冲突的问题。

  虽然很多网络公司可以提供硬件解决的办法但价格不菲。俗话说穷人有穷人的办法,笔者经过查询资料发现了两个行知有效的方法——代理服务器IP与MAC地址绑定和交换机MAC地址与端口绑定的。将这两个办法结合起来有效的解决了非法用户上网这个问题。

  如何查看计算机MAC地址

  我们可以在98系统中执行winipcfg查看MAC地址,在2000及其以上操作系统中运行ipconfig /all进行查看。

  小提示:实际上网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”,即可获得指定机器的IP地址和MAC地址。不过这需要实现建立IPC连接,如果初次使用不会有任何反应。

  这里告诉大家一个方便快捷的办法那就是在执行“Nbtstat -a 远程计算机名”前先使用一款扫描工具对整个局域网扫描,自动建立IPC连接。这样运行“Nbtstat -a 远程计算机名”就不会出现没有任何反馈信息的情况了。

  方法一:代理服务器上IP与MAC地址的绑定

  这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网,那就可以在代理服务器上使用——ARP -s IP地址 MAC地址 

  例如:使用ARP -s 10.91.30.45 00-EO-4C-6C-08-75的命令,这样就将静态IP地址10.91.30.45与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用了IP地址192.168.1.4,也无法通过代理服务器上网。

  小提示:ARP的映射信息会在每次重新启动计算机后消失,所以请将所有的映射命令保存到一个批处理BAT文件中,并将这个文件设置为随系统启动而加载,从而保证代理服务器重新启动ARP映射信息也不会消失了。

  如果是通过路由器直接接入互联网,最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能,具体操作也非常简单。鉴于篇幅有限这里就不举例介绍了。

  方法二:交换机的MAC地址与端口绑定

  上面提到的方法一虽然可以在一定程度上解决非法用户网络接入的问题,但用户还是可以通过修改注册表,下载专用小工具等方法,轻松更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和代理服务器一模一样。非法用户又可以非法使用网络了。因此方法二应运而生。

  将交换机的MAC地址与端口绑定后擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。我们以CISCO交换机讲解配置命令。

  登录进入交换机,输入管理口令进入配置模式,敲入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]

  这样逐一的将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用户的非法修改。当然其他品牌的交换机只要是可以网管的,大多可以按照此方法进行操作。

  总结:实际使用中笔者发现将两个方法进行结合可以最大限度的阻止非法用户的非法使用网络,效果很好。写出来希望能为各位深陷此痛苦的网络管理员排忧解难。