網(wǎng)管技巧:防范MAC,、IP盜網(wǎng)賊
最近筆者發(fā)現(xiàn)有些非法用戶不僅將自己的IP地址改為了高級用戶的IP地址,,還通過ARP命令獲得了高級用戶所用計算機的MAC地址,將自身的MAC地址也進行了修改,。這樣一來不僅沒有IP地址沖突的提示,,而且兩臺計算機都可以上網(wǎng)了,,非法用戶輕松享受了高級用戶的權限,。
作為一名合格的網(wǎng)絡管理員我們需要“扼殺”一切非法使用網(wǎng)絡的行為,本文將為大家講解如何防范修改IP地址與MAC地址違規(guī)上網(wǎng)的行為,。
IP沖突基礎知識
一般情況下兩臺設置了相同IP地址的計算機在啟動后會出現(xiàn)IP地址沖突的提示,,先啟動的計算機可以使用網(wǎng)絡,而后啟動的計算機無法使用網(wǎng)絡資源,。所以在公司所有計算機都開機的情況下如果有人手動修改了IP地址一定會出現(xiàn)IP沖突的警告,。當正常用戶不能使用網(wǎng)絡時建議及時通知網(wǎng)絡管理員,網(wǎng)絡管理員可以迅速查找出非法使用者的計算機,。
什么是IP地址與MAC地址的綁定?
在代理服務器上一般都通過“arp -s 157.55.85.212 00-aa-00-62-c6-09”這個命令將IP地址與相應的MAC地址捆綁在一起,,這樣IP地址相同MAC地址不符的計算機就不能通過代理服務器上網(wǎng)了,。簡單地修改IP地址進行非法資源訪問的方法將無效。
誰在盜用網(wǎng)絡?
這里需要指出的是,,IP地址沖突檢測的原理就是查找本地網(wǎng)絡中是否存在IP地址相同而MAC地址不同的主機,,一旦有這樣的情況就會出現(xiàn)ARP解析錯誤從而報IP地址沖突。不過如果將MAC地址也設置相同,,ARP解析就不會出現(xiàn)任何錯誤,,自然不會報IP地址沖突,而且上網(wǎng)沒有問題,,這就是本文剛開始中提到的非法用戶使用網(wǎng)絡的方法,。
ARP解析防非法用戶
鑒于很多用戶通過修改IP地址實現(xiàn)非法使用網(wǎng)絡的功能,那么我們可以在代理服務器上通過ARP命令將IP地址與MAC地址綁定起來,,從而防止用戶隨意修改IP地址非法使用網(wǎng)絡,。
第一步:在Windows 98系統(tǒng)中執(zhí)行winipcfg查看MAC地址(在Windows 2000及其以上操作系統(tǒng)中運行ipconfig/all進行查看)。將所有計算機的MAC地址與IP地址記錄下來,。
實際上網(wǎng)絡管理員也可以利用Nbtstat命令來遠程獲得指定機器的MAC地址,。在MS-DOS方式下鍵入命令“Nbtstat -a 遠程計算機名”,即可獲得指定機器的IP地址和MAC地址,。不過需要實現(xiàn)建立IPC連接,,如果初次使用不會有任何反應。建立IPC連接的最方便快捷的辦法就是在執(zhí)行“Nbtstat -a 遠程計算機名”前先使用一款掃描工具對整個局域網(wǎng)掃描,,自動建立IPC連接,。這樣運行“Nbtstat -a 遠程計算機名”就不會出現(xiàn)沒有任何反饋信息的情況了。
第二步:在代理服務器上使用ARP命令建立IP地址與MAC地址的映射關系,,例如使用“ARP -s 10.91.30.45 00-EO-4C-6C-08-75”命令,,這樣就將靜態(tài)IP地址10.91.30.45與網(wǎng)卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了,即使別人盜用了IP地址192.168.1.4,,也無法通過代理服務器上網(wǎng),。
提示:ARP的映射信息會在每次重新啟動計算機后消失,所以請將所有的映射命令保存到一個批處理BAT文件中,,并將這個文件設置為隨系統(tǒng)啟動而加載,,從而保證代理服務器重新啟動ARP映射信息也不會消失了。
綁定端口,,限制盜用
本文說明了僅僅通過將IP地址與MAC地址綁定起來防止非法用戶使用網(wǎng)絡不是非常有效的,,應該采用將交換機的端口與MAC地址或IP地址進行綁定的方法來限制。
我們以CISCO交換機為例講解配置命令,。登錄進入交換機,,輸入管理口令進入配置模式,輸入命令:(config)#mac_address_table permanent [MAC地址] [以太網(wǎng)端口號],。將交換機的MAC地址與端口綁定后擅自改動本機網(wǎng)卡的MAC地址,,該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非法而無法實現(xiàn)上網(wǎng),,自然也就不會對局域網(wǎng)造成干擾了。
逐一地將每個端口與相應的計算機MAC地址進行綁定保存退出后就徹底阻止了用戶的非法修改,。當然其他品牌的交換機只要是可以網(wǎng)管的,,大多可以按照此方法進行操作。
