熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

如何解決局域網內盜用IP地址的問題?

2013-09-12 17:26:25  來源: 網絡技術 
IP地址盜用方法多種多樣,其常用方法主要有以下幾種:第一,靜態修改IP地址;第二,成對修改IP-MAC地址。每一個網卡的MAC地址在所有以太網設備中必須是惟一的,它由IEEE分配,是固化在網卡上的,一般不能隨意改動。但是現在有一些兼容網卡,其MAC地址可以使用網卡配置程序進行修改。如果將一臺計算機的IP地址和MAC地址都改為另外一臺合法主機的IP地址和MAC地址,那靜態路由技術就無能為力了。
對于那些MAC地址不能直接修改的網卡來說,還可以采用軟件的辦法來修改MAC地址,即通過修改底層網絡軟件達到欺騙上層網絡軟件的目的。
方法一,交換機控制。解決IP地址盜用最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制,使用交換機提供的端口的單地址工作模式,即交換機的每一個端口只允許一臺主機通過該端口訪問網絡,任何其他地址的主機的訪問被拒絕。
方法二,路由器隔離。采用路由器隔離的主要依據是MAC地址作為以太網卡地址在全球具有惟一性,而且不能改變。其實現方法為通過SNMP協議定期掃描各路由器的ARP表,獲得當前IP地址和MAC的對照關系,和事先合法的IP地址和MAC地址比較,如不一致,則視為非法訪問。
對于非法訪問,有幾種辦法可以制止,如:使用正確的IP地址與MAC地址映射覆蓋非法的IP-MAC表項;向非法訪問的主機發送ICMP不可達的欺騙包,干擾其數據發送;修改路由器的存取控制列表,禁止非法訪問。www.hbhskj.tw路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得,而采用靜態設置。這樣,當非法訪問的IP地址和MAC地址不一致時,路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC地址,就無能為力了。
方法三,防火墻與代理服務器。使用防火墻與代理服務器相結合,也能較好地解決IP地址盜用的問題。防火墻用來隔離內部網絡和外部網絡,用戶訪問外部網絡通過代理服務器進行。使用這樣的辦法是將IP地址防盜放到應用層來解決,變IP地址管理為用戶身份和口令的管理。
這樣實現的好處是,合法用戶可以選擇任意一臺IP主機使用,通過代理服務器訪問外部網絡資源。而無權用戶即使盜用了IP地址,也沒有身份和密碼,不能使用外部網絡,失去了盜用的意義。
使用防火墻和代理服務器的缺點也是明顯的,由于訪問外部網絡對用戶不是透明的,增加了用戶操作的麻煩。

 
如何查看網卡的MAC地址 在Windows 98操作系統下,可以在“運行”里輸入“winipcfg”打開“IP配置”窗口,在窗口的“適配器地址”項內,有諸如“00-E0-4C-39-93-2D”的16進制地址就是網卡的Mac地址了。
但在Windows XP、Windows 2000、Windows Server 2003下,則需要使用“ipconfig”的指令。它可以顯示當前計算機的網絡配置情況,如果輸入“ipconfig/all”就可以顯示當前計算機的所有網絡配置參數,包括網卡的Mac地址。
參數說明
(1)/all
顯示所有網絡適配器(網卡、撥號連接等)的完整TCP/IP配置信息。與不帶參數的用法相比,它的信息更全更多,如IP地址是否動態分配、顯示網卡的物理地址等。
(2)/batch 文件名
將Ipconfig所顯示信息以文本方式寫入指定文件,此參數可用來備份本機的網絡配置。
(3)/release_all和/release N
釋放全部(或指定)適配器的由DHCP分配的動態IP地址。此參數適用于IP地址非靜態分配的網卡,通常和renew參數結合使用。
(4)ipconfig /renew_all或ipconfig /renew N
為全部(或指定)適配器重新分配IP地址。此參數同樣僅適用于IP地址非靜態分配的網卡,通常和release參數結合使用。
 
如何為局域網內部進行網絡分段

網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽。一般來說,網絡分段可分為邏輯分段和物理分段兩種方式。
1.邏輯分段
例如把局域網分成了192.168.0.X和192.168.1.X兩個邏輯分段。由于兩個IP地址段不存在相同的廣播地址,從而可以有效地避免相互間的攻擊和病毒擴散。而服務器如果添加合理的管理軟件,更可以實現對兩個網絡分段的通信管理,如可以實現服務器管理“192.168.0.1~192.168.0.X”中的哪些計算機能夠訪問另一網段的“192.168.1.1”計算機;反之也可以屏蔽它們之間的相互通信。
2.物理分段
目前的局域網,很少使用純粹的物理分段來提高安全性。一般多采用以交換機為中心、路由器為邊界的網絡格局,重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵檢測功能,就是一種基于Mac地址的訪問控制,也就是一種數據鏈路層的物理分段形式。

 

 
From:http://www.hbhskj.tw/Article/Network/201309/3906.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82