盗用IP地址也算是屡见不鲜的事情了,在IPV4的时代,IP地址是一种稀缺的资源,也由此衍生了盗用IP地址的做法;到到了IPV6时代,IPV6地址个数为16^32=2^128个,大约是3.4E38,以地球目前的容量来看,是不会耗尽的,但是对于某些按IP地址进行流量计费的网络来说,IP地址仍然显得稀缺,仍旧需要防范IP地址被盗用。
当局域网上有两台主机具有形同的IP地址,两台主机会相互报警,造成混乱。如何防范IP地址被盗用?
网卡在使用中有两类地址,一类是大家都熟悉的IP地址,另一类就是MAC地址,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识,就仿佛是我们的身份证一样,一般不能随意改变。它与网络无关,无论把这个网卡接入到网络的什么地方,MAC地址都是不变的。
1、在Windows 9x/2000/XP下单击“开始/程序”,找到“MS-DOS方式”或“命令提示符”。
2、在命令提示符下输入:“Ipconfig/all”,回车后出现如附图所示的对话框,其中的“Physical Address”即是所查的MAC地址。
进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP-s 10.88.56.72 00-10-5C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。
这样,就不会出现IP地址被盗用而不能正常使用校园网络的情况(当然也就不会出现错误提示对话框),可以有效保证校园网络的安全和用户的应用。
注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。
我可以将交换机的MAC地址与端口绑定后,非法用户擅自改动本机网卡的MAC地址,该
机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。这样他们想改也不敢了。
登录进入交换机(我单位用的是CISCO交换机,我想别的品牌的交换机也差不多),输入
管理口令进入配置模式:
敲入命令:(config)#mac_address_table permanent[MAC地址][以太网端口号]
这样逐一地将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用
户的非法修改。
使用防火墙与代理服务器相结合,更能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络进入因特网。
这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
1、利用unix、windows系统提供的arp功能,定时收集信息,定向输出存入数据库或文档文件,形成实时的ip地址与网卡硬件地址的对应表。并结合编写查询程序实现与历史记录自动排查,确定问题的发生点及原因。
2、利用网络交换管理的网络管理功能,完善检测手段,提高网络故障的清查能力。
(这种方法监测效果快速准确,需要具有网络管理功能的交换设备,交换机自动跟踪ip冲突地址,监测冲突需要人工完成,对非冲突,非ip地址的故障处理有一定的滞后性)
3、根据internet的ip地址管理是通过ip地址分配和路由器的配置来实现的原理,可以通过设置静态路由表,完成ip地址和硬件地址的严格对应,保证已分配的ip地址的完全唯一性。
(这种方法对接入internet的ip地址管理效果明显。他能自动锁定任何非法ip地址的路由出口,使之能访问内部ip地址运行于局域网内,对非冲突,非分配ip地址的故障处理具有实时性。
TOP