杜絕內(nèi)網(wǎng)發(fā)生ip沖突的技巧
在管理���、維護(hù)局域網(wǎng)的過(guò)程中����,網(wǎng)絡(luò)管理員往往都會(huì)擔(dān)負(fù)起普通工作站IP地址的分配任務(wù)���,普通工作站只有通過(guò)正確地注冊(cè)后才能被局域網(wǎng)認(rèn)為是合法工作站��。在局域網(wǎng)工作環(huán)境中�,任何一臺(tái)普通工作站使用沒(méi)有經(jīng)過(guò)特別授權(quán)的IP地址時(shí),都會(huì)被局域網(wǎng)網(wǎng)絡(luò)當(dāng)作是非法IP地址在使用����。不過(guò)在Windows操作系統(tǒng)環(huán)境下��,普通工作站用戶常��?梢愿鶕(jù)自己的意愿隨意修改本地工作站的IP地址參數(shù)�,那樣一來(lái)局域網(wǎng)網(wǎng)絡(luò)就容易頻繁發(fā)生IP地址沖突的故障現(xiàn)象,這種現(xiàn)象會(huì)“干擾”局域網(wǎng)的穩(wěn)定運(yùn)行�����,甚至?xí)o日常的辦公效率帶來(lái)嚴(yán)重的影響�����。那么作為網(wǎng)絡(luò)管理員來(lái)說(shuō)�,我們究竟該采取什么措施,不讓IP地址沖突“干擾”局域網(wǎng)網(wǎng)絡(luò)的正常��、高效運(yùn)行呢����?現(xiàn)在本文就為各位朋友提出一些有效的應(yīng)對(duì)辦法�����,以幫助各位巧妙地管理好自己?jiǎn)挝坏木钟蚓W(wǎng)�����,確保局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行效率不會(huì)受到IP地址沖突現(xiàn)象的“干擾”��!
制造IP地址沖突的動(dòng)機(jī)
局域網(wǎng)中發(fā)生IP地址沖突故障現(xiàn)象��,不僅僅是簡(jiǎn)單的技術(shù)問(wèn)題�����,并且還是一個(gè)網(wǎng)絡(luò)管理員必須要認(rèn)真面對(duì)的管理問(wèn)題����。網(wǎng)絡(luò)管理員只有找到該故障現(xiàn)象存在的理由�����,想方設(shè)法地消滅該故障現(xiàn)象存在的基礎(chǔ)���,才可能從源頭上杜絕IP地址沖突故障現(xiàn)象的發(fā)生����。總結(jié)各種IP地址沖突故障現(xiàn)象��,我們不難分析得出制造IP地址沖突現(xiàn)象的動(dòng)機(jī)主要有下面幾種情況:一是普通工作站在長(zhǎng)時(shí)間使用之后��,因頻繁地安裝����、卸載各種應(yīng)用程序或殺毒軟件�,甚至由于操作者本人不小心發(fā)生了錯(cuò)誤操作,導(dǎo)致本地工作站系統(tǒng)發(fā)生了崩潰現(xiàn)象�,不得已工作站用戶重新安裝了操作系統(tǒng),并且隨意設(shè)置了工作站的上網(wǎng)參數(shù)��,最終在無(wú)意中造成了IP地址沖突故障現(xiàn)象�,這種情況比較普通,網(wǎng)絡(luò)管理員只要善加管理��,就能有效避免由這種情況引起的IP地址沖突故障現(xiàn)象���;二是局域網(wǎng)甚至Internet網(wǎng)絡(luò)中的一些非法攻擊者�����,企圖破壞或干擾本地局域網(wǎng)中重要網(wǎng)絡(luò)設(shè)備的穩(wěn)定運(yùn)行���,最終達(dá)到干擾局域網(wǎng)穩(wěn)定運(yùn)行的目的���,例如非法攻擊者想方設(shè)法地制造IP地址沖突故障現(xiàn)象,以便達(dá)到破壞局域網(wǎng)中服務(wù)器或交換機(jī)等重要設(shè)備的穩(wěn)定運(yùn)行�����,最終造成整個(gè)局域網(wǎng)無(wú)法正常工作����;三是一些別有用心的用戶想擁有那些被非法使用的IP地址所獲取的各種特殊訪問(wèn)權(quán)限,最常見(jiàn)的就是想獲得Internet訪問(wèn)權(quán)限����。
那些被非法盜用的IP地址在局域網(wǎng)網(wǎng)絡(luò)中運(yùn)行時(shí),有可能會(huì)產(chǎn)生下面幾種影響:一是在合法工作站沒(méi)有連到局域網(wǎng)的情況下��,冒用合法工作站使用的IP地址進(jìn)行網(wǎng)絡(luò)連接操作����,最終達(dá)到竊取合法工作站各種訪問(wèn)權(quán)限的目的���;二是在合法工作站已經(jīng)連到局域網(wǎng)的情況下,擅自盜用合法工作站使用的IP地址時(shí)���,會(huì)造成合法工作站出現(xiàn)IP地址發(fā)生資源沖突的故障提示���,最終造成合法工作站不能正常訪問(wèn)網(wǎng)絡(luò);三是盜用了合法工作站的IP地址后��,可以利用該IP地址在局域網(wǎng)網(wǎng)絡(luò)中進(jìn)行各種惡意破壞活動(dòng)����。
制造IP地址沖突的方法
要想避免IP地址沖突故障現(xiàn)象的發(fā)生��,我們自然應(yīng)該先了解制造IP地址沖突的方法�,只有這樣我們才能對(duì)癥下藥,采取針對(duì)性措施來(lái)拒絕IP地址沖突“干擾”局域網(wǎng)的正常運(yùn)行����。
一般來(lái)說(shuō),在局域網(wǎng)投入運(yùn)行的初期���,網(wǎng)絡(luò)管理員都會(huì)為局域網(wǎng)中的所有工作站分配一個(gè)合適的IP地址��。不過(guò)�,在局域網(wǎng)工作站長(zhǎng)時(shí)間運(yùn)行后,很可能會(huì)出現(xiàn)系統(tǒng)癱瘓或者其他一些故障現(xiàn)象���,導(dǎo)致工作站的上網(wǎng)參數(shù)發(fā)生了丟失�����,此時(shí)工作站用戶很可能會(huì)自己動(dòng)手���,進(jìn)入本地工作站系統(tǒng)的TCP/IP屬性設(shè)置窗口,在其中隨意為本地工作站分配一個(gè)IP地址��,該IP地址由于不是網(wǎng)絡(luò)管理員事先劃分好的那個(gè)IP地址���,這樣一來(lái)自然就形成了IP地址沖突現(xiàn)象了��。所以��,在使用了靜態(tài)IP地址的局域網(wǎng)工作環(huán)境中�,普通工作站用戶可以很容易地打開本地系統(tǒng)的TCP/IP屬性設(shè)置窗口�����,從而可以隨意更改本地工作站使用的IP地址。
為了保護(hù)本地工作站的IP地址不被非法用戶隨意盜用��,有一些熟悉網(wǎng)絡(luò)的朋友往往會(huì)采取地址綁定的方法�����,將網(wǎng)絡(luò)管理員事先分配給本地工作站的IP地址綁定到對(duì)應(yīng)工作站的網(wǎng)卡設(shè)備上���,那樣一來(lái)即使非法用戶盜用了本地工作站的IP地址�,也不會(huì)干擾本地工作站的正常上網(wǎng)訪問(wèn)��。對(duì)于采取了綁定措施的IP地址來(lái)說(shuō)�����,非法用戶同樣也找到了盜用辦法�,那就是同時(shí)盜用合法工作站的IP地址與網(wǎng)卡設(shè)備的MAC地址�,然后冒用合法主機(jī)的身份進(jìn)行惡意破壞。例如�����,非法用戶在盜用了合法工作站的IP地址后,發(fā)現(xiàn)盜用后的IP地址不能正常連接到局域網(wǎng)網(wǎng)絡(luò)中時(shí)����,他們會(huì)認(rèn)為該IP地址很可能被綁定了,于是他們會(huì)嘗試使用MAC地址掃描器之類的工作來(lái)查看���、盜用合法工作站的網(wǎng)卡MAC地址�����,在盜取合法工作站的網(wǎng)卡MAC地址后�,非法用戶再將自己工作站的IP地址修改成合法MAC地址就可以了���。修改網(wǎng)卡MAC地址的方法很簡(jiǎn)單����,用戶只要依次單擊本地工作站系統(tǒng)桌面中的“開始”/“設(shè)置”/“網(wǎng)絡(luò)連接”命令���,在彈出的網(wǎng)絡(luò)連接列表窗口中�,用鼠標(biāo)右鍵單擊本地連接圖標(biāo)����,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開本地連接屬性設(shè)置對(duì)話框;單擊該對(duì)話框中的“常規(guī)”選項(xiàng)卡��,并在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中單擊“配置”按鈕����,進(jìn)入本地工作站的目標(biāo)網(wǎng)卡屬性設(shè)置對(duì)話框;繼續(xù)單擊該設(shè)置對(duì)話框中的“高級(jí)”選項(xiàng)卡��,打開如圖1所示的高級(jí)選項(xiàng)設(shè)置頁(yè)面�����,選中該設(shè)置頁(yè)面左側(cè)“屬性”列表框中的“Network Address”選項(xiàng)�����,并將該選項(xiàng)的數(shù)值設(shè)置成盜用得來(lái)的網(wǎng)卡MAC地址���,最后單擊“確定”按鈕就可以完成網(wǎng)卡物理地址的修改任務(wù)了��。
此外����,對(duì)于一些熟悉攻擊技術(shù)的非法用戶來(lái)說(shuō)����,他們常常會(huì)利用IP地址電子欺騙技術(shù)來(lái)偽造某臺(tái)工作站的IP地址,不過(guò)這個(gè)電子欺騙技術(shù)通常需要借助編程手段來(lái)實(shí)現(xiàn)�����。例如���,非法攻擊者可以通過(guò)SOCKET編程�����,向局域網(wǎng)網(wǎng)絡(luò)發(fā)送帶有虛假的源IP地址的通信數(shù)據(jù)包�����,從而達(dá)到欺騙攻擊的目的����。
阻止IP地址沖突的手段
了解了制造IP地址沖突的幾種方法后���,我們就能根據(jù)不同的制造方法采取不同的阻止手段了����。
在使用靜態(tài)IP地址的局域網(wǎng)工作環(huán)境中,網(wǎng)絡(luò)管理員可以使用IP-MAC地址綁定方法�,也就是使用靜態(tài)路由技術(shù)的方法來(lái)阻止普通工作站用戶隨意進(jìn)入TCP/IP屬性設(shè)置窗口,胡亂修改本地系統(tǒng)的IP地址������?紤]到在相同的局域網(wǎng)網(wǎng)段中,普通工作站的網(wǎng)絡(luò)尋徑不是根據(jù)主機(jī)的IP地址而是根據(jù)主機(jī)的物理地址來(lái)進(jìn)行的��,在不同網(wǎng)段之間通信時(shí)才會(huì)根據(jù)主機(jī)的IP地址進(jìn)行網(wǎng)絡(luò)尋徑�����,所以作為局域網(wǎng)網(wǎng)關(guān)的路由器設(shè)備上通常保存有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表����,這是由ARP通信協(xié)議自動(dòng)生成并維護(hù)的。我們可以進(jìn)入局域網(wǎng)路由器的后臺(tái)管理界面�����,從中找到配置ARP表的設(shè)置選項(xiàng)����,對(duì)靜態(tài)的ARP路由表進(jìn)行個(gè)性化指定�,日后局域網(wǎng)路由器設(shè)備會(huì)自動(dòng)依照靜態(tài)的ARP表檢查通信數(shù)據(jù)包��,要是無(wú)法對(duì)應(yīng)���,那么就不會(huì)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)操作。使用這種手段���,網(wǎng)絡(luò)管理員能夠輕松地阻止非法攻擊者在不修改網(wǎng)卡設(shè)備MAC地址的情況下�,冒用合法工作站IP地址進(jìn)行非法網(wǎng)絡(luò)訪問(wèn)���。
為了防止非法用戶通過(guò)修改網(wǎng)卡MAC地址的方法來(lái)制造IP地址沖突故障現(xiàn)象�����,我們可以利用局域網(wǎng)交換機(jī)的端口綁定功能����,來(lái)有效化解非法用戶通過(guò)修改網(wǎng)卡MAC地址的方法來(lái)適應(yīng)靜態(tài)ARP表的問(wèn)題�����。大家知道��,常見(jiàn)的可管理交換機(jī)都支持端口綁定功能,我們可以利用該功能提供的端口地址過(guò)濾模式�,來(lái)實(shí)現(xiàn)阻止IP地址沖突的目的,因?yàn)榻粨Q機(jī)的端口地址過(guò)濾模式往往會(huì)允許每一個(gè)交換機(jī)連接端口僅允許具有合法MAC地址的工作站訪問(wèn)網(wǎng)絡(luò) ����,任何具有不合法MAC地址的工作站都將被交換機(jī)拒絕訪問(wèn)網(wǎng)絡(luò)。
在組網(wǎng)規(guī)模較大的工作環(huán)境中��,我們還可以通過(guò)劃分虛擬子網(wǎng)的方法�,來(lái)阻止IP地址沖突現(xiàn)象的發(fā)生。從嚴(yán)格意義上來(lái)說(shuō)����,劃分虛擬工作子網(wǎng)其實(shí)并不屬于技術(shù)措施,而是管理措施與技術(shù)措施結(jié)合在一起的手段�����。將那些具有相同訪問(wèn)行為的IP地址統(tǒng)一劃分到相同的虛擬工作子網(wǎng)中�����,并正確設(shè)置好相關(guān)的路由策略���,這樣一來(lái)我們就能有效拒絕非法攻擊者盜用其他工作子網(wǎng)IP地址現(xiàn)象的發(fā)生��。
此外�����,我們?cè)诠芾����、維護(hù)局域網(wǎng)的過(guò)程中���,盡量少用那些直接針對(duì)IP地址授權(quán)的管理模式��,而應(yīng)該綜合運(yùn)用加密����、口令����、VPN連接或其他身份認(rèn)證機(jī)制,建立多層次的嚴(yán)密的安全體系���,那樣一來(lái)就能有效降低IP地址沖突所帶來(lái)的安全威脅了���。
防范IP地址沖突的管理
前面����,本文也曾提到局域網(wǎng)中發(fā)生IP地址沖突故障現(xiàn)象��,不僅僅是簡(jiǎn)單的技術(shù)問(wèn)題��,同時(shí)還是一個(gè)網(wǎng)絡(luò)管理員必須要認(rèn)真面對(duì)的管理問(wèn)題�。為此,在采用了各種技術(shù)措施防范IP地址沖突現(xiàn)象發(fā)生外��,我們還應(yīng)該更加重視局域網(wǎng)的網(wǎng)絡(luò)管理問(wèn)題����。
首先應(yīng)該加大宣傳力度,讓普通工作站用戶都明白隨意更改IP地址所帶來(lái)的危害以及處罰措施�,同時(shí)應(yīng)該制定合適的IP地址管理制度,并要求每一位局域網(wǎng)用戶都要嚴(yán)格遵守�,例如建立的IP地址管理制度可以包括:IP地址申請(qǐng)分配制度,IP地址更改制度��,IP地址臨時(shí)分配制度�����,工作站網(wǎng)卡MAC地址登記管理制度,非法更改IP地址的處罰制度等���。
其次綜合運(yùn)行各種技術(shù)措施����,對(duì)那些經(jīng)常犯規(guī)的局域網(wǎng)上網(wǎng)用戶進(jìn)行嚴(yán)格限制����。由于非法盜用IP地址的行為,總是局域網(wǎng)網(wǎng)絡(luò)中極少數(shù)非法用戶的行為�����。所以���,對(duì)于已經(jīng)投入使用的局域網(wǎng)網(wǎng)絡(luò)來(lái)說(shuō),網(wǎng)絡(luò)管理員一定要仔細(xì)篩查當(dāng)前存在的各種問(wèn)題�,然后有針對(duì)性地采取各種技術(shù)手段,對(duì)那些頻繁違反IP地址管理制度的少數(shù)非法用戶進(jìn)行重點(diǎn)防范�����。
第三在為規(guī)模較大的局域網(wǎng)網(wǎng)絡(luò)劃分虛擬工作子網(wǎng)時(shí)�,我們一定要同時(shí)兼顧網(wǎng)絡(luò)訪問(wèn)的簡(jiǎn)易性和可管理性。在盡量不增加網(wǎng)絡(luò)建設(shè)成本和管理成本的前提下,應(yīng)該善于使用劃分虛擬工作子網(wǎng)的手段�����,來(lái)將那些網(wǎng)絡(luò)訪問(wèn)權(quán)限比較接近的工作站劃分到相同的工作子網(wǎng)中��,這樣一來(lái)就會(huì)盡可能地弱化非法盜用IP地址所造成的安全威脅了��。
第四應(yīng)該注重對(duì)局域網(wǎng)管理系統(tǒng)的部署��。使用專業(yè)的網(wǎng)絡(luò)管理工具�,能夠輕松實(shí)現(xiàn)靜態(tài)ARP路由表綁定的初始化操作,可以減輕網(wǎng)絡(luò)管理員大量的重復(fù)性操作�,從而達(dá)到提升局域網(wǎng)管理效率的目的。善于使用各類專業(yè)網(wǎng)絡(luò)管理工具的日志記錄功能以及日常監(jiān)視功能���,網(wǎng)絡(luò)管理員就能夠在第一時(shí)間有效地發(fā)現(xiàn)局域網(wǎng)中的IP地址����、網(wǎng)卡MAC地址以及重要網(wǎng)絡(luò)端口等異常變化情況�,這樣有利于提高網(wǎng)絡(luò)管理員查找、解決網(wǎng)絡(luò)故 障的效率�����。
小提示
對(duì)于普通的工作站用戶來(lái)說(shuō),他們究竟該采取什么措施�,才能避免自己的IP地址被非法用戶隨意修改呢?其實(shí)�����,普通工作站用戶可以有多種選擇���,來(lái)有效保護(hù)本地系統(tǒng)的IP地址不會(huì)被非法用戶修改�����;現(xiàn)在�,本文就為各位朋友貢獻(xiàn)幾則保護(hù)方法:
第一可以修改本地系統(tǒng)組策略�,禁止非法用戶隨意訪問(wèn)網(wǎng)絡(luò)連接屬性���。在使用該方法保護(hù)IP地址時(shí)�,我們可以用鼠標(biāo)逐一單擊“開始”���、“運(yùn)行”命令���,在彈出的系統(tǒng)運(yùn)行框中執(zhí)行“gpedit.msc”命令�,打開組策略編輯界面�,依次點(diǎn)選該界面左側(cè)顯示區(qū)域中的“用戶配置”、“管理模板”���、“網(wǎng)絡(luò)”���、“網(wǎng)絡(luò)連接”節(jié)點(diǎn)選項(xiàng),之后用鼠標(biāo)雙擊該節(jié)點(diǎn)選項(xiàng)下面的“禁止訪問(wèn)lan連接組件的屬性”組策略選項(xiàng)���,打開目標(biāo)組策略的屬性設(shè)置窗口(如圖2所示)�,選中其中的“已啟用”選項(xiàng)�,再單擊“確定”按鈕,如此一來(lái)非法用戶日后就不能隨意打開TCP/IP屬性設(shè)置窗口�����,去胡亂修改本地工作站的網(wǎng)卡IP地址了���。
第二可以“安撫”系統(tǒng)服務(wù)���,來(lái)巧妙地將本地連接圖標(biāo)隱藏起來(lái),那樣的話非法用戶也不容易進(jìn)入TCP/IP屬性設(shè)置窗口來(lái)亂改IP地址了��。在使用該方法保護(hù)本地系統(tǒng)的IP地址時(shí),我們可以依次單擊“開始”/“運(yùn)行”命令���,在彈出的系統(tǒng)運(yùn)行文本框中�����,輸入“services.msc”字符串命令�����,單擊回車鍵后打開系統(tǒng)的服務(wù)列表窗口�,從中找到“Plug and play”服務(wù)選項(xiàng)����,并用鼠標(biāo)雙擊該服務(wù)選項(xiàng),打開該服務(wù)的屬性設(shè)置窗口���,在該設(shè)置窗口的“常規(guī)”標(biāo)簽頁(yè)面中單擊“停止”按鈕,再將它的啟動(dòng)類型設(shè)置為“禁止”��,那樣一來(lái)本地工作站系統(tǒng)的本地連接圖標(biāo)就會(huì)被隱藏起來(lái)����。日后����,非法攻擊者一旦找不到本地連接圖標(biāo)����,他們也就進(jìn)不了TCP/IP屬性設(shè)置窗口,這樣他們也就會(huì)放棄修改本地工作站IP地址的念頭了����。
不過(guò)上面的方法僅能防范一些初級(jí)的局域網(wǎng)用戶,而一些高級(jí)用戶則會(huì)很容易地將它們破解掉���。其實(shí)��,我們還可以采用反注冊(cè)網(wǎng)絡(luò)連接圖標(biāo)的方法��,來(lái)達(dá)到隱藏本地連接圖標(biāo)的目的�,這種隱藏方法通常具有一定的隱蔽性���。在使用該方法保護(hù)IP地址時(shí)�����,我們可以依次點(diǎn)選系統(tǒng)桌面中的“開始”�����、“運(yùn)行”命令���,在彈出的系統(tǒng)運(yùn)行文本框中��,輸入“regsvr32 Netcfgx.dll/u”字符串命令����,再單擊“確定”按鈕�����;同樣地再依次執(zhí)行“regsvr32 Netman.dll/u”�����、“regsvr32 Netshell.dll/u”字符串命令���,最后再重新啟動(dòng)一下本地工作站系統(tǒng)�����,如此一來(lái)本地連接圖標(biāo)就會(huì)被自動(dòng)隱藏起來(lái)了�,非法用戶自然也就沒(méi)有辦法進(jìn)入網(wǎng)絡(luò)參數(shù)設(shè)置窗口���,進(jìn)行胡亂更改IP地址操作了��。
