杜絕內網發(fā)生ip沖突的技巧
在管理、維護局域網的過程中�,網絡管理員往往都會擔負起普通工作站IP地址的分配任務���,普通工作站只有通過正確地注冊后才能被局域網認為是合法工作站��。在局域網工作環(huán)境中����,任何一臺普通工作站使用沒有經過特別授權的IP地址時����,都會被局域網網絡當作是非法IP地址在使用����。不過在Windows操作系統(tǒng)環(huán)境下��,普通工作站用戶常�?梢愿鶕约旱囊庠鸽S意修改本地工作站的IP地址參數��,那樣一來局域網網絡就容易頻繁發(fā)生IP地址沖突的故障現(xiàn)象��,這種現(xiàn)象會“干擾”局域網的穩(wěn)定運行,甚至會給日常的辦公效率帶來嚴重的影響。那么作為網絡管理員來說���,我們究竟該采取什么措施��,不讓IP地址沖突“干擾”局域網網絡的正常、高效運行呢��?現(xiàn)在本文就為各位朋友提出一些有效的應對辦法,以幫助各位巧妙地管理好自己單位的局域網�����,確保局域網網絡的運行效率不會受到IP地址沖突現(xiàn)象的“干擾”�����!
制造IP地址沖突的動機
局域網中發(fā)生IP地址沖突故障現(xiàn)象����,不僅僅是簡單的技術問題,并且還是一個網絡管理員必須要認真面對的管理問題。網絡管理員只有找到該故障現(xiàn)象存在的理由���,想方設法地消滅該故障現(xiàn)象存在的基礎�����,才可能從源頭上杜絕IP地址沖突故障現(xiàn)象的發(fā)生�������?偨Y各種IP地址沖突故障現(xiàn)象����,我們不難分析得出制造IP地址沖突現(xiàn)象的動機主要有下面幾種情況:一是普通工作站在長時間使用之后���,因頻繁地安裝、卸載各種應用程序或殺毒軟件��,甚至由于操作者本人不小心發(fā)生了錯誤操作�,導致本地工作站系統(tǒng)發(fā)生了崩潰現(xiàn)象�,不得已工作站用戶重新安裝了操作系統(tǒng),并且隨意設置了工作站的上網參數����,最終在無意中造成了IP地址沖突故障現(xiàn)象,這種情況比較普通�����,網絡管理員只要善加管理,就能有效避免由這種情況引起的IP地址沖突故障現(xiàn)象�����;二是局域網甚至Internet網絡中的一些非法攻擊者���,企圖破壞或干擾本地局域網中重要網絡設備的穩(wěn)定運行�,最終達到干擾局域網穩(wěn)定運行的目的,例如非法攻擊者想方設法地制造IP地址沖突故障現(xiàn)象,以便達到破壞局域網中服務器或交換機等重要設備的穩(wěn)定運行��,最終造成整個局域網無法正常工作��;三是一些別有用心的用戶想擁有那些被非法使用的IP地址所獲取的各種特殊訪問權限����,最常見的就是想獲得Internet訪問權限。
那些被非法盜用的IP地址在局域網網絡中運行時�����,有可能會產生下面幾種影響:一是在合法工作站沒有連到局域網的情況下,冒用合法工作站使用的IP地址進行網絡連接操作�����,最終達到竊取合法工作站各種訪問權限的目的;二是在合法工作站已經連到局域網的情況下�����,擅自盜用合法工作站使用的IP地址時����,會造成合法工作站出現(xiàn)IP地址發(fā)生資源沖突的故障提示,最終造成合法工作站不能正常訪問網絡���;三是盜用了合法工作站的IP地址后��,可以利用該IP地址在局域網網絡中進行各種惡意破壞活動�����。
制造IP地址沖突的方法
要想避免IP地址沖突故障現(xiàn)象的發(fā)生,我們自然應該先了解制造IP地址沖突的方法��,只有這樣我們才能對癥下藥����,采取針對性措施來拒絕IP地址沖突“干擾”局域網的正常運行。
一般來說�����,在局域網投入運行的初期�����,網絡管理員都會為局域網中的所有工作站分配一個合適的IP地址。不過���,在局域網工作站長時間運行后����,很可能會出現(xiàn)系統(tǒng)癱瘓或者其他一些故障現(xiàn)象,導致工作站的上網參數發(fā)生了丟失���,此時工作站用戶很可能會自己動手�����,進入本地工作站系統(tǒng)的TCP/IP屬性設置窗口��,在其中隨意為本地工作站分配一個IP地址,該IP地址由于不是網絡管理員事先劃分好的那個IP地址���,這樣一來自然就形成了IP地址沖突現(xiàn)象了���。所以�,在使用了靜態(tài)IP地址的局域網工作環(huán)境中�,普通工作站用戶可以很容易地打開本地系統(tǒng)的TCP/IP屬性設置窗口,從而可以隨意更改本地工作站使用的IP地址�。
為了保護本地工作站的IP地址不被非法用戶隨意盜用�,有一些熟悉網絡的朋友往往會采取地址綁定的方法�,將網絡管理員事先分配給本地工作站的IP地址綁定到對應工作站的網卡設備上��,那樣一來即使非法用戶盜用了本地工作站的IP地址�,也不會干擾本地工作站的正常上網訪問。對于采取了綁定措施的IP地址來說�,非法用戶同樣也找到了盜用辦法,那就是同時盜用合法工作站的IP地址與網卡設備的MAC地址�,然后冒用合法主機的身份進行惡意破壞。例如�,非法用戶在盜用了合法工作站的IP地址后,發(fā)現(xiàn)盜用后的IP地址不能正常連接到局域網網絡中時�,他們會認為該IP地址很可能被綁定了,于是他們會嘗試使用MAC地址掃描器之類的工作來查看����、盜用合法工作站的網卡MAC地址�����,在盜取合法工作站的網卡MAC地址后��,非法用戶再將自己工作站的IP地址修改成合法MAC地址就可以了�����。修改網卡MAC地址的方法很簡單,用戶只要依次單擊本地工作站系統(tǒng)桌面中的“開始”/“設置”/“網絡連接”命令����,在彈出的網絡連接列表窗口中,用鼠標右鍵單擊本地連接圖標����,從彈出的快捷菜單中執(zhí)行“屬性”命令����,打開本地連接屬性設置對話框����;單擊該對話框中的“常規(guī)”選項卡,并在對應選項設置頁面中單擊“配置”按鈕��,進入本地工作站的目標網卡屬性設置對話框�;繼續(xù)單擊該設置對話框中的“高級”選項卡,打開如圖1所示的高級選項設置頁面�����,選中該設置頁面左側“屬性”列表框中的“Network Address”選項�,并將該選項的數值設置成盜用得來的網卡MAC地址,最后單擊“確定”按鈕就可以完成網卡物理地址的修改任務了�����。
此外,對于一些熟悉攻擊技術的非法用戶來說�,他們常常會利用IP地址電子欺騙技術來偽造某臺工作站的IP地址,不過這個電子欺騙技術通常需要借助編程手段來實現(xiàn)��。例如�,非法攻擊者可以通過SOCKET編程,向局域網網絡發(fā)送帶有虛假的源IP地址的通信數據包�,從而達到欺騙攻擊的目的。
阻止IP地址沖突的手段
了解了制造IP地址沖突的幾種方法后���,我們就能根據不同的制造方法采取不同的阻止手段了�����。
在使用靜態(tài)IP地址的局域網工作環(huán)境中�����,網絡管理員可以使用IP-MAC地址綁定方法���,也就是使用靜態(tài)路由技術的方法來阻止普通工作站用戶隨意進入TCP/IP屬性設置窗口,胡亂修改本地系統(tǒng)的IP地址������?紤]到在相同的局域網網段中�,普通工作站的網絡尋徑不是根據主機的IP地址而是根據主機的物理地址來進行的���,在不同網段之間通信時才會根據主機的IP地址進行網絡尋徑,所以作為局域網網關的路由器設備上通常保存有IP-MAC的動態(tài)對應表�,這是由ARP通信協(xié)議自動生成并維護的。我們可以進入局域網路由器的后臺管理界面����,從中找到配置ARP表的設置選項,對靜態(tài)的ARP路由表進行個性化指定�����,日后局域網路由器設備會自動依照靜態(tài)的ARP表檢查通信數據包��,要是無法對應����,那么就不會進行數據轉發(fā)操作。使用這種手段��,網絡管理員能夠輕松地阻止非法攻擊者在不修改網卡設備MAC地址的情況下,冒用合法工作站IP地址進行非法網絡訪問����。
為了防止非法用戶通過修改網卡MAC地址的方法來制造IP地址沖突故障現(xiàn)象,我們可以利用局域網交換機的端口綁定功能��,來有效化解非法用戶通過修改網卡MAC地址的方法來適應靜態(tài)ARP表的問題���。大家知道��,常見的可管理交換機都支持端口綁定功能���,我們可以利用該功能提供的端口地址過濾模式,來實現(xiàn)阻止IP地址沖突的目的����,因為交換機的端口地址過濾模式往往會允許每一個交換機連接端口僅允許具有合法MAC地址的工作站訪問網絡 ,任何具有不合法MAC地址的工作站都將被交換機拒絕訪問網絡����。
在組網規(guī)模較大的工作環(huán)境中,我們還可以通過劃分虛擬子網的方法�,來阻止IP地址沖突現(xiàn)象的發(fā)生。從嚴格意義上來說��,劃分虛擬工作子網其實并不屬于技術措施,而是管理措施與技術措施結合在一起的手段�。將那些具有相同訪問行為的IP地址統(tǒng)一劃分到相同的虛擬工作子網中,并正確設置好相關的路由策略���,這樣一來我們就能有效拒絕非法攻擊者盜用其他工作子網IP地址現(xiàn)象的發(fā)生�。
此外�����,我們在管理�、維護局域網的過程中���,盡量少用那些直接針對IP地址授權的管理模式��,而應該綜合運用加密����、口令�����、VPN連接或其他身份認證機制���,建立多層次的嚴密的安全體系���,那樣一來就能有效降低IP地址沖突所帶來的安全威脅了�。
防范IP地址沖突的管理
前面��,本文也曾提到局域網中發(fā)生IP地址沖突故障現(xiàn)象�,不僅僅是簡單的技術問題,同時還是一個網絡管理員必須要認真面對的管理問題��。為此���,在采用了各種技術措施防范IP地址沖突現(xiàn)象發(fā)生外�,我們還應該更加重視局域網的網絡管理問題���。
首先應該加大宣傳力度�,讓普通工作站用戶都明白隨意更改IP地址所帶來的危害以及處罰措施����,同時應該制定合適的IP地址管理制度,并要求每一位局域網用戶都要嚴格遵守���,例如建立的IP地址管理制度可以包括:IP地址申請分配制度�����,IP地址更改制度���,IP地址臨時分配制度�����,工作站網卡MAC地址登記管理制度��,非法更改IP地址的處罰制度等����。
其次綜合運行各種技術措施���,對那些經常犯規(guī)的局域網上網用戶進行嚴格限制。由于非法盜用IP地址的行為����,總是局域網網絡中極少數非法用戶的行為。所以�����,對于已經投入使用的局域網網絡來說,網絡管理員一定要仔細篩查當前存在的各種問題����,然后有針對性地采取各種技術手段,對那些頻繁違反IP地址管理制度的少數非法用戶進行重點防范����。
第三在為規(guī)模較大的局域網網絡劃分虛擬工作子網時,我們一定要同時兼顧網絡訪問的簡易性和可管理性�。在盡量不增加網絡建設成本和管理成本的前提下,應該善于使用劃分虛擬工作子網的手段�,來將那些網絡訪問權限比較接近的工作站劃分到相同的工作子網中,這樣一來就會盡可能地弱化非法盜用IP地址所造成的安全威脅了�����。
第四應該注重對局域網管理系統(tǒng)的部署�。使用專業(yè)的網絡管理工具,能夠輕松實現(xiàn)靜態(tài)ARP路由表綁定的初始化操作�����,可以減輕網絡管理員大量的重復性操作�,從而達到提升局域網管理效率的目的。善于使用各類專業(yè)網絡管理工具的日志記錄功能以及日常監(jiān)視功能,網絡管理員就能夠在第一時間有效地發(fā)現(xiàn)局域網中的IP地址����、網卡MAC地址以及重要網絡端口等異常變化情況,這樣有利于提高網絡管理員查找���、解決網絡故 障的效率��。
小提示
對于普通的工作站用戶來說��,他們究竟該采取什么措施�,才能避免自己的IP地址被非法用戶隨意修改呢�?其實,普通工作站用戶可以有多種選擇�,來有效保護本地系統(tǒng)的IP地址不會被非法用戶修改;現(xiàn)在����,本文就為各位朋友貢獻幾則保護方法:
第一可以修改本地系統(tǒng)組策略,禁止非法用戶隨意訪問網絡連接屬性���。在使用該方法保護IP地址時,我們可以用鼠標逐一單擊“開始”��、“運行”命令,在彈出的系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令��,打開組策略編輯界面�����,依次點選該界面左側顯示區(qū)域中的“用戶配置”�、“管理模板”、“網絡”�、“網絡連接”節(jié)點選項,之后用鼠標雙擊該節(jié)點選項下面的“禁止訪問lan連接組件的屬性”組策略選項����,打開目標組策略的屬性設置窗口(如圖2所示),選中其中的“已啟用”選項�,再單擊“確定”按鈕,如此一來非法用戶日后就不能隨意打開TCP/IP屬性設置窗口���,去胡亂修改本地工作站的網卡IP地址了����。
第二可以“安撫”系統(tǒng)服務����,來巧妙地將本地連接圖標隱藏起來,那樣的話非法用戶也不容易進入TCP/IP屬性設置窗口來亂改IP地址了。在使用該方法保護本地系統(tǒng)的IP地址時�����,我們可以依次單擊“開始”/“運行”命令�,在彈出的系統(tǒng)運行文本框中,輸入“services.msc”字符串命令����,單擊回車鍵后打開系統(tǒng)的服務列表窗口,從中找到“Plug and play”服務選項��,并用鼠標雙擊該服務選項��,打開該服務的屬性設置窗口���,在該設置窗口的“常規(guī)”標簽頁面中單擊“停止”按鈕�,再將它的啟動類型設置為“禁止”���,那樣一來本地工作站系統(tǒng)的本地連接圖標就會被隱藏起來���。日后,非法攻擊者一旦找不到本地連接圖標���,他們也就進不了TCP/IP屬性設置窗口��,這樣他們也就會放棄修改本地工作站IP地址的念頭了��。
不過上面的方法僅能防范一些初級的局域網用戶�����,而一些高級用戶則會很容易地將它們破解掉�。其實����,我們還可以采用反注冊網絡連接圖標的方法,來達到隱藏本地連接圖標的目的����,這種隱藏方法通常具有一定的隱蔽性。在使用該方法保護IP地址時�����,我們可以依次點選系統(tǒng)桌面中的“開始”�、“運行”命令,在彈出的系統(tǒng)運行文本框中�,輸入“regsvr32 Netcfgx.dll/u”字符串命令�,再單擊“確定”按鈕����;同樣地再依次執(zhí)行“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”字符串命令�,最后再重新啟動一下本地工作站系統(tǒng),如此一來本地連接圖標就會被自動隱藏起來了�,非法用戶自然也就沒有辦法進入網絡參數設置窗口,進行胡亂更改IP地址操作了��。
