摘要:
在网络环境中,IP地址和MAC地址是识别设备身份的重要标识。但是,这些地址也可能被恶意用户篡改,从而给网络带来安全隐患。下面为大家介绍一些防止IP地址和MAC地址被恶意篡改的方法:... 在网络环境中,IP地址和MAC地址是识别设备身份的重要标识。但是,这些地址也可能被恶意用户篡改,从而给网络带来安全隐患。下面为大家介绍一些防止 IP 地址和 MAC 地址被恶意篡改的方法:
通过采取加密通信、静态地址配置、MAC地址绑定、网络准入控制以及IP和MAC地址白名单等措施,可以有效防止IP地址和MAC地址被恶意篡改,保护网络安全。
求助局域网内如何限制乱改ip,dhcp和绑定mac
在一个局域网内,禁止乱改IP地址有如下几个方法:方法一,也是底层的最根本最有效的方法现在很多单位都配置了局域网,为了便于进行网络管理,同时为了提高的登录网络的速度,网管人员一般都为局域网中的每台电脑都指定了IP地址。 但是在Windows环境下其他用户很容易修改IP地址配置,这样就很容易造成 IP地址冲突等故障,不利于网络的正常管理。 因此,最好能为IP地址加上一把“锁”,这样别人就不能轻易更改IP地址了。 在Windows 2000XP以上系统版本中存在,和三个动态库文件,它们实际上是系统控件,在系统的安装过程中会自动注册这些控件。 这三个控件和系统的网络功能紧密相关。 当修改IP地址时,就需要用到这三个控件。 因此,只要将上述三个控件卸载,就可以屏蔽网络连接窗口,这样无论是双击桌面上的网上邻居图标,还是在控制面板中双击“网络连接”项,都无法正常进入网络连接窗口,也就无法在本地连接属性窗口中修改IP地址了。 具体操作是这样的:在“开始运行”中输入“”,确认后打开CMD窗口,在其中分别执行“Regsvr32 u ”、“Regsvr32 u ”、“Regsvr32 u ”命令,就可以将上述控件从系统中卸载。 当然,如果以后需要修改IP地址的话,可以把上述控件逐一注册即可。 注册的方法很简单,只要将上述命令中的“u”参数去掉,就可以执行注册操作了。 例如执行命令“Regsvr32 ”就完成了控件的注册。 方法二: 利用组策略,屏蔽网上邻居里LAN的属性1、运行里“管理模板”中“网络”禁止访问LAN连接的属性,(为管理员启用 WIN2000 网络设置 )把其启用了。 (1)、如果你是老系统的话,只要在配好IP后,把%windir%文件改名或者改扩展名(这个自己一定要记得,预防到时自己找不到了,又要去拿光盘来抽,很麻烦)比如,我把它改成,这样的话,网络的属性是不能用的了,这样他们就改不到IP了(注:可以用REN命令在命令提示下进行。 另外,%windir%是你的系统盘)。 (2)、如果是2KXP系统的话(最好的方法就是不给管理权限,但这样不好,他们要装软件或什么的都要找你麻烦)。 在配好IP后,进组策略(在命令行输入,最好是进了CMD后在命令提示下进),在“用户配置->管理模板->网络->网络及拨号连接->禁止访问LAN连接的属性”双击后,在出现的对话框里面选“启用”,就大功告成了。 但是组策略只要有管理权限的都可以打开,所以其它也没什么更好的方法不让别人操作。 2,建立一个域,而后新建一个GPO(组策略),设置禁止访问LAN属性,而后再新建一个OU,把需要屏蔽这个功能的计算机全部加入到这个OU里,而后再把组策略LINK到这个OU上,就行了。 这个是批量修改的办法。 只要控制好LINK权限就行,同时要强制计算机继承组策略。 3,注册表可以修改。 。 具体键值在这下面:[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections]新建dword值:NC_EnableAdminProhibits ,值为1这个也是dword,NC_LanProperties,值为04,用eXeScope修改DLL文件也可以做到。
IP地址冲突防止技巧
网络中,局域网中,在管理、维护局域网的过程中,网络管理员往往都会担负起普通工作站IP地址的分配任务,普通工作站只有通过正确地注册后才能被局域网认为是合法工作站。 在局域网工作环境中,任何一台普通工作站使用没有经过特别授权的IP地址时,都会被局域网网络当作是非法IP地址在使用。
不过在Windows操作系统环境下,普通工作站用户常常可以根据自己的意愿随意修改本地工作站的IP地址参数,那样一来局域网网络就容易频繁发生IP地址冲突的故障现象,这种现象会“干扰” 局域网的稳定运行,甚至会给日常的办公效率带来严重的影响。那么作为网络管理员来说,我们究竟该采取什么措施,不让IP地址冲突“干扰”局域网网络的正常、高效运行呢?现在本文就为各位朋友提出一些有效的应对办法,以帮助各位巧妙地管理好自己单位的局域网,确保局域网网络的运行效率不会受到IP地址冲突现象的“干扰”!
制造IP地址冲突的动机
局域网中发生IP地址冲突故障现象,不仅仅是简单的技术问题,并且还是一个网络管理员必须要认真面对的管理问题。 网络管理员只有找到该故障现象存在的理由,想方设法地消灭该故障现象存在的基础,才可能从源头上杜绝IP地址冲突故障现象的发生。
总结各种IP地址冲突故障现象,我们不难分析得出制造IP 地址冲突现象的动机主要有下面几种情况:一是普通工作站在长时间使用之后,因频繁地安装、卸载各种应用程序或杀毒软件,甚至由于操作者本人不小心发生了错误操作,导致本地工作站系统发生了崩溃现象,不得已工作站用户重新安装了操作系统,并且随意设置了工作站的上网参数,最终在无意中造成了IP地址冲突故障现象,这种情况比较普通,网络管理员只要善加管理,就能有效避免由这种情况引起的IP地址冲突故障现象;二是局域网甚至Internet网络中的一些非法攻击者,企图破坏或干扰本地局域网中重要网络设备的稳定运行,最终达到干扰局域网稳定运行的目的,例如非法攻击者想方设法地制造IP地址冲突故障现象,以便达到破坏局域网中服务器或交换机等重要设备的稳定运行,最终造成整个局域网无法正常工作;三是一些别有用心的用户想拥有那些被非法使用的IP地址所获取的各种特殊访问权限,最常见的就是想获得Internet访问权限。
为了保护本地工作站的IP地址不被非法用户随意盗用,有一些熟悉网络的朋友往往会采取地址绑定的方法,将网络管理员事先分配给本地工作站的IP地址绑定到对应工作站的网卡设备上,那样一来即使非法用户盗用了本地工作站的IP地址,也不会干扰本地工作站的正常上网访问。 对于采取了绑定措施的IP地址来说,非法用户同样也找到了盗用办法,那就是同时盗用合法工作站的IP地址与网卡设备的MAC地址,然后冒用合法主机的身份进行恶意破坏。 例如,非法用户在盗用了合法工作站的IP地址后,发现盗用后的IP地址不能正常连接到局域网网络中时,他们会认为该 IP地址很可能被绑定了,于是他们会尝试使用MAC地址扫描器之类的工作来查看、盗用合法工作站的网卡MAC地址,在盗取合法工作站的网卡MAC地址后,非法用户再将自己工作站的IP地址修改成合法MAC地址就可以了。 修改网卡MAC地址的方法很简单,用户只要依次单击本地工作站系统桌面中的“开始”/“ 设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开本地连接属性设置对话框;单击该对话框中的“常规”选项卡,并在对应选项设置页面中单击“配置”按钮,进入本地工作站的目标网卡属性设置对话框;继续单击该设置对话框中的“高级”选项卡,打开如图1所示的高级选项设置页面,选中该设置页面左侧“属性”列表框中的“Network Address”选项,并将该选项的数值设置成盗用得来的网卡MAC地址,最后单击“确定”按钮就可以完成网卡物理地址的修改任务了。
此外,对于一些熟悉攻击技术的非法用户来说,他们常常会利用IP地址电子欺骗技术来伪造某台工作站的IP地址,不过这个电子欺骗技术通常需要借助编程手段来实现。 例如,非法攻击者可以通过SOCKET编程,向局域网网络发送带有虚假的源IP地址的通信数据包,从而达到欺骗攻击的目的。
阻止IP地址冲突的手段
了解了制造IP地址冲突的几种方法后,我们就能根据不同的制造方法采取不同的阻止手段了。
在使用静态IP地址的局域网工作环境中,网络管理员可以使用IP-MAC地址绑定方法,也就是使用静态路由技术的方法来阻止普通工作站用户随意进入 TCP/IP属性设置窗口,胡乱修改本地系统的IP地址。 考虑到在相同的局域网网段中,普通工作站的网络寻径不是根据主机的IP地址而是根据主机的物理地址来进行的,在不同网段之间通信时才会根据主机的IP地址进行网络寻径,所以作为局域网网关的路由器设备上通常保存有IP-MAC的动态对应表,这是由 ARP通信协议自动生成并维护的。 我们可以进入局域网路由器的后台管理界面,从中找到配置ARP表的设置选项,对静态的ARP路由表进行个性化指定,日后局域网路由器设备会自动依照静态的ARP表检查通信数据包,要是无法对应,那么就不会进行数据转发操作。 使用这种手段,网络管理员能够轻松地阻止非法攻击者在不修改网卡设备MAC地址的情况下,冒用合法工作站IP地址进行非法网络访问。
为了防止非法用户通过修改网卡MAC地址的方法来制造IP地址冲突故障现象,我们可以利用局域网交换机的端口绑定功能,来有效化解非法用户通过修改网卡MAC地址的方法来适应静态ARP表的问题。 大家知道,常见的可管理交换机都支持端口绑定功能,我们可以利用该功能提供的端口地址过滤模式,来实现阻止IP地址冲突的目的,因为交换机的端口地址过滤模式往往会允许每一个交换机连接端口仅允许具有合法MAC地址的工作站访问网络,任何具有不合法MAC地址的工作站都将被交换机拒绝访问网络。
在组网规模较大的工作环境中,我们还可以通过划分虚拟子网的方法,来阻止IP地址冲突现象的发生。 从严格意义上来说,划分虚拟工作子网其实并不属于技术措施,而是管理措施与技术措施结合在一起的手段。 将那些具有相同访问行为的IP地址统一划分到相同的虚拟工作子网中,并正确设置好相关的路由策略,这样一来我们就能有效拒绝非法攻击者盗用其他工作子网IP地址现象的发生。
此外,我们在管理、维护局域网的过程中,尽量少用那些直接针对IP地址授权的管理模式,而应该综合运用加密、口令、VPN连接或其他身份认证机制,建立多层次的严密的安全体系,那样一来就能有效降低IP地址冲突所带来的安全威胁了。防范IP地址冲突的管理
前面,本文也曾提到局域网中发生IP地址冲突故障现象,不仅仅是简单的技术问题,同时还是一个网络管理员必须要认真面对的管理问题。 为此,在采用了各种技术措施防范IP地址冲突现象发生外,我们还应该更加重视局域网的网络管理问题。
那些被非法盗用的IP地址在局域网网络中运行时,有可能会产生下面几种影响:一是在合法工作站没有连到局域网的情况下,冒用合法工作站使用的IP地址进行网络连接操作,最终达到窃取合法工作站各种访问权限的目的;二是在合法工作站已经连到局域网的情况下,擅自盗用合法工作站使用的IP地址时,会造成合法工作站出现IP地址发生资源冲突的故障提示,最终造成合法工作站不能正常访问网络;三是盗用了合法工作站的IP地址后,可以利用该IP地址在局域网网络中进行各种恶意破坏活动。制造
IP地址冲突的方法
要想避免IP地址冲突故障现象的发生,我们自然应该先了解制造IP地址冲突的方法,只有这样我们才能对症下药,采取针对性措施来拒绝IP地址冲突“干扰”局域网的正常运行。
一般来说,在局域网投入运行的初期,网络管理员都会为局域网中的所有工作站分配一个合适的IP地址。 不过,在局域网工作站长时间运行后,很可能会出现系统瘫痪或者其他一些故障现象,导致工作站的上网参数发生了丢失,此时工作站用户很可能会自己动手,进入本地工作站系统的TCP/IP属性设置窗口,在其中随意为本地工作站分配一个IP地址,该IP地址由于不是网络管理员事先划分好的那个IP地址,这样一来自然就形成了IP地址冲突现象了。 所以,在使用了静态IP地址的局域网工作环境中,普通工作站用户可以很容易地打开本地系统的TCP/IP属性设置窗口,从而可以随意更改本地工作站使用的IP地址。
如何正确处置IP地址冲突和防止修改MAC地址的方法
恢复电脑的正常通信。 1、记录现在使用的IP地址,以便查找擅自修改IP地址的电脑。 2、通过禁用、启用网卡,重新获取IP地址,恢复网络正常通信。 查找私自配置IP地址的主机1、IP地址冲突电脑原来使用的IP地址就是私自更改IP电脑正使用的IP。 2、使用ping命令,ping上述IP地址。 3、使用ARP-a命令显示ARP缓存,从中找出源IP地址对应的MAC地址。 4、在局域网中找到此MAC地址的电脑。