故障現象
隨著TCP/IP協議的日益流行,IP地址的地位在局域網中顯得越來越重要了,甚至可以這么說,一臺網絡客戶機如果沒有得到合法的IP地址,它將不能享受網絡中的任何服務。
正是因為這個原因,局域網中的一些用戶經常會通過偽造IP地址等方法,騙取上網權限,這一行為不但會影響到他人正常的上網活動,同時也會給網絡管理員的日常網絡管理帶來許多不必要的麻煩。在接下來的這個例子中,就將介紹一些筆者關于反IP地址盜用的經歷和心得。
筆者所在的公司采用DHCP服務器為公司內部網絡用戶動態分配IP地址,所以,只要能夠從物理上連接到公司局域網的客戶機都可以正常獲得IP地址,從而訪問局域網中的資源。
不過,并不是所有這些能夠接入局域網的用戶都能訪問Internet,我們在公司的Internet出口上,安裝了一臺代理服務器,當局域網中的客戶機需要連接到Internet時,必須要通過這臺代理服務器的身份驗證(輸入連接Internet的帳號和密碼),這樣一來,限制了局域網中訪問Internet客戶機的數量,僅僅保證那些在Internet上有業務往來的客戶才能訪問Internet。
不過這一方法也帶來一定的副作用,那就是有一部分計算機操作水平較低的Internet網絡用戶在使用上網客戶端軟件時經常會出現錯誤,為解決這些錯誤,就經常需要網絡管理員奔赴現場進行技術指導,從而增加了網絡維護的工作量。
為此,我們采用在客戶機上手工指定IP地址,并在DHCP服務器上將該IP地址設置為保留地址,同時在代理服務器上將該IP地址設置成允許直接訪問Internet的專線用戶的方法,簡化用戶的上網操作。可是問題也隨之而來,在使用過程中,一些用戶經常向我們反映,在原來正常使用的計算機上,會突然彈出一個提示框,提示系統IP地址與某一硬件地址沖突,致使原來能夠正常使用的計算機不能訪問網絡上的任何資源。
診斷過程 根據以往的經驗,造成這一故障的原因是局域網中某一客戶將自己計算機的IP地址設置成與當前計算機相同的IP地址,而對于Windows操作系統來說,如果當前計算機的網絡適配器在網絡中發現與本地計算機IP地址相同的計算機,為了避免沖突和網絡數據丟失,則自動將自己計算機的IP地址失效。于是,就出現了當前計算機無法連接到網絡的故障。
知道了故障原因后,為了不耽誤該上網用戶的正常使用,筆者采用一種臨時恢復措施:暫時將出現故障的客戶機的網線拔掉,然后在“控制面板”→“系統”→“設備管理器”中,將該計算機的網卡禁用后重新啟動(見右圖)
接下來,再將該客戶機的網線重新插入到網卡的RJ—45接口上,這樣一來,盡管該計算機還同另外一臺計算機存在IP地址沖突,但是由于該計算機IP地址申告在后,所以該計算機已經能夠正常上網,并能訪問Internet了。
為了查找隨意設置IP的客戶機,筆者將沖突提示信息中的硬件MAC地址記錄下來,并從筆者事先準備好的公司局域網所在客戶計算機的網卡MAC地址表中,迅速地找到了未經授權私自設置IP地址計算機所在的業務部門,接下來,趕赴該部門將這臺計算機的IP地址改回自動獲得狀態 。至此,這起因為其他未經授權用戶設置IP地址產生沖突的上網故障便完全解決了。
事后經過了解,該部門一個新調入的工作人員因為該處上不了Internet,便將自己的計算機IP地址設置成原來部門能夠上網的IP地址,從而達到未經授權接入Internet的目的,為此我們通過該部門的領導對其進行了批評教育。
為了進一步防止這類故障的發生,筆者還在代理服務器上將所有擁有上網權限的客戶機的IP地址與所記錄該計算機的網卡地址進行捆綁。具體命令是:
ARP —s 192.168.0.4.00—EO—4C—6C—08—75
這樣,就將192.168.0.4的IP地址與網卡地址為00—EO—4C—6C—08—75的計算機綁定在一起了,即使別人盜用該IP地址(192.168.0.4),也無法通過代理服務器上網。其中應注意的是,此項命令僅在局域網中上網的代理服務器端有用,還要是靜態IP地址,而一般的MODEM拔號上網或動態IP地址就不起作用,ARP各參數的功能如下:
ARP —s —d —a
—s 將相應的IP地址與物理地址捆綁。
—d 刪除所給出的IP地址與物理地址的捆綁。
—a 通過查詢Arp協議表來顯示IP地址和對應物理地址情況。
作為一個網絡管理人員,如果對MAC地址和IP的綁定能靈活熟練地運用,就會創建一個十分安全有利的環境,可以大大減小安全隱患。
這樣,即便未經授權的計算機手工指定了IP地址,但是由于該計算機的MAC地址與計費服務器中綁定的MAC地址不相同,該計算機同樣不能訪問Internet.
排除心得 將IP地址與客戶機的網卡MAC地址綁定的方法,可以在一定程度上彌補IP地址可以任意指定的缺陷,杜絕IP地址盜用現象的發生。
不過,由于網卡的MAC地址也可以重新設置(只不過設置的方法比較復雜罷了),因此,這種綁定MAC地址的方法也并不保險,解決IP地址盜用問題較為有效的措施,應該是將與客戶相連的交換機端口、MAC地址、IP地址三都同時綁定,但是這一方案將會增加網絡管理員的工作強度,同時也會降低客戶機的移動性能。
其實,在實際使用當中,解決IP地址盜用問題,還可以采用網絡管理與行政管理相結合的手段,對于IP盜用者一經發現,輕則在一段時間限制其接入局域網絡,重責對其采取行政處罰,筆者單位就采用上述方法,并取得了一定的效果。
另外,對于網絡中主機數量比較多的局域網,通過在交換機中查找MAC地址對應的端口號,相對比較困難。所以,為了快速追查到盜用IP地址的客戶機,網絡管理員應該事先準備一張MAC地址表,通過該表將局域內部所有客戶機的MAC與該客戶所在部門對應起來,這樣在發生IP地址沖突時,只要通過操作提示信息中的MAC地址,就能夠快速的找到盜用主機的所在位置。
