故障現(xiàn)象
隨著TCP/IP協(xié)議的日益流行,IP地址的地位在局域網(wǎng)中顯得越來(lái)越重要了,甚至可以這么說(shuō),一臺(tái)網(wǎng)絡(luò)客戶機(jī)如果沒(méi)有得到合法的IP地址,它將不能享受網(wǎng)絡(luò)中的任何服務(wù)。
正是因?yàn)檫@個(gè)原因,局域網(wǎng)中的一些用戶經(jīng)常會(huì)通過(guò)偽造IP地址等方法,騙取上網(wǎng)權(quán)限,這一行為不但會(huì)影響到他人正常的上網(wǎng)活動(dòng),同時(shí)也會(huì)給網(wǎng)絡(luò)管理員的日常網(wǎng)絡(luò)管理帶來(lái)許多不必要的麻煩。在接下來(lái)的這個(gè)例子中,就將介紹一些筆者關(guān)于反IP地址盜用的經(jīng)歷和心得。
筆者所在的公司采用DHCP服務(wù)器為公司內(nèi)部網(wǎng)絡(luò)用戶動(dòng)態(tài)分配IP地址,所以,只要能夠從物理上連接到公司局域網(wǎng)的客戶機(jī)都可以正常獲得IP地址,從而訪問(wèn)局域網(wǎng)中的資源。
不過(guò),并不是所有這些能夠接入局域網(wǎng)的用戶都能訪問(wèn)Internet,我們?cè)诠镜腎nternet出口上,安裝了一臺(tái)代理服務(wù)器,當(dāng)局域網(wǎng)中的客戶機(jī)需要連接到Internet時(shí),必須要通過(guò)這臺(tái)代理服務(wù)器的身份驗(yàn)證(輸入連接Internet的帳號(hào)和密碼),這樣一來(lái),限制了局域網(wǎng)中訪問(wèn)Internet客戶機(jī)的數(shù)量,僅僅保證那些在Internet上有業(yè)務(wù)往來(lái)的客戶才能訪問(wèn)Internet。
不過(guò)這一方法也帶來(lái)一定的副作用,那就是有一部分計(jì)算機(jī)操作水平較低的Internet網(wǎng)絡(luò)用戶在使用上網(wǎng)客戶端軟件時(shí)經(jīng)常會(huì)出現(xiàn)錯(cuò)誤,為解決這些錯(cuò)誤,就經(jīng)常需要網(wǎng)絡(luò)管理員奔赴現(xiàn)場(chǎng)進(jìn)行技術(shù)指導(dǎo),從而增加了網(wǎng)絡(luò)維護(hù)的工作量。
為此,我們采用在客戶機(jī)上手工指定IP地址,并在DHCP服務(wù)器上將該IP地址設(shè)置為保留地址,同時(shí)在代理服務(wù)器上將該IP地址設(shè)置成允許直接訪問(wèn)Internet的專線用戶的方法,簡(jiǎn)化用戶的上網(wǎng)操作。可是問(wèn)題也隨之而來(lái),在使用過(guò)程中,一些用戶經(jīng)常向我們反映,在原來(lái)正常使用的計(jì)算機(jī)上,會(huì)突然彈出一個(gè)提示框,提示系統(tǒng)IP地址與某一硬件地址沖突,致使原來(lái)能夠正常使用的計(jì)算機(jī)不能訪問(wèn)網(wǎng)絡(luò)上的任何資源。
診斷過(guò)程 根據(jù)以往的經(jīng)驗(yàn),造成這一故障的原因是局域網(wǎng)中某一客戶將自己計(jì)算機(jī)的IP地址設(shè)置成與當(dāng)前計(jì)算機(jī)相同的IP地址,而對(duì)于Windows操作系統(tǒng)來(lái)說(shuō),如果當(dāng)前計(jì)算機(jī)的網(wǎng)絡(luò)適配器在網(wǎng)絡(luò)中發(fā)現(xiàn)與本地計(jì)算機(jī)IP地址相同的計(jì)算機(jī),為了避免沖突和網(wǎng)絡(luò)數(shù)據(jù)丟失,則自動(dòng)將自己計(jì)算機(jī)的IP地址失效。于是,就出現(xiàn)了當(dāng)前計(jì)算機(jī)無(wú)法連接到網(wǎng)絡(luò)的故障。
知道了故障原因后,為了不耽誤該上網(wǎng)用戶的正常使用,筆者采用一種臨時(shí)恢復(fù)措施:暫時(shí)將出現(xiàn)故障的客戶機(jī)的網(wǎng)線拔掉,然后在“控制面板”→“系統(tǒng)”→“設(shè)備管理器”中,將該計(jì)算機(jī)的網(wǎng)卡禁用后重新啟動(dòng)(見(jiàn)右圖)
接下來(lái),再將該客戶機(jī)的網(wǎng)線重新插入到網(wǎng)卡的RJ—45接口上,這樣一來(lái),盡管該計(jì)算機(jī)還同另外一臺(tái)計(jì)算機(jī)存在IP地址沖突,但是由于該計(jì)算機(jī)IP地址申告在后,所以該計(jì)算機(jī)已經(jīng)能夠正常上網(wǎng),并能訪問(wèn)Internet了。
為了查找隨意設(shè)置IP的客戶機(jī),筆者將沖突提示信息中的硬件MAC地址記錄下來(lái),并從筆者事先準(zhǔn)備好的公司局域網(wǎng)所在客戶計(jì)算機(jī)的網(wǎng)卡MAC地址表中,迅速地找到了未經(jīng)授權(quán)私自設(shè)置IP地址計(jì)算機(jī)所在的業(yè)務(wù)部門,接下來(lái),趕赴該部門將這臺(tái)計(jì)算機(jī)的IP地址改回自動(dòng)獲得狀態(tài) 。至此,這起因?yàn)槠渌唇?jīng)授權(quán)用戶設(shè)置IP地址產(chǎn)生沖突的上網(wǎng)故障便完全解決了。
事后經(jīng)過(guò)了解,該部門一個(gè)新調(diào)入的工作人員因?yàn)樵撎幧喜涣薎nternet,便將自己的計(jì)算機(jī)IP地址設(shè)置成原來(lái)部門能夠上網(wǎng)的IP地址,從而達(dá)到未經(jīng)授權(quán)接入Internet的目的,為此我們通過(guò)該部門的領(lǐng)導(dǎo)對(duì)其進(jìn)行了批評(píng)教育。
為了進(jìn)一步防止這類故障的發(fā)生,筆者還在代理服務(wù)器上將所有擁有上網(wǎng)權(quán)限的客戶機(jī)的IP地址與所記錄該計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁。具體命令是:
ARP —s 192.168.0.4.00—EO—4C—6C—08—75
這樣,就將192.168.0.4的IP地址與網(wǎng)卡地址為00—EO—4C—6C—08—75的計(jì)算機(jī)綁定在一起了,即使別人盜用該IP地址(192.168.0.4),也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)。其中應(yīng)注意的是,此項(xiàng)命令僅在局域網(wǎng)中上網(wǎng)的代理服務(wù)器端有用,還要是靜態(tài)IP地址,而一般的MODEM拔號(hào)上網(wǎng)或動(dòng)態(tài)IP地址就不起作用,ARP各參數(shù)的功能如下:
ARP —s —d —a
—s 將相應(yīng)的IP地址與物理地址捆綁。
—d 刪除所給出的IP地址與物理地址的捆綁。
—a 通過(guò)查詢Arp協(xié)議表來(lái)顯示IP地址和對(duì)應(yīng)物理地址情況。
作為一個(gè)網(wǎng)絡(luò)管理人員,如果對(duì)MAC地址和IP的綁定能靈活熟練地運(yùn)用,就會(huì)創(chuàng)建一個(gè)十分安全有利的環(huán)境,可以大大減小安全隱患。
這樣,即便未經(jīng)授權(quán)的計(jì)算機(jī)手工指定了IP地址,但是由于該計(jì)算機(jī)的MAC地址與計(jì)費(fèi)服務(wù)器中綁定的MAC地址不相同,該計(jì)算機(jī)同樣不能訪問(wèn)Internet.
排除心得 將IP地址與客戶機(jī)的網(wǎng)卡MAC地址綁定的方法,可以在一定程度上彌補(bǔ)IP地址可以任意指定的缺陷,杜絕IP地址盜用現(xiàn)象的發(fā)生。
不過(guò),由于網(wǎng)卡的MAC地址也可以重新設(shè)置(只不過(guò)設(shè)置的方法比較復(fù)雜罷了),因此,這種綁定MAC地址的方法也并不保險(xiǎn),解決IP地址盜用問(wèn)題較為有效的措施,應(yīng)該是將與客戶相連的交換機(jī)端口、MAC地址、IP地址三都同時(shí)綁定,但是這一方案將會(huì)增加網(wǎng)絡(luò)管理員的工作強(qiáng)度,同時(shí)也會(huì)降低客戶機(jī)的移動(dòng)性能。
其實(shí),在實(shí)際使用當(dāng)中,解決IP地址盜用問(wèn)題,還可以采用網(wǎng)絡(luò)管理與行政管理相結(jié)合的手段,對(duì)于IP盜用者一經(jīng)發(fā)現(xiàn),輕則在一段時(shí)間限制其接入局域網(wǎng)絡(luò),重責(zé)對(duì)其采取行政處罰,筆者單位就采用上述方法,并取得了一定的效果。
另外,對(duì)于網(wǎng)絡(luò)中主機(jī)數(shù)量比較多的局域網(wǎng),通過(guò)在交換機(jī)中查找MAC地址對(duì)應(yīng)的端口號(hào),相對(duì)比較困難。所以,為了快速追查到盜用IP地址的客戶機(jī),網(wǎng)絡(luò)管理員應(yīng)該事先準(zhǔn)備一張MAC地址表,通過(guò)該表將局域內(nèi)部所有客戶機(jī)的MAC與該客戶所在部門對(duì)應(yīng)起來(lái),這樣在發(fā)生IP地址沖突時(shí),只要通過(guò)操作提示信息中的MAC地址,就能夠快速的找到盜用主機(jī)的所在位置。
