簡單解決IP地址盜用

操作方法

• 01

  筆者所在區域網的有500多臺計算機，為了區分各類不同使用者，對不同使用者分配更詳細的存取許可權，我們採用的是設定固定IP的方法，而不是自動獲取IP地址。不過在實際使用中遇到了和其他LAN管理上的相同問題。那就是經常有使用者私自修改IP地址，從而造成網路衝突的問題。
  雖然很多網路公司可以提供硬體解決的辦法但價格不菲。俗話說窮人有窮人的辦法，筆者經過查詢資料發現了兩個行知有效的方法——代理伺服器IP與MAC地址繫結和交換機MAC地址與埠繫結的。將這兩個辦法結合起來有效的解決了非法使用者上網這個問題。
  如何檢視計算機MAC地址
  我們可以在98系統中執行winipcfg檢視MAC地址，在2000及其以上作業系統中執行ipconfig /all進行檢視。
  小提示：實際上網路管理員也可以利用Nbtstat命令來遠端獲得指定機器的MAC地址。在MS-DOS方式下鍵入命令「Nbtstat -a 遠端計算機名」，即可獲得指定機器的IP地址和MAC地址。不過這需要實現建立IPC連線，如果初次使用不會有任何反應。
  這裡告訴大家一個方便快捷的辦法那就是在執行「Nbtstat -a 遠端計算機名」前先使用一款掃描工具對整個區域網掃描，自動建立IPC連線。這樣執行「Nbtstat -a 遠端計算機名」就不會出現沒有任何反饋資訊的情況了。
  方法一：代理伺服器上IP與MAC地址的繫結
  這要根據區域網接入網際網路的方式不同而採用不同的辦法。如果是採用代理伺服器接入網際網路，那就可以在代理伺服器上使用——ARP -s IP地址 MAC地址
  例如：使用ARP -s 10、91、30、45 00-EO-4C-6C-08-75的命令，這樣就將靜態IP地址10、91、30、45與網路卡地址為00-EO-4C-6C-08-75的計算機繫結在一起了，即使別人盜用了IP地址192、168、1、4，也無法通過代理伺服器上網。
  小提示：ARP的對映資訊會在每次重新啟動計算機後消失，所以請將所有的對映命令儲存到一個批次處理BAT檔案中，並將這個檔案設定為隨系統啟動而載入，從而保證代理伺服器重新啟動ARP對映資訊也不會消失了。
  如果是通過路由器直接接入網際網路，最好通過硬體防火牆來實現IP與MAC地址的繫結。一般的硬體防火牆都具有這個功能，具體操作也非常簡單。鑑於篇幅有限這裡就不舉例介紹了。
  方法二：交換機的MAC地址與埠繫結
  上面提到的方法一雖然可以在一定程度上解決非法使用者網路接入的問題，但使用者還是可以通過修改登入檔，下載專用小工具等方法，輕鬆更改了本機的MAC地址，甚至於將本機的MAC地址和IP地址改得和代理伺服器一模一樣。非法使用者又可以非法使用網路了。因此方法二應運而生。
  將交換機的MAC地址與埠繫結後擅自改動本機網路卡的MAC地址，該機器的網路存取將因其MAC地址被交換機認定為非法而無法實現，自然也就不會對區域網造成干擾了。我們以CISCO交換機講解設定命令。
  登入進入交換機，輸入管理口令進入設定模式，敲入命令：(config)#mac_address_table permanent [MAC地址] [乙太網埠號]
  這樣逐一的將每個埠與相應的計算機MAC地址進行繫結，儲存退出後就徹底阻止了使用者的非法修改。當然其他品牌的交換機只要是可以網管的，大多可以按照此方法進行操作。
  總結：實際使用中筆者發現將兩個方法進行結合可以最大限度的阻止非法使用者的非法使用網路，效果很好。寫出來希望能為各位深陷此痛苦的網路管理員排憂解難。
• End