故障现象
随着TCP/IP协议的日益流行,IP地址的地位在局域网中显得越来越重要了,甚至可以这么说,一台网络客户机如果没有得到合法的IP地址,它将不能享受网络中的任何服务。
正是因为这个原因,局域网中的一些用户经常会通过伪造IP地址等方法,骗取上网权限,这一行为不但会影响到他人正常的上网活动,同时也会给网络管理员的日常网络管理带来许多不必要的麻烦。在接下来的这个例子中,就将介绍一些笔者关于反IP地址盗用的经历和心得。
笔者所在的公司采用DHCP服务器为公司内部网络用户动态分配IP地址,所以,只要能够从物理上连接到公司局域网的客户机都可以正常获得IP地址,从而访问局域网中的资源。
不过,并不是所有这些能够接入局域网的用户都能访问Internet,我们在公司的Internet出口上,安装了一台代理服务器,当局域网中的客户机需要连接到Internet时,必须要通过这台代理服务器的身份验证(输入连接Internet的帐号和密码),这样一来,限制了局域网中访问Internet客户机的数量,仅仅保证那些在Internet上有业务往来的客户才能访问Internet。
不过这一方法也带来一定的副作用,那就是有一部分计算机操作水平较低的Internet网络用户在使用上网客户端软件时经常会出现错误,为解决这些错误,就经常需要网络管理员奔赴现场进行技术指导,从而增加了网络维护的工作量。
为此,我们采用在客户机上手工指定IP地址,并在DHCP服务器上将该IP地址设置为保留地址,同时在代理服务器上将该IP地址设置成允许直接访问Internet的专线用户的方法,简化用户的上网操作。可是问题也随之而来,在使用过程中,一些用户经常向我们反映,在原来正常使用的计算机上,会突然弹出一个提示框,提示系统IP地址与某一硬件地址冲突,致使原来能够正常使用的计算机不能访问网络上的任何资源。
诊断过程 根据以往的经验,造成这一故障的原因是局域网中某一客户将自己计算机的IP地址设置成与当前计算机相同的IP地址,而对于Windows操作系统来说,如果当前计算机的网络适配器在网络中发现与本地计算机IP地址相同的计算机,为了避免冲突和网络数据丢失,则自动将自己计算机的IP地址失效。于是,就出现了当前计算机无法连接到网络的故障。
知道了故障原因后,为了不耽误该上网用户的正常使用,笔者采用一种临时恢复措施:暂时将出现故障的客户机的网线拔掉,然后在“控制面板”→“系统”→“设备管理器”中,将该计算机的网卡禁用后重新启动(见右图)
接下来,再将该客户机的网线重新插入到网卡的RJ—45接口上,这样一来,尽管该计算机还同另外一台计算机存在IP地址冲突,但是由于该计算机IP地址申告在后,所以该计算机已经能够正常上网,并能访问Internet了。
为了查找随意设置IP的客户机,笔者将冲突提示信息中的硬件MAC地址记录下来,并从笔者事先准备好的公司局域网所在客户计算机的网卡MAC地址表中,迅速地找到了未经授权私自设置IP地址计算机所在的业务部门,接下来,赶赴该部门将这台计算机的IP地址改回自动获得状态 。至此,这起因为其他未经授权用户设置IP地址产生冲突的上网故障便完全解决了。
事后经过了解,该部门一个新调入的工作人员因为该处上不了Internet,便将自己的计算机IP地址设置成原来部门能够上网的IP地址,从而达到未经授权接入Internet的目的,为此我们通过该部门的领导对其进行了批评教育。
为了进一步防止这类故障的发生,笔者还在代理服务器上将所有拥有上网权限的客户机的IP地址与所记录该计算机的网卡地址进行捆绑。具体命令是:
ARP —s 192.168.0.4.00—EO—4C—6C—08—75
这样,就将192.168.0.4的IP地址与网卡地址为00—EO—4C—6C—08—75的计算机绑定在一起了,即使别人盗用该IP地址(192.168.0.4),也无法通过代理服务器上网。其中应注意的是,此项命令仅在局域网中上网的代理服务器端有用,还要是静态IP地址,而一般的MODEM拔号上网或动态IP地址就不起作用,ARP各参数的功能如下:
ARP —s —d —a
—s 将相应的IP地址与物理地址捆绑。
—d 删除所给出的IP地址与物理地址的捆绑。
—a 通过查询Arp协议表来显示IP地址和对应物理地址情况。
作为一个网络管理人员,如果对MAC地址和IP的绑定能灵活熟练地运用,就会创建一个十分安全有利的环境,可以大大减小安全隐患。
这样,即便未经授权的计算机手工指定了IP地址,但是由于该计算机的MAC地址与计费服务器中绑定的MAC地址不相同,该计算机同样不能访问Internet.
排除心得 将IP地址与客户机的网卡MAC地址绑定的方法,可以在一定程度上弥补IP地址可以任意指定的缺陷,杜绝IP地址盗用现象的发生。
不过,由于网卡的MAC地址也可以重新设置(只不过设置的方法比较复杂罢了),因此,这种绑定MAC地址的方法也并不保险,解决IP地址盗用问题较为有效的措施,应该是将与客户相连的交换机端口、MAC地址、IP地址三都同时绑定,但是这一方案将会增加网络管理员的工作强度,同时也会降低客户机的移动性能。
其实,在实际使用当中,解决IP地址盗用问题,还可以采用网络管理与行政管理相结合的手段,对于IP盗用者一经发现,轻则在一段时间限制其接入局域网络,重责对其采取行政处罚,笔者单位就采用上述方法,并取得了一定的效果。
另外,对于网络中主机数量比较多的局域网,通过在交换机中查找MAC地址对应的端口号,相对比较困难。所以,为了快速追查到盗用IP地址的客户机,网络管理员应该事先准备一张MAC地址表,通过该表将局域内部所有客户机的MAC与该客户所在部门对应起来,这样在发生IP地址冲突时,只要通过操作提示信息中的MAC地址,就能够快速的找到盗用主机的所在位置。