20CN网络安全小组论坛 - 菜鸟乐园 - 这是一个的问题啊？

论坛: 菜鸟乐园标题: 这是一个的问题啊？

复制本贴地址

作者: sbqqmtd [sbqqmtd]

论坛用户

请问有那位朋友可以告诉我如何防止自己的IP盗有。
最好能说出多几种啊
谢谢啊

地主发表时间: 01/09 14:04

回复: empty [empty]

论坛用户

MAC绑定

B1层发表时间: 01/09 14:18

回复: vishx [vishx]

论坛用户

IP绑定”也不安全

　

随着Internet的发展，上网成为人们日常工作和学习的一部分，随着上网的人越来越多，对网络的管理就显的益发重要起来。在网络管理中要求有的计算机可以连入Internet，有的计算机不能连入Internet，连入Internet的计算机有的可以出国，有的不能出国，满足这些要求的解决方案之一就是在路由器上将被管理的计算机的IP地址和MAC地址绑定到一起。人们常常提到的IP地址盗用或MAC地址盗用，指的就是针对这种管理方式的黑客行为，IP地址盗用的更形象的说法就是“他上网你付帐”，常常会给企业单位带来大量不应有的经济损失。下面主要讨论一下这种方法存在的一些问题和改进措施。

　

标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。

　

用以太网卡为例，常见的关于MAC地址的说法是：“以太网卡MAC地址由六段共12位十六进制数组成，其中前6位由国际统一管理，网卡制造厂家申请到一个或多个只有前6位的地址后，为自己生产的网卡填入后6位，从而保证了全球网络物理地址（MAC地址）的唯一性。”这种说法给人一种误解，认为作为主机标识的MAC地址不能更改或伪造，至少是很难更改或伪造，把网卡的硬件标识同MAC地址的概念看成完全相同。这种误解导致在进行网络管理的时候，不加考虑就采用MAC地址于IP地址绑定的方式来防止IP地址被盗用，而不进一步考虑是否真的符合实际情况。

　

一台主机的MAC地址真的不能更改吗？让我们考虑一下以太网卡的工作机制，然后再来回答这个问题。以太网采用的工作方式是CSMA/CD技术，也就是说同一子网的所有主机上的网卡都会收到其它机器的广播包，网卡收到广播包后放到自己的缓冲区内，由网卡的驱动程序进行处理。常见的情况是，如果收到的报文中包含的MAC地址同此网卡的MAC地址相一致，则将报文中数据交给上层（网络层）的处理软件进行处理；地址不符则丢弃报文。对上层（网络层）来的数据，以太网卡驱动程序把此网卡的MAC地址同数据封装到一起组成以太帧，然后广播出去。为了加快处理速度和考虑到其它网络应用，网卡的驱动程序并不是每次处理一帧都去网卡的地址存储器中读出MAC地址，而是将MAC地址放入缓存中。这种工作机制就决定了应用程序（或操作人员）可以用改变缓存中的数据或指定网卡驱动程序读取某个缓存的方式来改变发送报文中包含的MAC地址或接收与本机网卡MAC地址不同的发向其它MAC地址的报文。

　

例如：

在UNIX系统中，利用命令

ifconfig eth0 down //暂停网卡工作

ifconfig eth0 ether 11:22:33:44:55:66 //将此网卡MAC地址改为11:22:33:44:55:66

ifconfig eth0 up //恢复网卡工作

在Windows9x系统中，修改注册表

在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\classes\net\000\下添加新键NetworkAddress，键值为112233445566，然后重新启动机器。

在WindowsNT系统中，修改注册表

在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\yourNICname\下添加新键NetworkAddress，键值为112233445566，然后重新启动机器。

当然，也可以采用物理方法，现在的以太网卡，其MAC地址一般写在EPROM中，用擦写EPROM的设备就可以更改MAC地址，不过在可用软件简单的处理的情况下，采用物理方法意义不大。

　

通过上面的讨论可以看到，对同一子网内简单的采用MAC地址同IP地址绑定的方法，不一定能很好的解决IP地址盗用问题。解决IP地址盗用问题比较有效的措施是采用主机连入的Swith端口、MAC地址、IP地址三者同时绑定。

　

B2层发表时间: 01/09 20:46

论坛: 菜鸟乐园