在管理、维护局域网的过程中,网络管理员往往都会担负起普通工作站IP地址的分配任务,普通工作站只有通过正确地注册后才能被局域网认为是合法工作站。在局域网工作环境中,任何一台普通工作站使用没有经过特别授权的IP地址时,都会被局域网网络当作是非法IP地址在使用。不过在Windows操作系统环境下,普通工作站用户常常可以根据自己的意愿随意修改本地工作站的IP地址参数,那样一来局域网网络就容易频繁发生IP地址冲突的故障现象,这种现象会“干扰”局域网的稳定运行,甚至会给日常的办公效率带来严重的影响。那么作为网络管理员来说,我们究竟该采取什么措施,不让IP地址冲突“干扰”局域网网络的正常、高效运行呢?现在本文就为各位朋友提出一些有效的应对办法,以帮助各位巧妙地管理好自己单位的局域网,确保局域网网络的运行效率不会受到IP地址冲突现象的“干扰”!
制造IP地址冲突的动机
局域网中发生IP地址冲突故障现象,不仅仅是简单的技术问题,并且还是一个网络管理员必须要认真面对的管理问题。网络管理员只有找到该故障现象存在的理由,想方设法地消灭该故障现象存在的基础,才可能从源头上杜绝IP地址冲突故障现象的发生。总结各种IP地址冲突故障现象,我们不难分析得出制造IP地址冲突现象的动机主要有下面几种情况:一是普通工作站在长时间使用之后,因频繁地安装、卸载各种应用程序或杀毒软件,甚至由于操作者本人不小心发生了错误操作,导致本地工作站系统发生了崩溃现象,不得已工作站用户重新安装了操作系统,并且随意设置了工作站的上网参数,最终在无意中造成了IP地址冲突故障现象,这种情况比较普通,网络管理员只要善加管理,就能有效避免由这种情况引起的IP地址冲突故障现象;二是局域网甚至Internet网络中的一些非法攻击者,企图破坏或干扰本地局域网中重要网络设备的稳定运行,最终达到干扰局域网稳定运行的目的,例如非法攻击者想方设法地制造IP地址冲突故障现象,以便达到破坏局域网中服务器或交换机等重要设备的稳定运行,最终造成整个局域网无法正常工作;三是一些别有用心的用户想拥有那些被非法使用的IP地址所获取的各种特殊访问权限,最常见的就是想获得Internet访问权限。
那些被非法盗用的IP地址在局域网网络中运行时,有可能会产生下面几种影响:一是在合法工作站没有连到局域网的情况下,冒用合法工作站使用的IP地址进行网络连接操作,最终达到窃取合法工作站各种访问权限的目的;二是在合法工作站已经连到局域网的情况下,擅自盗用合法工作站使用的IP地址时,会造成合法工作站出现IP地址发生资源冲突的故障提示,最终造成合法工作站不能正常访问网络;三是盗用了合法工作站的IP地址后,可以利用该IP地址在局域网网络中进行各种恶意破坏活动。
制造IP地址冲突的方法
要想避免IP地址冲突故障现象的发生,我们自然应该先了解制造IP地址冲突的方法,只有这样我们才能对症下药,采取针对性措施来拒绝IP地址冲突“干扰”局域网的正常运行。
一般来说,在局域网投入运行的初期,网络管理员都会为局域网中的所有工作站分配一个合适的IP地址。不过,在局域网工作站长时间运行后,很可能会出现系统瘫痪或者其他一些故障现象,导致工作站的上网参数发生了丢失,此时工作站用户很可能会自己动手,进入本地工作站系统的TCP/IP属性设置窗口,在其中随意为本地工作站分配一个IP地址,该IP地址由于不是网络管理员事先划分好的那个IP地址,这样一来自然就形成了IP地址冲突现象了。所以,在使用了静态IP地址的局域网工作环境中,普通工作站用户可以很容易地打开本地系统的TCP/IP属性设置窗口,从而可以随意更改本地工作站使用的IP地址。
为了保护本地工作站的IP地址不被非法用户随意盗用,有一些熟悉网络的朋友往往会采取地址绑定的方法,将网络管理员事先分配给本地工作站的IP地址绑定到对应工作站的网卡设备上,那样一来即使非法用户盗用了本地工作站的IP地址,也不会干扰本地工作站的正常上网访问。对于采取了绑定措施的IP地址来说,非法用户同样也找到了盗用办法,那就是同时盗用合法工作站的IP地址与网卡设备的MAC地址,然后冒用合法主机的身份进行恶意破坏。例如,非法用户在盗用了合法工作站的IP地址后,发现盗用后的IP地址不能正常连接到局域网网络中时,他们会认为该IP地址很可能被绑定了,于是他们会尝试使用MAC地址扫描器之类的工作来查看、盗用合法工作站的网卡MAC地址,在盗取合法工作站的网卡MAC地址后,非法用户再将自己工作站的IP地址修改成合法MAC地址就可以了。修改网卡MAC地址的方法很简单,用户只要依次单击本地工作站系统桌面中的“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开本地连接属性设置对话框;单击该对话框中的“常规”选项卡,并在对应选项设置页面中单击“配置”按钮,进入本地工作站的目标网卡属性设置对话框;继续单击该设置对话框中的“高级”选项卡,打开如图1所示的高级选项设置页面,选中该设置页面左侧“属性”列表框中的“Network Address”选项,并将该选项的数值设置成盗用得来的网卡MAC地址,最后单击“确定”按钮就可以完成网卡物理地址的修改任务了。
图1
此外,对于一些熟悉攻击技术的非法用户来说,他们常常会利用IP地址电子欺骗技术来伪造某台工作站的IP地址,不过这个电子欺骗技术通常需要借助编程手段来实现。例如,非法攻击者可以通过SOCKET编程,向局域网网络发送带有虚假的源IP地址的通信数据包,从而达到欺骗攻击的目的。
阻止IP地址冲突的手段
了解了制造IP地址冲突的几种方法后,我们就能根据不同的制造方法采取不同的阻止手段了。
在使用静态IP地址的局域网工作环境中,网络管理员可以使用IP-MAC地址绑定方法,也就是使用静态路由技术的方法来阻止普通工作站用户随意进入TCP/IP属性设置窗口,胡乱修改本地系统的IP地址。考虑到在相同的局域网网段中,普通工作站的网络寻径不是根据主机的IP地址而是根据主机的物理地址来进行的,在不同网段之间通信时才会根据主机的IP地址进行网络寻径,所以作为局域网网关的路由器设备上通常保存有IP-MAC的动态对应表,这是由ARP通信协议自动生成并维护的。我们可以进入局域网路由器的后台管理界面,从中找到配置ARP表的设置选项,对静态的ARP路由表进行个性化指定,日后局域网路由器设备会自动依照静态的ARP表检查通信数据包,要是无法对应,那么就不会进行数据转发操作。使用这种手段,网络管理员能够轻松地阻止非法攻击者在不修改网卡设备MAC地址的情况下,冒用合法工作站IP地址进行非法网络访问。
为了防止非法用户通过修改网卡MAC地址的方法来制造IP地址冲突故障现象,我们可以利用局域网交换机的端口绑定功能,来有效化解非法用户通过修改网卡MAC地址的方法来适应静态ARP表的问题。大家知道,常见的可管理交换机都支持端口绑定功能,我们可以利用该功能提供的端口地址过滤模式,来实现阻止IP地址冲突的目的,因为交换机的端口地址过滤模式往往会允许每一个交换机连接端口仅允许具有合法MAC地址的工作站访问网络 ,任何具有不合法MAC地址的工作站都将被交换机拒绝访问网络。
在组网规模较大的工作环境中,我们还可以通过划分虚拟子网的方法,来阻止IP地址冲突现象的发生。从严格意义上来说,划分虚拟工作子网其实并不属于技术措施,而是管理措施与技术措施结合在一起的手段。将那些具有相同访问行为的IP地址统一划分到相同的虚拟工作子网中,并正确设置好相关的路由策略,这样一来我们就能有效拒绝非法攻击者盗用其他工作子网IP地址现象的发生。
此外,我们在管理、维护局域网的过程中,尽量少用那些直接针对IP地址授权的管理模式,而应该综合运用加密、口令、VPN连接或其他身份认证机制,建立多层次的严密的安全体系,那样一来就能有效降低IP地址冲突所带来的安全威胁了。
防范IP地址冲突的管理
前面,本文也曾提到局域网中发生IP地址冲突故障现象,不仅仅是简单的技术问题,同时还是一个网络管理员必须要认真面对的管理问题。为此,在采用了各种技术措施防范IP地址冲突现象发生外,我们还应该更加重视局域网的网络管理问题。
首先应该加大宣传力度,让普通工作站用户都明白随意更改IP地址所带来的危害以及处罚措施,同时应该制定合适的IP地址管理制度,并要求每一位局域网用户都要严格遵守,例如建立的IP地址管理制度可以包括:IP地址申请分配制度,IP地址更改制度,IP地址临时分配制度,工作站网卡MAC地址登记管理制度,非法更改IP地址的处罚制度等。
其次综合运行各种技术措施,对那些经常犯规的局域网上网用户进行严格限制。由于非法盗用IP地址的行为,总是局域网网络中极少数非法用户的行为。所以,对于已经投入使用的局域网网络来说,网络管理员一定要仔细筛查当前存在的各种问题,然后有针对性地采取各种技术手段,对那些频繁违反IP地址管理制度的少数非法用户进行重点防范。
第三在为规模较大的局域网网络划分虚拟工作子网时,我们一定要同时兼顾网络访问的简易性和可管理性。在尽量不增加网络建设成本和管理成本的前提下,应该善于使用划分虚拟工作子网的手段,来将那些网络访问权限比较接近的工作站划分到相同的工作子网中,这样一来就会尽可能地弱化非法盗用IP地址所造成的安全威胁了。
第四应该注重对局域网管理系统的部署。使用专业的网络管理工具,能够轻松实现静态ARP路由表绑定的初始化操作,可以减轻网络管理员大量的重复性操作,从而达到提升局域网管理效率的目的。善于使用各类专业网络管理工具的日志记录功能以及日常监视功能,网络管理员就能够在第一时间有效地发现局域网中的IP地址、网卡MAC地址以及重要网络端口等异常变化情况,这样有利于提高网络管理员查找、解决网络故 障的效率。
小提示
对于普通的工作站用户来说,他们究竟该采取什么措施,才能避免自己的IP地址被非法用户随意修改呢?其实,普通工作站用户可以有多种选择,来有效保护本地系统的IP地址不会被非法用户修改;现在,本文就为各位朋友贡献几则保护方法:
第一可以修改本地系统组策略,禁止非法用户随意访问网络连接属性。在使用该方法保护IP地址时,我们可以用鼠标逐一单击“开始”、“运行”命令,在弹出的系统运行框中执行“gpedit.msc”命令,打开组策略编辑界面,依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”节点选项,之后用鼠标双击该节点选项下面的“禁止访问lan连接组件的属性”组策略选项,打开目标组策略的属性设置窗口(如图2所示),选中其中的“已启用”选项,再单击“确定”按钮,如此一来非法用户日后就不能随意打开TCP/IP属性设置窗口,去胡乱修改本地工作站的网卡IP地址了。
图2
第二可以“安抚”系统服务,来巧妙地将本地连接图标隐藏起来,那样的话非法用户也不容易进入TCP/IP属性设置窗口来乱改IP地址了。在使用该方法保护本地系统的IP地址时,我们可以依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“services.msc”字符串命令,单击回车键后打开系统的服务列表窗口,从中找到“Plug and play”服务选项,并用鼠标双击该服务选项,打开该服务的属性设置窗口,在该设置窗口的“常规”标签页面中单击“停止”按钮,再将它的启动类型设置为“禁止”,那样一来本地工作站系统的本地连接图标就会被隐藏起来。日后,非法攻击者一旦找不到本地连接图标,他们也就进不了TCP/IP属性设置窗口,这样他们也就会放弃修改本地工作站IP地址的念头了。
不过上面的方法仅能防范一些初级的局域网用户,而一些高级用户则会很容易地将它们破解掉。其实,我们还可以采用反注册网络连接图标的方法,来达到隐藏本地连接图标的目的,这种隐藏方法通常具有一定的隐蔽性。在使用该方法保护IP地址时,我们可以依次点选系统桌面中的“开始”、“运行”命令,在弹出的系统运行文本框中,输入“regsvr32 Netcfgx.dll/u”字符串命令,再单击“确定”按钮;同样地再依次执行“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”字符串命令,最后再重新启动一下本地工作站系统,如此一来本地连接图标就会被自动隐藏起来了,非法用户自然也就没有办法进入网络参数设置窗口,进行胡乱更改IP地址操作了。