史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-09-13, 06:22 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - MAC卡位址與IP位址綁定策略的破解

對「IP位址盜用」的解決方案絕大多數都是採取MAC與IP位址綁定策略,這種做法是十分危險的,本文將就這個問題進行探討。在這裡需要聲明的是,本文是處於對對MAC與IP位址綁定策略安全的憂慮,不帶有任何黑客性質。


1.1 為什麼要綁定MAC與IP 位址

  影響網路安全的因素很多,IP位址盜用或位址欺騙就是其中一個常見且危害極大的因素。現實中,許多網路應用是基於IP的,比如流量統計、賬號控制等都將IP位址作為標誌用戶的一個重要的參數。如果有人盜用了合法位址並偽裝成合法用戶,網路上傳輸的資料就可能被破壞、竊聽,甚至盜用,造成無法彌補的損失。

  盜用外部網路的IP位址比較困難,因為路由器等網路互連設備一般都會設置通過各個連接阜的IP位址範圍,不屬於該IP位址範圍的報文將無法通過這些互連設備。但如果盜用的是Ethernet內部合法用戶的IP位址,這種網路互連設備顯然無能為力了。「道高一尺,魔高一丈」,對於Ethernet內部的IP位址被盜用,當然也有相應的解決辦法。綁定MAC卡位址與IP位址就是防止內部IP盜用的一個常用的、簡單的、有效的措施。


1.2 MAC與IP 位址綁定原理

  IP位址的修改非常容易,而MAC卡位址存儲在網卡的EEPROM中,而且網卡的MAC卡位址是唯一確定的。因此,為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP位址,以獲得權限外的訊息),可以將內部網路的IP位址與MAC卡位址綁定,盜用者即使修改了IP位址,也因MAC卡位址不匹配而盜用失敗:而且由於網卡MAC卡位址的唯一確定性,可以根據MAC卡位址查出使用該MAC卡位址的網卡,進而查出非法盜用者。

  目前,很多單位的內部網路,尤其是學校校園網都採用了MAC卡位址與IP位址的綁定技術。許多防火牆(硬體防火牆和軟件防火牆)為了防止網路內部的IP位址被盜用,也都內置了MAC卡位址與IP位址的綁定功能。

  從表面上看來,綁定MAC卡位址和IP位址可以防止內部IP位址被盜用,但實際上由於各層協議以及網卡驅動等實現技術,MAC卡位址與IP位址的綁定存在很大的缺陷,並不能真正防止內部IP位址被盜用。


2 破解MAC與IP位址綁定策略

2.1 IP位址和MAC卡位址簡介

  現行的TCP/IP網路是一個四層協議結構,從下往上依次為鏈路層、網路層、傳輸層和應用層。

  Ethernet協議是鏈路層協議,使用的位址是MAC卡位址。MAC卡位址是Ethernet網卡在Ethernet中的硬體標誌,網卡生產時將其存於網卡的EEPROM中。網卡的MAC卡位址各不相同,MAC卡位址可以唯一標誌一塊網卡。在Ethernet上傳輸的每個報文都含有發送該報文的網卡的MAC卡位址。

  Ethernet根據Ethernet報文頭中的源MAC卡位址和目的MAC來識別報文的發送端和接收端。IP協議應用於網路層,使用的位址為IP位址。使用IP協議進行通訊,每個IP報文頭中必須含有源IP和目的IP位址,用以標誌該IP報文的發送端和接收端。在Ethernet上使用IP協議傳輸報文時,IP報文作為Ethernet報文的資料。IP位址對於Ethernet交換機或處理器是透明的。用戶可以根據實際網路的需要為網卡配置一個或多個IP位址。MAC卡位址和IP位址之間並不存在一一對應的關係。

  MAC卡位址存儲在網卡的EEPROM中並且唯一確定,但網卡驅動在發送Ethernet報文時,並不從EEPROM中讀取MAC卡位址,而是在記憶體中來建立一塊快取記憶體區,Ethernet報文從中讀取源MAC卡位址。而且,用戶可以通過操作系統修改實際發送的Ethernet報文中的源MAC卡位址。既然MAC卡位址可以修改,那麼MAC卡位址與IP位址的綁定也就失去了它原有的意義。

2.2 破解方案

  下圖是破解試驗的結構示意圖。其內部服務器和外部服務器都提供Web服務,防火牆中實現了MAC卡位址和IP位址的綁定。報文中的源MAC卡位址與1P位址對如果無法與防火牆中設置的MAC卡位址與1P位址對匹配,將無法通過防火牆。主機2和內部服務器都是內部網路中的合法機器;主機1是為了做實驗而新加入的機器。安裝的操作系統是W2000企業版,網卡是3Com的。

  試驗需要修改主機1中網卡的MAC和IP位址為被盜用設備的MAC和IP位址。首先,在控制台中選擇「網路和撥號連接」,選中對應的網卡並點擊滑鼠右鍵,選擇內容,在內容頁的「一般」頁中點擊「配置」按鍵。在配置內容頁中選擇「高階」,再在「內容」欄中選擇「Network Address」,在「值」欄中選中輸人框,然後在輸人框中輸人被盜用設備的MAC卡位址,MAC卡位址就修改成功了。

  然後再將IP位址配置成被盜用設備的IP位址。盜用內部客戶機IP位址:將主機1的MAC卡位址和IP位址分別修改為主機2的MAC卡位址和IP位址。主機1可以訪問外部服務器,能夠順利地通過防火牆,訪問權限與主機2沒有分別。而且,與此同時主機2也可以正常地訪問外部服務器,完全不受主機1的影響。無論是主機2還是防火牆都察覺不到主機1的存在。主機1如果訪問內部服務器,根本無需通過防火牆,更是暢通無阻了。

  盜用內部服務器IP位址:將主機1的MAC卡位址和U位址修改為內部服務器的MAC卡位址和IP位址。主機1也提供Web服務。為了使效果更明顯,主機1上提供的Web服務內容與內部服務器提供的內容不同。

  因為在實際的實驗中主機1與主機2連在同一個HUB上,主機2的訪問請求總是先被主機1響應,主機2期望訪問的是內部服務器,得到的卻總是主機1提供的內容。更一般地,主機2如果試圖訪問內部服務器,獲得的到底是主機1提供的內容還是內部服務器提供的內容具有隨機性,要看它的訪問請求首先被誰響應,在後面的分析中我們將進一步對此進行闡述。

  盜用服務器的MAC和IP危害可能更大,如果主機1提供的Web內容和內部服務器中的內容一樣,那麼主機2將無法識別它訪問的到底是哪個機器;如果Web內容中要求輸人賬號、密碼等訊息,那麼這些訊息對於主機1來說則是一覽無遺了。

http://www.itlearner.com/article/UploadFiles/2005/07180951734.jpg
3 破解成功的原因

  上面的實驗驗證了綁定MAC卡位址與IP位址的確存在很大的缺陷,無法有效地防止內部IP位址被盜用。接下來,將從理論上對該缺陷進行詳細的分析。

  缺陷存在的前提是網卡的混雜接收模式,所謂混雜接收模式是指網卡可以接收網路上傳輸的所有報文,無論其目的MAC卡位址是否為該網卡的MAC卡位址。正是由於網卡支持混雜模式,才使網卡驅動程式支持MAC卡位址的修改成為可能;否則,就算修改了MAC卡位址,但是網卡根本無法接收相應位址的報文,該網卡就變得只能發送,無法接收,通信也就無法正常進行了。

  MAC卡位址可以被盜用的直接原因是網卡驅動程式發送Ethernet報文的實現機制。Ethernet報文中的源MAC卡位址是驅動程式負責填寫的,但驅動程式並不從網卡的EEPROM中讀取MAC,而是在記憶體中建立一個MAC卡位址快取記憶體區。網卡初始化的時候將EEPROM中的內容讀入到該快取記憶體區。如果將該快取記憶體區中的內容修改為用戶設置的MAC卡位址,以後發出去的Ethernet報文的源位址就是修改後的MAC卡位址了。

  如果僅僅是修改MAC卡位址,位址盜用並不見得能夠得逞。Ethernet是基於廣播的,Ethernet網卡都能監聽到局域網中傳輸的所有報文,但是網卡只接收那些目的位址與自己的MAC卡位址相匹配的Ethernet報文。如果有兩台具有相同MAC卡位址的主機分別發出訪問請求,而這兩個訪問請求的響應報文對於這兩台主機都是匹配的,那麼這兩台主機就不只接收到自己需要的內容,而且還會接收到目的為另外一台同MAC主機的內容。

  按理說,兩台主機因為接收了多餘的報文後,都應該無法正常工作,盜用馬上就會被察覺,盜用也就無法繼續了;但是,在實驗中位址被盜用之後,各台實驗設備都可以互不干擾的正常工作。這又是什麼原因呢?答案應該歸結於上層使用的協議。

目前,網路中最常用的協議是TCP/IP協議,網路應用程式一般都是執行在TCP或者UDP之上。例如,實驗中Web服務器採用的HTTP協議就是基於TCP的。在TCP或者UDP中,標誌通信雙方的不僅僅是IP位址,還包括連接阜號。在一般的應用中,用戶端的連接阜號並不是預先設置的,而是協議根據一定的規則產生的,具有隨機性。像上面利用IE來訪問Web服務器就是這樣。UDP或者TCP的連接阜號為16位二進制數,兩個16位的隨機數位相等的幾率非常小,恰好相等又談何容易?兩台主機雖然MAC卡位址和IP位址相同,但是應用連接阜號不同,接收到的多餘資料由於在TCP/UDP層找不到匹配的連接阜號,被當成無用的資料簡單地丟棄了,而TCP/UDP層的處理對於用戶層來說是透明的;所以用戶可以「正確無誤」地正常使用相應的服務,而不受位址盜用的干擾。

  當然,某些應用程式的用戶連接阜號可能是用戶或者應用程式自己設置的,而不是交給協議來隨機的產生。那麼,結果又會如何呢?例如,在兩台MAC卡位址和IP位址都相同的主機上,啟動了兩個連接阜相同的應用程式,這兩個應用是不是就無法正常工作了呢?其實不盡然。

  如果下層使用的是UDP協議,兩個應用將互相干擾無法正常工作。如果使用的是TCP協議,結果就不一樣了。因為TCP是面向連接的,為了實現重發機制,保證資料的正確傳輸,TCP引入了報文序列號和接收視窗的概念。在上述的連接阜號匹配的報文中,只有那些序列號的偏差屬於接收視窗之內的報文才會被接收,否則,會被認為是過期報文而丟棄。TCP協議中的報文的序列號有32位,每個應用程式發送的第一個報文的序列號是嚴格按照隨機的原則產生的,以後每個報文的序列號依次加1。

  視窗的大小有16位,也就是說視窗最大可以是216,而序列號的範圍是232,主機期望接收的TCP資料的序列號正好也處於對方的接收範圍之內的概率為1/216,可謂小之又小。 TCP的序列號本來是為了實現報文的正確傳輸,現在卻成了位址盜用的幫兇。


4 解決MAC與IP位址綁定被破解的方法

  解決MAC與IP位址綁定被破解的方法很多,主要以下幾種。

  交換機連接阜、MAC卡位址和IP位址三者綁定的方法;代理服務與防火牆相結合的方法;用PPPoE協議進行用戶認證的方法;基於目錄服務策略的方法;統一身份認證與計費軟件相結合的方法等(這些方法的實現原理和過程可以參考拙作《校園網IP位址盜用解決方案》)。在這裡筆者尤其推薦最後一種方法,這種方法是將校園網辦公自動化系統和網路計費軟件結合在一起而實現的,這在校園網訊息化建設的今天具有很強的實踐性。

此帖於 2006-09-13 07:19 AM 被 psac 編輯.
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 06:23 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

淺談綁定之應用



  目前乙太網已經普遍應用於運營領域,如小區接入、校園網等等。但由於乙太網本身的開放性、共享性和弱管理性,採用乙太網接入在用戶管理和安全管理上必然存在諸多隱患。業界廠商都在尋找相應的解決方案以適應市場需求,綁定是目前普遍宣傳和被應用的功能,如常見的連接阜綁定、MAC綁定、IP綁定、動態綁定、靜態綁定等。其根本目的是要實現用戶的唯一性確定,從而實現對乙太網用戶的管理。

  一、綁定的由來

  綁定的英文詞是BINDING,其含義是將兩個或多個實體強制性的關聯在一起。一個大家比較熟悉的例子,就是配置網卡時,將網路協議與網卡驅動綁定在一起。其實在接入認證時,匹配用戶名和密碼,也是一種綁定,只有用戶名存在並且密碼匹配成功,才認為是合法用戶。在這裡,用戶名已經可以唯一標識某個用戶,與對應密碼進行一一綁定。

  二、綁定的分類

  從綁定的實現機制上,可以分為AAA(服務器)有關綁定和AAA無關綁定;從綁定的時機上,可以分為靜態綁定和動態綁定。

  AAA是用戶訊息資料庫,所以AAA有關綁定以用戶訊息為核心,認證時設備上傳綁定的相關內容(連接阜、VLAN、MAC、IP等),AAA收到後與本機儲存的用戶訊息匹配,匹配成功則允許用戶上網,否則拒絕上網請求。

  AAA無關綁定完全由接入設備實現。接入設備(如Lanswitch)上沒有用戶訊息,所以AAA無關綁定只能以連接阜為核心,在連接阜上可以配置本連接阜可以接入的MAC(或IP)位址列表,只有其MAC卡位址屬於此列表中的電腦才能夠從該連接阜接入網路。

  靜態綁定是在用戶接入網路前靜態配置綁定的相關訊息,用戶接入認證時,匹配這些訊息,只有匹配成功才能接入。

  動態綁定的相關訊息不是靜態配置的,而是接入時才動態儲存到接入設備上,接入網路後不允許用戶再修改這些訊息,一旦修改,則強制用戶下線。

  AAA相關綁定一般都是靜態綁定,動態綁定一般都是在接入設備上實現的。接入設備離最終用戶最近,用戶所有的認證資料流和業務資料流都必須經過接入設備,只有認證資料流經過AAA,所以接入設備可以最容易最及時發現相關綁定訊息的變化,也方便採取強制用戶下線等處理措施。另外,網路中AAA一般只有一台,集中管理,接入設備卻有很多,由分散的接入設備監視用戶綁定訊息的變化,可以減輕AAA的負擔。

  三、綁定的應用模式

  除了常用的用戶名與密碼綁定外,可以用於綁定的內容主要有:連接阜、VLAN、MAC卡位址和IP位址。這些內容的特性不同,其綁定的應用模式也有較大差別。

  1、IP位址綁定

  1)解釋

  按照前邊的定義標準,IP位址綁定可以分為AAA有關IP位址綁定、AAA無關IP位址綁定、IP位址靜態綁定和IP位址動態綁定。

  AAA有關IP位址綁定:在AAA上儲存用戶固定分配的IP位址,用戶認證時,接入設備上傳用戶機器靜態配置的IP位址,AAA將設備上傳IP位址與本機儲存IP位址比較,只有相等才允許接入。

  AAA無關IP位址綁定:在接入設備上配置某個連接阜只能允許哪些IP位址接入,一個連接阜可以對應一個IP位址,也可以對應多個,用戶訪問網路時,只有源IP位址在允許的範圍內,才可以接入。

  IP位址靜態綁定:接入網路時檢查用戶的IP位址是否合法。

  IP位址動態綁定:用戶上網過程中,如更改了自己的IP位址,接入設備能夠獲取到,並禁止用戶繼續上網。

2)應用

  教育網中,學生經常改變自己的IP位址,學校裡IP位址衝突的問題比較嚴重,各學校網路中心承受的壓力很大,迫切需要限制學生不能隨便更改IP位址。可以採用以下方法做到用戶名和IP位址的一一對應,解決IP位址問題。

  如有DHCP Server,可以使用IP位址動態綁定,限制用戶上網過程中更改IP位址。此時需要接入設備限制用戶只能通過DHCP獲取IP位址,靜態配置的IP位址無效。如沒有DHCP Server,可以使用AAA有關IP位址綁定和IP位址動態綁定相結合方式,限制用戶只能使用固定IP位址接入,接入後不允許用戶再修改IP位址。通過DHCP Server分配IP位址時,一般都可以為某個MAC卡位址分配固定的IP位址,再與AAA有關MAC卡位址綁定配合,變相的做到了用戶和IP位址的一一對應。

  2、MAC卡位址綁定

  1)解釋

  與IP位址綁定類似,MAC卡位址綁定也可以分為AAA有關MAC卡位址綁定和AAA無關MAC卡位址綁定;MAC卡位址靜態綁定和MAC卡位址動態綁定。

  由於修改了MAC卡位址之後,必須重新啟動網卡才能有效,重新啟動網卡就意味著重新認證,所以MAC卡位址動態綁定意義不大。

  2)應用

  AAA有關MAC卡位址綁定在政務網或園區網中應用比較多,將用戶名與機器網卡的MAC卡位址綁定起來,限制用戶只能在固定的機器上上網,主要是為了安全和防止帳號盜用。但由於MAC卡位址也是可以修改的,所以這個方法還存在一些漏洞的。

  3、連接阜綁定

  1)解釋

  連接阜的相關訊息包含接入設備的IP位址和連接阜號。

  設備IP和連接阜號對最終用戶都是不可見的,最終用戶也無法修改連接阜訊息,用戶更換連接阜後,一般都需要重新認證,所以連接阜動態綁定的意義不大。由於AAA無關綁定是以連接阜為核心了,所以AAA無關連接阜綁定也沒有意義。

  有意義的連接阜綁定主要是AAA有關連接阜綁定和連接阜靜態綁定。

  2)應用

  AAA有關連接阜綁定主要用於政務網、園區網和運營商網路,從而限制用戶只能在特定的連接阜上接入。

  4、VLAN綁定

  1)解釋

  與連接阜綁定類似,VLAN相關訊息也配置在接入設備上,最終用戶無法修改,所以,VLAN動態綁定意義不大。對於AAA無關VLAN綁定,如只將連接阜與VLAN ID綁定在一起,那麼如果用戶自己連一個HUB,就會出現一旦此HUB上的一個用戶認證通過,其他用戶也可以上網的情況,造成網路接入不可控,所以一般不會單獨使用AAA無關的VLAN綁定。

  常用的VLAN綁定是AAA有關VLAN綁定和VLAN靜態綁定。



  2)應用

  如網路接入採用二層結構,上層是三層交換機,下層是二層交換機,認證點在三層交換機上,這種情況下,僅靠連接阜綁定只能限制用戶所屬的三層交換機連接阜,限制範圍太大,無法限制用戶所屬的二層交換機連接阜。

  使用AAA有關VLAN綁定和VLAN靜態綁定就可以解決這個問題。

  分別為二層交換機的每個下行連接阜各自設置不同的VLAN ID,二層交換機上行連接阜設置為VLAN透傳,就產生了一個三層交換機連接阜對應多個VLAN ID的情況,每個VLAN ID對應一個二層交換機的連接阜。用戶認證時,三層交換機將VLAN訊息上傳到AAA,AAA與預先設置的訊息匹配,根據匹配成功與否決定是否允許用戶接入。

  此外,用戶認證時,可以由AAA將用戶所屬的VLAN ID隨認證響應報文下發到接入設備,這是另外一個角度的功能。雖然無法限制用戶只能通過特定的二層交換機連接阜上網,但是可以限制用戶無論從那個連接阜接入,使用的都是用一個VLAN ID。這樣做的意義在於,一般的DHCP Server都可以根據VLAN劃分位址池,用戶無論在哪個位置上網,都會從相同的位址池中分配IP位址。出口路由器上可以根據源IP位址制定相應的訪問權限。綜合所有這些,變相的實現了在出口路由器上根據用戶名制定訪問權限的功能。

  5、其它說明

  標準的802.1x認證,只能控制接入連接阜的打開和關閉,如某個連接阜下掛了一個HUB,則只要HUB上有一個用戶認證通過,該連接阜就處於打開狀態,此HUB下的其他用戶也都可以上網。為了解決這個問題,出現了基於MAC卡位址的認證,某個用戶認證通過後,接入設備就將此用戶的MAC卡位址記錄下來,接入設備只允許所記錄MAC卡位址發送的報文通過,其它MAC卡位址的報文一律拒絕。

  為了提高安全性,接入設備除了記錄用戶的MAC卡位址外,還記錄了用戶的IP位址、VLAN ID等,收到的報文中,只要MAC卡位址、IP位址和VLAN ID任何一個與接入設備上儲存的訊息匹配不上,就不允許此報文通過。有的場合,也將這種方式稱為接入設備的「MAC卡位址+IP位址+VLAN ID」綁定功能。功能上與前邊的AAA無關的動態綁定比較類似,只是用途和目的不同。

  四、業界廠商產品對綁定的支持

  以上的常用綁定功能業界廠商都普遍支持,一些廠商還進行了更有特色的功能開發,如華為提供的以下增強功能:

  1、綁定訊息自學習

  1)MAC卡位址自動學習

  配置AAA相關MAC卡位址綁定功能時,MAC很長,難以記憶,輸入時也經常出錯,一旦MAC卡位址輸入錯誤,就會造成用戶無法上網,大大增加了AAA系統管理員的工作量。CAMS實現了MAC卡位址自動學習功能,可以學習用戶第一次上網的MAC卡位址,並自動與用戶綁定,既減少了工作量,又不會出錯。以後用戶MAC卡位址變更時,系統管理員將用戶綁定的MAC卡位址清空,CAMS會再次自動學習用戶MAC卡位址。

  2)IP位址自動學習

  與MAC卡位址自動學習類似。

  2、一對多綁定

  1)IP位址一對多綁定

  用戶可以綁定不只一個IP位址,而是可以綁定一個連續的位址段。這個功能主要應用於校園網中,一個教研室一般都會分配一個連續的位址段,教研室的每個用戶都可以自由使用該位址段中的任何一個IP位址。教研室內部的網路結構和IP位址經常變化,將用戶和教研室的整個位址段綁定後,可以由各教研室自己分配和管理內部IP位址,既不會因教研室內部IP位址分配問題影響整個校園網的正常運轉,又可以大大減少AAA系統管理員的工作量。

  2)連接阜一對多綁定

  與IP位址一對多綁定類似,也存在連接阜一對多綁定的問題。CAMS將連接阜訊息分成以下幾個部分:接入設備IP位址-槽號-子槽號-連接阜號-VLAN ID,這幾個部分按照範圍由廣到窄的順序。任何一個部分都可以使用通配符,表示不限制具體數值。比如,連接阜號部分輸入通配符,就表示將用戶綁定在某台交換機下的某個槽號的某個子槽號的所有連接阜上,可以從其中的任何一個連接阜接入。


     
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 06:27 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

How to :使用ARP命令來綁定IP和MAC卡位址
How to :使用ARP命令來綁定IP和MAC卡位址

 

前言:我本來沒有想過寫關於ARP綁定的文章,坦白的說一句,在你理解ARP工作的原理時,這其實比較簡單。只是看到最近論壇很多人在問關於綁定IP和MAC卡位址的問題,所以才決定寫這個文章,希望能一勞永逸。

作為企業級的路由防火牆,ISA Server並沒有提供對於MAC卡位址的控制功能。不過,你可以使用Windows的命令ARP來實現IP位址和MAC卡位址的綁定。這篇文章介紹了Windows下ARP協議工作的原理,以及如何使用ARP命令來靜態綁定IP位址和MAC卡位址。

 

ISA Server中沒有提供對於MAC卡位址的控制功能,Why?這是因為MAC卡位址只能在本機網路中使用,當資料包跨越路由器時,資料包中主機的源MAC卡位址就會被路由器的出站接頭的MAC卡位址所代替,這個時候,使用MAC卡位址來進行控制就不適用了。所以只要是企業級的硬體或者軟件防火牆,都基本沒有提供對MAC卡位址的控制功能。

不過微軟也早就考慮到了這點,在Windows中,如果你安裝了TCP/IP網路協議元件,那麼你就可以執行命令ARP。ARP命令的作用是檢視本機的ARP快取記憶體、靜態綁定IP位址和MAC卡位址和刪除靜態綁定項。其實綁定IP位址和MAC卡位址的本意是為了減少ARP廣播流量,只是可以利用這一功能來控制IP位址的使用。

在這裡我還是先簡單的描述一下Windows下ARP協議的工作原理。ARP協議(Address Resolve Protocol,位址解析協議)工作在TCP/IP協議的第二層-資料鏈路層,用於將IP位址轉換為網路接頭的硬體位址(媒體訪問控制位址,即MAC卡位址)。無論是任何高層協議的通訊,最終都將轉換為資料鏈路層硬體位址的通訊。每台主機都具有一個用於快取記憶體MAC卡位址的ARP快取記憶體列表,你可以使用命令ARP -a或ARP -g來檢視當前的ARP快取記憶體列表。此ARP快取記憶體列表是動態更新的,預定情況下,當其中的快取記憶體項超過兩分鐘沒有活動時,此快取記憶體項就會超時被刪除。你可以使用ARP -s來靜態綁定IP位址和MAC卡位址,不過在Windows server 2003和XP以前的Windows系統中,就算你設置了靜態MAC卡位址綁定項,同樣會通過接收其他主機的資料包而更新已經綁定的項。在Windows server 2003和XP中,靜態綁定的項不會被動態更新,直到TCP/IP協議停止為止,例如重啟電腦。如果要創建永久的靜態MAC卡位址綁定項,你可以寫一個腳本文件來執行ARP靜態綁定,然後使用計劃任務在啟動電腦時執行該腳本即可。

例如A主機的IP位址為192.168.0.1,它現在需要與IP為192.168.0.8的主機(主機B)進行通訊,那麼將進行以下動作:

A主機查詢自己的ARP快取記憶體列表, 如果發現具有對應於目的IP位址192.168.0.8的MAC卡位址項,則直接使用此MAC卡位址項構造並發送乙太網資料包,如果沒有發現對應的MAC卡位址項則繼續下一步;

A主機發出ARP解析請求廣播,目的MAC卡位址是FF:FF:FF:FF:FF:FF,請求IP為192.168.0.8的主機回復MAC卡位址;

B主機收到ARP解析請求廣播後,回復給A主機一個ARP應答資料包,其中包含自己的IP位址和MAC卡位址;

A接收到B主機的ARP回復後,將B主機的MAC卡位址放入自己的ARP快取記憶體列表,然後使用B主機的MAC卡位址作為目的MAC卡位址,B主機的IP位址(192.168.0.8)作為目的IP位址, 構造並發送乙太網資料包;

如果A主機還要發送資料包給192.168.0.8, 由於在ARP快取記憶體列表中已經具有IP位址192.168.0.8的MAC卡位址,所以A主機直接使用此MAC卡位址發送資料包,而不再發送ARP解析請求廣播;當此快取記憶體位址項超過兩分鐘沒有活動(沒有使用)後,此ARP快取記憶體將超時被刪除。

預定情況下ARP快取記憶體的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

修改的鍵值:

鍵值1:ArpCacheLife,類型為Dword,單位為秒,預定值為120

鍵值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,預定值為600

注意:這些鍵值預定是不存在的,如果你想修改,必須自行創建;修改後重啟電腦後生效。

如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那麼ARP快取記憶體的超時時間設置為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那麼對於未使用的ARP快取記憶體,超時時間設置為120秒;對於正在使用的ARP快取記憶體,超時時間則設置為ArpCacheMinReferencedLife的值。


下图是我们的试验网络结构,ISA Server作为一个边缘防火墙,内部局域网(192.168.0.0/24)通过ISA Server接入Internet。在这个试验中,我将在ISA Server上绑定内部客户True的IP地址192.168.0.8和MAC地址,这样,当True不在线时,另外一个内部客户Fake就算修改自己的IP地址为True的IP地址192.168.0.8,也不能通过ISA Server来上网。

http://www.isacn.org/pic/arp/arp.jpg

各计算机的TCP/IP设置如下,本次试验不涉及DNS解析,各服务器的DNS服务器设置为空,在试验之前已经确认了网络连接工作正常:
ISA 2004 Firewall:
LAN Interface:
IP:192.168.0.1/24
DG:None
MAC:00:03:47:F4:FC:E7
 
True(将离线):
IP:192.168.0.8/24
DG:192.168.0.1
MAC:00:0D:60:C3:05:34
 
Fake(将修改IP地址为192.168.0.8):
IP:192.168.0.8/24
DG:192.168.0.1
MAC:00:060:06:05:47
 
 
首先,我在ISA Server上使用ARP -S来绑定True的IP地址和MAC地址,运行命令:
ARP -s 192.168.0.8 00-0D-60-C3-05-34
然后执行ARP -a来查看ARP缓存列表,结果如下图所示。你可以看到在ARP缓存列表中IP地址192.168.0.8的类型为static,这表明它是静态项。此时,我们在ISA Server上的绑定就成功了。

http://www.isacn.org/pic/arp/arp01.jpg


現在我們在客戶機Fake上,將自己的IP位址修改為192.168.0.8,然後Ping ISA Server:
C:\Documents and Settings\admin>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : anonymous
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 區域連線:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physical Address. . . . . . . . . : 00-06-D0-06-05-47
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.8
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.1
C:\Documents and Settings\admin>ping 192.168.0.1 -n 2
Pinging 192.168.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 192.168.0.1:
Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),
 
Ping超時,Why?從Sniffer上捕獲的資料包可以更清楚的進行說明:
下圖是捕獲的資料包,它描述了Fake(192.168.0.8) Ping 192.168.0.1的全部過程:

http://www.isacn.org/pic/arp/arp03.jpg

由於Fake(00:060:06:05:47)沒有192.168.0.1的MAC卡位址,所以Fake發送ARP位址解析請求廣播,詢問192.168.0.1的MAC卡位址是什麼;
ISA Server(00:03:47:F4:FC:E7)使用ARP應答回復Fake(00:060:06:05:47),告訴Fake自己的IP位址(192.168.0.1)和MAC卡位址;
獲得192.168.0.1的MAC卡位址後,Fake(192.168.0.8)向192.168.0.1發送PING請求資料包;
192.168.0.1向192.168.0.8回復PING回複資料包;
Fake(192.168.0.8)再次向192.168.0.1發送PING請求資料包;
192.168.0.1再次向192.168.0.8回復PING回複資料包;




這一切看起來沒有任何問題?那為什麼Fake的Ping會超時呢?
這一切從表明上看是沒有任何問題,但是仔細看捕獲的資料包的乙太網頭部,你就會發現問題所在:
首先,我們看第三個資料包,Fake(192.168.0.8)向192.168.0.1發送的Ping請求,如下圖所示,Fake以自己的MAC卡位址為源MAC卡位址、192.168.0.1的MAC卡位址(00:03:47:F4:FC:E7)為目的MAC卡位址發送資料包,這沒有任何問題。

http://www.isacn.org/pic/arp/arp04.jpg

 
那麼看看第四個ISA Server回復的Ping回複資料包呢,源MAC卡位址是ISA Server的MAC卡位址(00:03:47:F4:FC:E7),這也沒有問題,但是注意看目的MAC卡位址,00:0D:60:C3:05:34是離線的客戶機True的MAC卡位址。還記得我們在ISA Server上做的IP位址(192.168.0.8)和MAC卡位址綁定嗎?ISA Server直接使用自己ARP快取記憶體中的靜態綁定項來發送資料,而不是使用收到的Ping請求資料包中的源MAC卡位址來作為目的位址。因此,Fake認為此資料包不是發給自己的,不會處理此資料包,所以認為沒有Ping回複資料包,自然就是超時了。

http://www.isacn.org/pic/arp/arp05.jpg

最後說一下,我不推薦大家使用靜態IP位址和MAC卡位址的綁定,這會帶來更多的管理負荷。你可以利用ISA Server強大的身份驗證功能,結合IP位址來進行管理,這樣具有更好的效果。也請不要在論壇問我ARP命令是如何使用的,Windows的幫助是最好的老師。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 06:30 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

解決不能綁定「舊」IP故障

有一台服務器,操作系統是Windows 2000 Advanced Server(Windows 2000高階服務器版),原來裝有一張RTL8139的PCI網卡,綁定IP位址為192.168.221.48,後來把這張網卡換了一個插槽,開機後系統卻把它認為是張新網卡,再去綁定原來的那個IP位址,提示"您為這個網路適配器輸入的IP位址192.168.221.48已經分配給了另一個適配器……如果相同的位址分配給兩個不同的適配器,並且它們都處於活動狀態,只有一個會使用這個位址……"而不能成功!該怎麼辦呢?
http://campus.sjtu.edu.cn/manage/jswz/<br />
原來,Windows 2000會認為不同PCI插槽中的網卡就是不同的網卡,而不管它們實際上是不是同一張;並且,網卡雖被拆掉了,但它的相關配置文件卻已被Windows 2000給記錄了下來。所以,在"故障現象"中所遇到的,就相當於是系統認為你現在電腦中安裝了兩張網卡,而原來一張已綁定了192.168.0.48這個IP位址,再給另一張網卡綁定此IP時自然會有出錯提示!解決方法是將"舊"的網卡卸掉。具體操作如下:<br />
  1、"控制台"的"新增/刪除硬體"中,當出現"選擇一個硬體任務"的提示視窗時,改選為"卸載/拔掉設備"項;<br />
2、當出現"選擇一個刪除任務"的提示視窗時,應確保選中的是"卸載設備"項;當出現"電腦上已安裝的設備"列表的提示視窗時,請務必先認清已有的網卡名稱,以免在後面的操作中做出誤刪除;<br />
[img]http://www.pconline.com.cn/pcedu/soft/lan/jywgl/10211/pic/021104_ip_2.gif
3、再勾選中"顯示隱藏設備"項,這時你就可以看到在原有的網卡名稱處又多了個新的網卡名稱,這個新名稱對應的就是"舊"的網卡驅動,選中它,再單擊"下一步"按鍵,即可成功卸載!
http://www.pconline.com.cn/pcedu/soft/lan/jywgl/10211/pic/021104_ip_3.gif
當你完成了上面的操作之後,當然,你所需的那個"舊"IP位址也將隨之被釋放了出來,任你隨意去綁定到"新"網卡上了!
  
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 06:32 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

有關MAC的內容(如何修改MAC、綁定MAC及安全)

有關MAC的內容(如何修改MAC、綁定MAC及安全)
如果你是通過校園網或小區接入Internet,那麼一定聽說過MAC卡位址。什麼是MAC卡位址,MAC卡位址在這種局域網環境中究竟起到什麼作用?下面就來介紹一下MAC卡位址的知識,MAC卡位址和IP位址的區別以及MAC卡位址在實際應用中所涉及到的安全問題。

  一、基礎知識

  如今的網路是分層來實現的,就像是搭積木一樣,先設計某個特定功能的

模塊,然後把模塊拼起來組成整個網路。局域網也不例外,一般來說,在組網上我們使用的是IEEE802參考模型,從下至上分為:物理層、媒體接入控制層(MAC),邏輯鏈路控制層(LLC)。

  標識網路中的一台電腦,一般至少有三種方法,最常用的是域名位址、IP位址和MAC卡位址,分別對應應用層、網路層、物理層。網路管理一般就是在網路層針對IP位址進行管理,但由於一台電腦的IP位址可以由用戶自行設定,管理起來相對困難,MAC卡位址一般不可更改,所以把IP位址同MAC卡位址組合到一起管理就成為常見的管理方式。

  二、什麼是MAC卡位址

  MAC卡位址就是在媒體接入層上使用的位址,也叫物理位址、硬體位址或鏈路位址,由網路設備製造商生產時寫在硬體內部。MAC卡位址與網路無關,也即無論將帶有這個位址的硬體(如網卡、集線器、路由器等)接入到網路的何處,都有相同的MAC卡位址,它由廠商寫在網卡的BIOS裡。MAC卡位址可採用6字節(48比特)或2字節(16比特)這兩種中的任意一種。但隨著局域網規模越來越大,一般都採用6字節的MAC卡位址。這個48比特都有其規定的意義,前24位是由生產網卡的廠商向IEEE申請的廠商位址,目前的價格是1000美元買一個位址塊,後24位由廠商自行分配,這樣的分配使得世界上任意一個擁有48位MAC卡位址的網卡都有唯一的標識。另外,2字節的MAC卡位址不用網卡廠商申請。

  MAC卡位址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC卡位址,其中前6位16進制數08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個乙太網設備都具有唯一的MAC卡位址。

  三、IP位址與MAC卡位址的區別

  IP位址基於邏輯,比較靈活,不受硬體限制,也容易記憶。MAC卡位址在一定程度上與硬體一致,基於物理,能夠標識具體。這兩種位址各有好處,使用時也因條件而採取不同的位址。

  四、為什麼要用到MAC卡位址

  這是由組網方式決定的,如今比較流行的接入Internet的方式(也是未來發展的方向)是把主機通過局域網組織在一起,然後再通過交換機和Internet相連接。這樣一來就出現了如何區分具體用戶,防止盜用的問題。由於IP只是邏輯上標識,任何人都隨意修改,因此不能用來標識用戶;而MAC卡位址則不然,它是固化在網卡裡面的。從理論上講,除非盜來硬體(網卡),否則是沒有辦法冒名頂替的(注意:其實也可以盜用,後面將介紹)。

  基於MAC卡位址的這種特點,局域網採用了用MAC卡位址來標識具體用戶的方法。注意:具體實現:在交換機內部通過「表」的方式把MAC卡位址和IP位址一一對應,也就是所說的IP、MAC綁定。

  具體的通信方式:接收過程,當有發給本機局域網內一台主機的資料包時,交換機接收下來,然後把資料包中的IP位址按照「表」中的對應關係映射成MAC卡位址,轉發到對應的MAC卡位址的主機上,這樣一來,即使某台主機盜用了這個IP位址,但由於他沒有這個MAC卡位址,因此也不會收到資料包。發送過程和接收過程類似,限於篇幅不敘述。

  綜上可知,只有IP而沒有對應的MAC卡位址在這種局域網內是不能上網的,於是解決了IP盜用問題。

  五、怎樣獲得自己的MAC卡位址

  MAC卡位址固化在網卡中的BIOS中,可以通過DOS命令取得。Win9x用戶可以使用winipcfg命令,Win2k/XP用戶可以使用ipconfig/all命令,其中用16進製表示的12位數就是MAC卡位址。

  六、MAC卡位址涉及到的安全問題

  從上面的介紹可以知道,這種標識方式只是MAC卡位址基於的,如果有人能夠更改MAC卡位址,就可以盜用IP免費上網了,目前網上針對小區寬帶的盜用MAC卡位址免費上網方式就是基於此這種思路。如果想盜用別人的IP位址,除了IP位址還要知道對應的MAC卡位址。舉個例子,獲得局域網內某台主機的MAC卡位址,比如想得到局域網內名為TARGET主機的MAC卡位址,先用PING命令:PING TARGET,這樣在我們主機上面的ARP表的快取記憶體中就會留下目標位址和MAC映射的記錄,然後通過ARP A命令來查詢ARP表,這樣就得到了指定主機的MAC卡位址。最後用ARP -s IP 網卡MAC卡位址,命令把網路閘道器的IP位址和它的MAC卡位址映射起來就可以了。



如果要得到其它網段內的MAC卡位址,那麼可以用工具軟件來實現,我覺得Windows優化大師中自帶的工具不錯,點擊「系統性能優化」→「系統安全優化」→「附加工具」→「集群Ping」,可以成批的掃出MAC卡位址並可以儲存到文件。

  小知識:ARP(Address Resolution Protocol)是位址解析協議,ARP是一種將
IP位址轉化成物理位址的協議。從IP位址到物理位址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)位址解析為資料連接層(MAC層,也就是相當於OSI的第二層)的MAC卡位址。ARP協議是通過IP位址來獲得MAC卡位址的。

  ARP原理:某機器A要向主機B發送報文,會查詢本機的ARP快取記憶體表,找到B的IP位址對應的MAC卡位址後就會進行資料傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP位址Ia——物理位址Pa),請求IP位址為Ib的主機B回答物理位址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP位址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC卡位址,A接收到B的應答後,就會更新本機的ARP快取記憶體。接著使用這個MAC卡位址發送資料(由網卡附加MAC卡位址)。因此,本機高速快取記憶體的這個ARP表是本機網路流通的基礎,而且這個快取記憶體是動態的。ARP表:為了回憶通信的速度,最近常用的MAC卡位址與IP的轉換不用依靠交換機來進行,而是在本機上建立一個用來記錄常用主機IP-MAC映射表,即ARP表。
   
  七、如何修改自己的MAC卡位址

  MAC卡位址是固化在網卡中的,MAC卡位址具有唯一性,難道沒有辦法更改了麼?不是的,我們完全不用修改EPROM的內容,而只通過修改存儲單元的內容就能達到修改MAC卡位址的目的。例如在Windows中可以通過註冊表來修改。

  在「開始」表菜單的「執行」中輸入regedit.exe,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{ 4D36E972-E325-11CE-BFC1-08002BE10318 }子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002……在這裡儲存了有關你的網卡的訊息,其中的DriverDesc的內容就是你的網卡的訊息描述,比如我的網卡就是Intel 21041 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。

  在0000子鍵下新增一個字元串,命名為「NetworkAddress」,鍵值為修改後的MAC卡位址,要求為連續的12個16進制數。然後在「0000」子鍵下的NDI\params中新增一項名為NetworkAddress的子鍵,在該子鍵下新增名為「default」的字元串,鍵值為修改後的MAC卡位址。

  在NetworkAddress的子鍵下繼續建立名為「ParamDesc」的字元串,其作用為指定NetworkAddress的描述,其值可為「MAC Address」。這樣以後打開網路鄰居的「內容」,雙擊相應的網卡就會發現有一個「高階」設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項NetworkAddress,以後只要在此修改MAC卡位址就可以了。

  關閉註冊表,重新啟動,你的網卡位址已改。打開網路鄰居的內容,雙擊相應網卡項會發現有一個MAC Address的高階設置選項,用於直接修改MAC卡位址。

  當然,你還可以用工具軟件來修改網卡的MAC卡位址,如MAC2001這款軟件就可以達到我們的目的。

  八、如何解決MAC卡位址帶來的安全問題

  我們可以將IP位址和MAC卡位址捆綁起來來解決這個問題。進入「MS-DOS方式」或「命令提示字元」,在命令提示字元下輸入命令:ARP -s 10.88.56.72 00-10-5C-AD-72-E3,即可把MAC卡位址和IP位址捆綁在一起。這樣,就不會出現IP位址被盜用而不能正常使用網路的情況,可以有效保證小區網路的安全和用戶的應用。

  注意:ARP命令僅對局域網的上網代理服務器有用,而且是針對靜態IP位址,如果採用Modem撥號上網或是動態IP位址就不起作用。

  不過,只是簡單地綁定IP和MAC卡位址是不能完全的解決IP盜用問題的。作為一個網路供應商,他們有責任為用戶解決好這些問題之的後,才交給用戶使用,而不是把安全問題交給用戶來解決。不應該讓用戶來承擔一些不必要盜用的損失。

  作為網路供應商,最常用也是最有效的解決方法就是在IP、MAC綁定的基礎上,再把連接阜綁定進去,即IP-MAC-PORT三者綁定在一起,連接阜(PORT)指的是交換機的連接阜。這就需要在布線時候做好連接阜定時管理工作。在布線時應該把用戶牆上的接線盒和交換機的連接阜一一對應,並做好登記工作,然後把用戶交上來的MAC卡位址填入對應的交換機連接阜,進而再和IP一起綁定,達到IP-MAC-PORT的三者綁定。這樣一來,即使盜用者擁有這個IP對應的MAC卡位址,但是它不可能同樣擁有牆上的連接阜,因此,從物理通道上隔離了盜用者。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 07:26 PM   #6 (permalink)
註冊會員
 
u757207 的頭像
榮譽勳章
UID - 224840
在線等級: 級別:20 | 在線時長:489小時 | 升級還需:36小時級別:20 | 在線時長:489小時 | 升級還需:36小時級別:20 | 在線時長:489小時 | 升級還需:36小時級別:20 | 在線時長:489小時 | 升級還需:36小時級別:20 | 在線時長:489小時 | 升級還需:36小時
註冊日期: 2006-02-10
VIP期限: 2009-04
文章: 160
精華: 0
現金: 598 金幣
資產: 598 金幣
預設

感謝分享 獲益良多!
u757207 目前離線  
送花文章: 73, 收花文章: 36 篇, 收花: 54 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:04 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1