如何防止宽带网络IP地址被盗用

随着网络技术在国内的蓬勃发展,宽带网在许多大楼和社区应运而生。但在享受各种多媒体信息的同时,有个问题经常困扰着网络管理员和用户,那就是宽带网络内分配的IP地址经常被盗用,授权用户用自己的IP地址在网络中产生冲突,无法进入网络。这种现象导致了网络管理的混乱,影响授权用户的利益,也对用网络流量来进行计费的宽带网带来较大的影响。

一、开放系统互联模型结构

要清楚IP地址盗用的方法,首先必须了解国际电联规定的开放系统互联模型(OSI)的结构层次。需要传输的数据在传输层被分割并重组为数据串(segment),然后在网络层加入源和目的IP地址,封装成包(packet),再在数据链路层附加数据链的帧头和帧尾,将数据包放进帧(frame)里,最后在物理层转换成以比特为单位的数据。所以,IP地址是网络层用来标识不同地点的逻辑地址,它的长度是32位;而在数据链路层则是用MAC(媒介存取控制)地址来标识网络节点的位置,它的长度是48位,它也是设备的物理地址。

二、盗用IP地址的几条途径

1. 修改静态IP地址

在修改TCP/IP协议属性配置时,使用的不是网络管理员分配的IP地址,而是已知的授权的IP地址。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,当盗用者修改IP地址后,也可以通过网关访问外网。

2. 成对地修改IP地址和MAC地址

为防止静态IP地址被修改,一般采用静态路由技术予以解决。针对静态路由技术,IP盗用技术又有了新的门路,即成对修改IP-MAC地址。MAC地址是设备的物理地址,对于我们常用的以太网来说,俗称为计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,目前的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和 MAC地址都改为一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。另外,对于那些MAC地址不能直接修改的网卡来说,高明的盗用者还可以采用软件的办法来修改MAC地址。

三、几种防止IP地址被盗的方法

1.锁定交换机端口

对于交换机的每一个以太网端口,采用MAC地址表(MAC-address-table)的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接,其他的网卡地址不能通过该端口访问网络。我们可以在计算机上先运行ping命令,然后用arp-a命令就可以看到网络用户相应的IP地址对应的MAC地址,这样就使MAC地址和物理顺序对应起来,使得一根网线、一个端口对应一个MAC地址。这种方法比较适合于单幢大楼的宽带用户,在每一层楼或每个单元放置一台交换机,对交换机的每一个以太网端口进行限定,让每个用户单独占用一个端口,如果有人盗用了IP地址也将无济于事。下面用一段程序,举例说明指定交换机的e0/9口对应MAC地址083c.0000.0002,只有这个MAC地址可以通过该端口访问网络。

Switch#config terminal

Switch(conf)#mac-address-table permanent 083c.0000.0002 e0/9

Switch(conf)#int e0/9

Switch(conf-if)#port secure max-mac-count1

Switch(conf-if)#exit

Switch(conf)#exit

2.应用ARP绑定IP地址和MAC地址

ARP(Address Resolution Protocol)即地址解析协议,这个协议是将IP地址与网络物理地址一一对应的协议。每台计算机的网卡的MAC地址都是唯一的。在三层交换机和路由器中有一张称为ARP的表,用来支持在IP地址和MAC地址之间的一一对应关系,它提供两者的相互转换,具体说就是将网络层地址解析为数据链路层的地址。

我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于网卡的MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络。以Cisco交换机为例,在Cisco Catalyst 5000网络交换机上,关于ARP表的设置和删除有以下几条命令:

Set arp [dynamic | static] {ip_addr hw_addr}( 设置动态或静态的ARP表);

ip_addr(IP地址),hw_addr(MAC地址);

Set arp static 20.89.21.1 00-80-1c-93-80-40(将将IP地址20.89.21.1和网卡MAC地址00-80-1c-93-80-40绑定);

Set arp static 20.89.21.3 00-00-00-00-00-00(对未用的IP进行绑定,将MAC地址设置为0);

Set arp agingtime seconds(设置ARP表的刷新时间,如Set arp agingtime 300);

show arp (用来显示ARP表的内容);

clear arp [dynamic | static] {ip_addr hw_addr}(清除ARP表中的内容)。

其他品牌的三层交换机也有类似的命令和功能,用其他交换机来构建宽带网络时,也可以采用这种设置ARP表的办法来防止盗用IP地址,以达到限制每个IP地址的流量和根据网络流量进行计费的目的。这种方法比较适合于社区的宽带用户,但它只能防止盗用者静态地修改IP地址。

时间: 2024-12-09 13:49:06

如何防止宽带网络IP地址被盗用的相关文章

城市宽带网络IP地址的划分方法

1. 前言随着技术的不断完善和市场的日益成熟,城市宽带网络用户数量呈现出 快速发展的势头,更多的网络运营商也 纷纷开展宽带业务.有线电视网络,作为天然的宽带,目前也正在利用其先天优势,积极开拓市场,为用户提供优质的服务. 但是,作为从事电视传输的运营机构,无论是采用目前成熟的千兆以太网技术,还是利用Cable Modem,在注意拓展市场的同时,都应该特别注意对网络基础的建设.网络基础既包括网络拓扑结构的设计,还包含地址规划和分配问题,只有进行科学的地址规划,才能更有效的利用现有资源,确保业务的健

无线网络IP地址冲突的分析

无线网络IP地址冲突是我们最为常见的网络故障之一,经常禁用然后启用.那么有时候这个方法就不管用了,那么如何解决呢?当无线接入点作为DHCP服务器工作时,它们可能会引起两个主要问题. 第一是增加IP地址冲突的可能性.市场上的大多数无线接入点是通过默认配置来分配客户端无线网络IP 地址,其范围是192.168.0.x.这是一个问题,因为在一个网段中包含多个无线接入点是相当普遍的情况.如果这些接入点每个都分配了相同的DHCP 作用域,那么无线网络IP冲突将在所难免.请记住,这些地址分配可能不仅局限于无

电脑怎么查看无线网络ip地址

  电脑查看无线网络ip地址的方法 点击电脑开始图标,点击"设置". 进入设置界面,点击"网络与internet". 进入网络与internet界面,点击"网络与共享中心". 点击"更改适配器设置". 看到本地的网络连接,单击鼠标右键,点击"状态". 进入状态界面,点击"详细信息". 可以看到电脑的IP地址了.

电脑网络ip地址冲突怎么办

  电脑网络ip地址冲突的解决方法一 设置成为由DHCP自动获取. 打开"控制面板",在"控制面板"里面打开"网络和Internet". 点击"网络和共享中心". 点击"本地连接". 点击"详细信息". 选择"Internet协议版本4(TCP/IPv4)"之后点击"属性". 在弹出的Internet 协议属性窗口里,点击"自动获得IP地

如何查询对方ip地址和网络ip地址

如何查询你的网络ip地址?   什么是网络ip地址?网络ip地址就是我们成功连接到网络之后的互联网ip地址.这个地址是统一的,用户是不能修改.这里的ip网络地址是由网络商提供的.查询方法很简单,只需要打开百度,在百度上搜索"IP"即可显示出你的网络ip地址了.   电脑常识   查询自己的网络ip地址的方法相信大家都了解了,但是如何查询对方的ip地址呢?   接收邮件法:接收邮件的方式来查询对方的ip地址.在这里就有outlook express程序来举例查看对方ip的方法,首先运行该

vss 的网络ip地址变了 如何具体修改ip 并连通

问题描述 vss的网络ip地址变了如何具体修改ip并连通 解决方案 解决方案二:和ip有什么关系?不是每次启动都要选db么?

网络-IP地址的划分为体,在线等大神求解

问题描述 IP地址的划分为体,在线等大神求解 A类子网的网络号占有8位2进制,第一位为0剩下7位,127开头的为回环地址,那么剩余的网络数应该为127啊,为什么会是126呢 解决方案 A类地址范围是0.0.0.0到127.255.255.255. 数字0和127不作为主机的IP地址,数字127保留给内部回送函数,而数字0则表示该地址是本地宿主机,不能传送,但是0和127确实是属于A类地址.所以A类地址最多只有126个地址. 解决方案二: http://blog.csdn.net/panjunnn

50点的小型网络 IP地址规划实例

某科技公司成立,成立之初,这个公司只有数十人,每个人根据工作需要,都配备有电脑终端,有一台公用的服务器负责文件存储和打印机共享,这些设备要实现联网.另外,公司由于业务的需要,在内部联网之后要建立和Internet的连接.要实现并配置这家公司的基本要求,在IP管理中需要包含如下范畴:◆ 选择一个适合几十个网络终 端的IP地址分配范围.◆ 自动分配内部每台终端的IP地址.◆ Internet连接后要保证每台计算机都能够上网,并不需要Internet上的其他用户能够直接访问到内部网络.◆所有客户端要进

新手看招:避免网络 IP 地址被非法修改_网络冲浪

局域网中各工作站的TCP/IP参数被随意修改后,很容易造成IP地址的冲突,这会给管理工作带来不小的麻烦.那么,有没有办法保护好自己的网络,不让别人非法修改IP地址呢? 其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦! 注册表设置法 首先,需要将桌面上的"网上邻居"图标隐藏起来,让其他人无法通过"网上邻居"属性窗口,进入到TCP/IP参数设置界面.依次展开注册表编辑窗口中的"HKEY_CURRENT_USER"."