MAC地址和IP地址(共11篇)
MAC地址和IP地址 篇1
引言
众所周知在现实的生活中, 身份证号码——唯一标识我们每个的专属ID号, 人们可以改变你的住所地址, 但是唯一标识你的身份证号却不能随着你地址更改而更改。在计算机网络中, IP地址是我们经常用到的概念, 但用来唯一标识计算机的MAC地址这个专业术语却很少被人提起。
1. IP地址与以太网MAC地址
在组建计算机局域网络时, 人们都知道IP地址只要规划合理, 你可以任意更改IP地址。修改的方法也是比较简单的, 只要在对应网卡的TCP/IP协议上双击一下然后修改参数就行了。那么MAC地址是怎样呢?下面就让我们分析一下IP地址和以太网MAC地址的异同。在OSI (Open System Interconnection, 开放系统互连) 7层网络协议参考模型中) , 第二层为数据链路层 (Data Link) 。MAC地址就位于这里。我们也将其称为物理地址、硬件地址或链路地址, 其由网络设备制造商生产时写在网卡硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的, IP地址是32位的, 而MAC地址则是48位的。MAC地址的长度为48位 (6个字节) , 通常表示为12个16进制数, 每2个16进制数之间用冒号隔开, 如:08:00:20:0A:8C:6D就是一个MAC地址, 其中前6位16进制数08:00:20代表网络硬件制造商的编号, 它由IEEE (电气与电子工程师协会) 分配, 而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品 (如网卡) 的系列号。只要你不去更改自己的MAC地址, 那么你的MAC地址在世界是惟一的。
2. MAC地址的作用
I P地址就如同网吧中的电脑, 而M AC地址则好像是用电脑的人, 网吧中电脑既可以让甲用, 也可以让乙用, 同样在计算机网络中一个节点的IP地址对于网卡没有要求, 基本上任何厂家都可以用, 也就是说IP地址与MAC地址并不存在着绑定关系。计算机具有流动性, 正如同人可以开不同的汽车道理一样的, 人的流动性是比较强的。汽车和人的对应关系类似IP地址与MAC地址的对应关系。例如, 某块网卡坏了, 可以被替换, 而无须获得一个新的IP地址。那么一个具有IP地址的主机从一个网络移到另一个网络, 可以给它一个新的IP地址, 而无须换一个新的网卡。显然MAC地址除了仅仅只有这个功能还是不够的, 我们用人类社会与计算机网络进行类比, 通过类比, 我们就可以发现其中的类似之处, 更好地理解MAC地址的作用。那么无论局域网、广域网中的计算机之间的通信, 最终都体现为将数据包从某种形式的链路上的初始节点出发, 从一个节点传递到另一个节点, 最终传送到目的节点。数据包在这些节点之间的移动都是由ARP (Address Resolution Protocol:地址解析协议) 负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的, 试想在人际关系网络中, 甲要捎个口信给丁, 就会通过乙和丙中转一下, 最后由丙转告给丁。在计算机网络中, 这个口信就好比是一个计算机网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址, 这个过程就好比是人类社会的口信传送过程。相信通过这两个例子, 我们就可以进一步理解MAC地址的作用。
3. MAC地址的应用
身份证在日常的作用并不是很大, 但到了有的关键时刻, 身份证就是用来证明你的身份的。例如你要去乘飞机, 这时必须用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样的道理。有的时候, 我们为了计算机网络安全, 防止IP地址被盗用, 就通过对网络设备简单的处理——交换机端口绑定 (端口的MAC表使用静态表项) , 可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用, 如果是三层设备还可以提供:交换机端口/IP/MAC三者的绑定, 防止修改MAC的IP盗用。一般绑定MAC地址都是在交换机和路由器上配置的, 是网管人员才能接触到的, 对于一般电脑用户来说只要了解了绑定的作用就行了。比如你在校园网中把自己的笔记本电脑换到另外一个宿舍就无法上网了, 这个就是因为MAC地址与IP地址 (端口) 绑定引起的。
4. 结束语
本文从IP地址与以太网MAC地址、MAC地址的作用、MAC地址的应用三个方面介绍了IP地址与以太网MAC地址的关系及如何利用以太网MAC地址与IP地址绑定来解决计算机网络安全的一种方法。
参考文献
[1] (美) Gary Govanus.TCP/IP 24seven北京:电子工业出版社2000年3月.
[2]杨雅辉.网络规划与设计教程, 北京:高等教育出版社, 2008年6月.
[3]邵必林, 段中兴, 边根庆.计算机网络与通信, 北京:国防工业出版社2009年5月.
静态IP地址管理思想及实现 篇2
关键词:IP;MAC;路由器;Telnet
中图分类号:TP391文献标识码 :B文章编号:1673-8454(2008)04-0070-03
IP地址是计算机网络中最为宝贵的资源之一,而IP地址管理工作是计算机网络管理中最为重要和复杂的工作之一。IP地址的管理主要是IP地址的分配和防止地址盗用两个方面的问题,目前常用的IP地址分配主要有两种方法,一种是动态分配IP地址方法,另一种则是静态IP地址分配方法。[1]
动态IP地址是指由服务器动态分配IP地址的方法,该方法简便,但若要查找某时刻是哪位用户在用某个IP地址则非常难,所以一般政府、学校等部门很少采用,而多采用静态分配IP地址的方法。
一、引言
静态IP地址分配方法是指由人工逐个分配IP地址的方法,该方法能够知道任何IP地址的使用人,此种方法存在的最大问题是IP地址盗用问题,为了解决这一问题,人们一般采用IP地址与用户计算机MAC地址绑定的方法进行解决,这样既能规范IP地址管理,又能防止IP地址盗用,所以此种方法广为采用。但该种IP地址管理方法在管理和安全方面依然存在很大的隐患。
1.管理方面
管理通常分两步实现:首先用人工或计算机记录网络用户MAC地址与IP地址的对应关系,然后再人工登陆到三层交换机上实现IP地址与MAC地址的绑定操作。由于管理人员不止一个,即使一个人,有时也会出现三层交换机上已经绑定,而未记录,或记录了但三层交换机上没有进行IP地址与MAC地址绑定的问题,久而久之便会出现很多的管理问题。
2.安全方面
实现IP地址与MAC地址的绑定操作需要人为登陆到三层交换机,而且该登陆者还必须具有超级用户权限,这样就给核心交换设备的安全运行带来很多的隐患。
针对静态IP地址管理方法中管理和安全方面存在的隐患,笔者提出了一种基于WEB与三层交换机的IP地址管理思想并依据该思想设计开发了一套IP地址管理系统,成功解决了IP地址管理中存在的这些问题。
二、相关理论
1.局域网通信原理
在局域网中计算机之间是通过ARP协议和广播机制实现通信的,[2]如图1所示,计算机A与C都接在交换机Switch A上,当计算机A打算与计算机C通信时,便查找自己的MAC地址cache表,如果存在计算机C的MAC地址,则直接将数据发到该MAC地址上,即可实现通信。如果不存在计算机C的MAC地址,则利用ARP协议进行广播,首先计算机A发出一个请求数据包,上面携带计算机A的IP地址、MAC地址以及计算机C的IP地址,计算机C收到该广播数据包后,在该数据包上附上自己的MAC地址,然后将该数据包发给计算机A,计算机A收到该数据包后,便将数据发到计算机C的MAC上,通信得以实现。
2.Internet通信原理
Internet通信采用点到点通信方式实现数据通信,[3]如图1所示,如果计算机A打算与计算机F通信,首先发现在交换机Switch A所在的局域网中无法找到计算机F,便将数据发送到默认网关路由器Router A的E0口,路由器Router A通过查找自己的路由表将数据转发到与Internet相连的E1口,然后通过Internet中的各个路由器将数据包转发到路由器Router B的E0口所在的局域网中,再根据局域网通信原理将数据包发给计算机F。
3.三层交换机IP地址与MAC地址绑定原理
三层交换机是路由器与交换机的结合体(相当于图1中Router A与Switch A,Switch A应支持VLAN),通过把交换机中IP地址与MAC地址的动态影射关系变为静态一一对应关系实现IP地址与MAC地址的绑定操作,从而解决IP地址盗用问题的[4]。 如图1所示,如果计算机C盗用了计算机A的IP地址,假设也与计算机F进行通信,根据局域网与Internet通信原理,计算机C发出的数据包送到计算机F没有任何问题,但当数据包根据源IP地址回到路由器Router A时,由于路由器Router A不再采用动态的IP地址与MAC地址的映射关系,而根据自己预先绑定的IP地址与MAC地址的关系依然将数据包发送到计算机A的MAC地址上,没有将数据包发送到计算机C上,所以计算机C便无法收到返回数据包,也就无法实现与计算机F的通信,从而解决了IP地址的盗用问题。
三、IP地址管理系统设计原理
如图2所示,一般采用静态IP地址分配方法时,进行IP地址登记和IP地址与MAC地址绑定工作是管理员通过分别操作服务器和三层交换机实现的,该方法很容易造成服务器上记录的IP信息与三层交换机上IP地址与MAC地址绑定的不一致,造成管理上的隐患,另外由于管理员登陆到三层交换机时需要超级用户权限,给三层交换机的管理带来很大的安全隐患,如图2中的①所示。
为了解决以上两方面的问题,对图2中的①进行改进,改进后的IP地址管理系统原理示意图如图2中的②所示。在②管理员通过操作服务器进行IP地址相关信息的登记工作,同时由服务器来操作三层交换机实现IP地址绑定工作。[5] 只要管理员操作服务器,服务器便操作三层交换机,所以不会出现①中服务器上登记信息与三层交换机中绑定信息不一致的问题,而且由于是由服务器来操作三层交换机,管理员根本不需要拥有三层交换机超级用户权限,从而大大提高了三层交换机的安全性。
四、IP地址管理系统实现
1.IP地址管理系统的硬件、软件环境
为了本系统运行的稳定性,图2所示②中的服务器最好采用专用服务器,也可用高档微机进行替代,服务器能够通过网络访问三层交换机。服务器运行Linux网络操作系统,支持Apache、PHP和MySQL环境,三层交换机支持网络用户的telnet访问。
2.IP地址管理系统的功能模块设计
IP地址管理系统的主要包括管理员管理模块、用户信息添加模块、用户信息修改模块、用户退网模块、用户封锁模块和用户解锁模块,下面简要介绍各模块的主要功能。
管理员管理模块主要用来完成管理员的添加、修改、删除以及登陆检验功能。
用户信息添加模块,主要用来登记用户的姓名、单位、联系电话、具体位置和用户计算机的MAC地址到服务器数据库,服务器再操作三层交换机实现IP地址与用户计算机MAC地址的绑定操作。
用户信息修改模块是修改服务器中登记的相应用户的相关信息,若用户计算机MAC地址发生变化,还要更改三层交换机上IP地址与用户计算机MAC地址的对应关系。
用户退网模块是当用户申请退网时,在服务器上实现用户相关信息的注销工作,同时解除三层交换机上IP地址与用户计算机MAC地址的绑定关系,并回收该IP地址为自由地址。
用户封锁模块是用来实现当用户使用的IP地址出现病毒等异常情况时,暂时停止用户使用网络的功能。
用户解锁模块是对封锁的用户恢复使用网络的功能模块。
3.IP地址管理系统的数据流程
IP地址管理系统的数据流程如图3所示,首先是用户登陆检验,如用户不合法则结束,如用户合法则在5个模块中选择相关的操作,由服务器操作后台数据库,实现IP地址与用户计算机MAC地址的绑定操作,若没有其他操作则结束,否则重新进入5个模块选择界面。
4.IP地址管理系统的核心代码
本IP地址管理系统设计与实现的关键问题在于如何实现服务器对三层交换机操作,为此,我们设计了一个PHP远程登陆三层交换机类,通过PHP的fsockopen()函数与fwrite()函数实现PHP对三层交换机的telnet登陆与命令控制,类的核心程序代码如下所示:
class Telnet
{ var $sock=NULL;
function telnet($host,$port)
{$this->sock = fsockopen($host,$port,$errno, $errstr, 10);
if( !$this->sock ){ exit("无法连接远程主机:".$host.",请稍后再试!");}
socket_set_timeout($this->sock,2,0); }
function close()
{if ($this->sock)fclose($this->sock);
$this->sock = NULL;}
function write($buffer) {fwrite($this->sock,$buffer);}
function getc() { return fgetc($this->sock);}
function input_rate()
{$buf = '';
$what="bits/sec";
while (1)
{ $IAC = chr(255);
$theNULL = chr(0);
$c = $this->getc();
if ($c === false) return $buf;
if ($c == $theNULL)continue;
$buf .= $c;
if ($what == (substr($buf,strlen($buf)-strlen($what))))
{returnsubstr(strstr($buf,"input rate"),10);}
else {continue;}
}//while end
}//function end
}//end class
程序对类的一个调用实例如下:
$telnet = new telnet($host_ip,$port);//建立登陆到IP地址为host_ip,端口为port三层交换机
$telnet->write($root);//读取超级帐户
$telnet->write($root_password);//读取超级帐户密码
$telnet->write("enablern");//进入到三层交换机特权模式
$telnet->write("configrn");//进入到交换机配置模式
$vlan="interface vlan ".$vid."rn";
$telnet->write($vlan);//进入到相应的VLAN接口模式
$command="arp".$var."".$mac."".$interface."rn";
$telnet->write($command);//实现IP地址与计算机MAC地址的绑定操作
$telnet->write("exitrn");$telnet->write("exitrn");
$telnet->write("writern");//将操作保存到flash闪存当中
五、结束语
本IP地址管理系统在我院校园网日常管理中应用一年来,基本上解决了IP地址管理的上述问题,能够做到每个分配出去的IP地址都能找到用户,该用户的详细信息一目了然,如果网络中某个IP地址出现病毒等问题,可在最短的时间内将其封锁,从而保障校园网的正常运行,而且能够避免管理人员操作三层交换机带来的网络核心设备安全问题,该系统在我院校园网日常维护过程中正发挥着越来越重要的作用。
参考文献:
[1]王俊鹏.Intranet网络管理研究与实现[D].西南交通大学硕士论文,计算机应用技术专业,2002.
[2]李静媛,罗玉斌.网络管理及其应用发展[J].楚雄师范学院学报,2004,19(3):19-22.
[3]陈本辉.网络管理技术应用探讨[J].大理学院学报, 2004,3(3):101-102.
[4]韩冬,王建国等.主动网络体系结构的分析与研究[J].计算机工程,2001,27(7):1-3.
MAC地址和IP地址 篇3
现在, 需要重装一个局域网时, 安装学生机越来越方便了, 用Ghost的网络克隆技术, 一个多小时就可以将四五十台机器全部装好, 既省心又省力。但美中不足的是, 复制完成后, 我们还得将每一台学生机的计算机名和IP地址手动修改过来, 非常麻烦。本方法正是基于这一点, 能够彻底解决这一问题。
1. 通过MAC地址收集工具收集整个机房各机器的MAC地址, 并在列表中预设其IP地址和机器名。
如"内网MAC.IP.机名快速收集机"就是一款很好的MAC地址收集工具, 如果以前机房的IP地址和机名均已设置正确的话, 只需将所有机器打开, 保持局域网联网, 运行一下"开始扫描"按钮, 待扫描完成后, 点"保存结果"按钮即可生成一个TXT文件, 这个TXT文件的内容和下面"MAC地址、计算机名、IP地址对应列表"中的格式一致, 只需复制下去即可。
2. 新建一个Ghostip.bat批处理文件, 批处理文件内容如下 (前面带"::::"的为解释部分, 正式使用时应删除掉) :
3. 新建一个注册表文件"添加启动项.reg", 注册表文件内容如下 (Ghostip.bat的路径应和实际存放的位置一致) :
4. 执行机房的全网GHOST, 自动更改IP地址和计算机名等
4.1 做好母盘后, 将Ghostip.bat和添加启动项.reg复制到c:下, 双击"添加启动项.reg"将其导入注册表中;
4.2 进入DOS或光盘WINPE运行GHOST, 创建系统盘的GHO镜像文件;
4.3 进行机房的全网GHOST (如何利用Ghost的网络克隆技术进行全网GHOST在此不再作论述) ;
4.4 完成后系统会自动运行Ghostip.bat批处理文件, 更改相关设置、清除启动项并自动重启;
4.5 检查机房中的每台机器是否正确设置了"机名"和"IP"等信息。
5. 结束语
本文通过一个MAC地址收集的小工具、一个批处理文件和一个简单的注册表文件, 实现了全网GHOST后自动更改计算机名和IP地址, 对机房和网吧管理人员具有很高的参考价值。
摘要:本方法主要用于电脑机房的全网GHOST后的自动更改IP和机器名设置。首先新建一个Ghostip.bat批处理文件, 通过MAC地址收集工具收集整个机房各机器的MAC地址, 并在列表中预设其IP地址和机器名, 在母盘做好准备制作GHOST备份文件前将"添加启动项.reg"导入注册表, 全网GHOST完成后, 重启计算机会自动读取本机的MAC地址, 再到列表中根据MAC地址来自动配置本机的IP、机器名等。
关键词:MAC地址,注册表,IP地址,GHOST,批处理文件
参考文献
[1].林蕴森, 宋天华.电子阅览室及公共机房管理与维护.现代图书情报技术, 2006年第8期
[2].吴水清.网络克隆技术在机房管理中的应用.渝西学院学报 (自然科学版) , 2005第01期
[3].伍耀钧.在网络机房管理中如何巧用GHOST.现代技能开发, 2002年03期
MAC地址和IP地址 篇4
进行ping扫描,打印出对扫描做出响应的主机:
$ nmap -sP 192.168.1.0/24
仅列出指定网络上的每台主机,不发送任何报文到目标主机:
$ nmap -sL 192.168.1.0/24
探测目标主机开放的端口,可以指定一个以逗号分隔的端口列表(如-PS 22,23,25,80):
$ nmap -PS 192.168.1.234
使用UDP ping探测主机:
$ nmap -PU 192.168.1.0/24
使用频率最高的扫描选项(SYN扫描,又称为半开放扫描),它不打开一个完全的TCP连接,执行得很快:
MAC地址和IP地址 篇5
一、为数据嗅探进行准备
首先我们需要知道Dropbox客户端程序,在连接到互联网的时候访问了哪些域名,所以这个时候就需要通过专业软件进行嗅探。现在下载安装数据包分析工具WinPcap,以及专业的嗅探软件DNSQuerySniffer(http://www.nirsoft.net/utils/dns_query_sniffer.html)。然后重新启动一下操作系统,这么做的目的主要是将正在运行的软件彻底进行关闭,从而避免其他网络软件对嗅探数据进行干扰。
现在启动嗅探软件DNSQuerySniffer,在弹出的选项窗口选择“捕捉方式”中的“WinPcap包捕捉驱动”这项,接着在“选择网络适配器”列表中选择电脑网卡所对应的IP地址(如图1)。所有的设置完成以后点击“确定”按钮,这样软件就开始嗅探所有通过这个网卡发送的数据包信息。
二、找出软件连接的域名
接下来启动Dropbox的客户端程序,马上切换回嗅探软件的操作界面,很快就可以看到嗅探到的数据信息,其中“主机名”列表中显示的就是客户端程序访问的域名。当列表中不再出现新的数据信息后,通过鼠标选中列表中的所有信息(如图2)。然后点击“编辑”菜单中的“复制所选项”命令,将所有信息粘贴到一个文本编辑器里面。将其中不需要的信息删除掉,只保留访问过的域名信息即可。
现在用管理员身份打开命令提示符窗口,然后通过Ping命令来获得对应的IP地址(如图3)。比如输入ping www.Dropbox.com,按下回车键就可以看到对应的IP地址。接下来按照同样的方法,将其他域名的IP地址也给解析出来。需要说明的是,如果遇到请求超时的情况,可以多ping几次试一试。另外遇到解析的IP地址不一样,也不需要有任何的疑惑,因为一个域名会对应多个服务器地址。
三、直接访问设定的地址
那么如何让Dropbox的客户端程序,直接访问解析出来的IP地址呢?其实这只需要使用系统中的Hosts文件就可以了,因为它的一个功能就是加快域名的解析服务。首先通过文件管理器进入到C:\Windows\System32\Drivers\etc这个文件夹目录,由于最新的Windows系统需要权限才可以对系统目录中的文件进行修改,所以首先将其复制到其他的磁盘目录中。接着用文本编辑器打开Hosts文件,按照“IP地址 目标域名”这样的格式,一行一行地整理解析出的IP地址,比如“108.160.167.203 www.Dropbox.com”这样即可(如图4)。
MAC地址和IP地址 篇6
1 网络克隆存在的问题
机房维护的过程可大致分解为以下几个步骤来完成:
1) 制作一块数据母盘;
2) 利用网络克隆完成其他计算机安装;
3) 配置静态IP地址等信息;
4) 配置计算机其他功能;
5) 安装硬盘保护程序。
可以看出, 网络克隆完成后, 每台计算机的IP地址等参数与母盘的设置是完全相同的。后续工作要重新为每台计算机分配唯一的静态IP地址和计算机名。一般情况下, 可以采用手工配置IP地址的方法来完成, 但这种手工配置的方法效率很低, 所需时间远大于网络克隆的时间, 大量重复性手工操作的准确性也无法保证, 如果二次克隆机房中计算机时还需要重新手工指定IP地址, 这种重复的时间代价将显得尤为突出。
2 解决思路
要做到二次克隆机房计算机时自动分配IP地址, 在初次配置好机房的所有计算机后, 用局域网查看工具 (如LanSee) 扫描整个局域网, 将扫描到的所有计算机的IP地址及相应的MAC备份到一个Excel文件中, 形成IP-MAC对应表, 以后在二次克隆完成后要指定IP地址时, 编制程序让其首先查询本地计算机的MAC地址, 然后根据这个MAC地址搜索IP-MAC对应表, 获取计算机之前设置的IP地址, 通过系统中内置的WMI (Windows Management Instrumentation) [1]实现对本地计算机控制与管理。
3 实现方法
VBS (Visual Basic Script) [2]是一种基于Visual Baisc的脚本语言, VBS编写的代码无需编译、不需要其他插件或运行库即可运行, 有着代码简单、便于修改、执行速度快等优点。VBS代码可通过Excel提供的接口操作Excel文档中的数据[3], WMI通过VBS编程可实现对计算机的配置管理。
将编制好的程序存放在母盘指定文件夹中, 并在启动组建立一个快捷方式, 就可以使克隆后的计算机在首次启动时自动执行该程序, 从而实现IP地址的自动配置。另外, 为了避免每次启动都执行该程序, 可以在IP地址配置完成后, 利用程序自动删除启动组的快捷方式, 以保证IP地址配置程序只执行一次。
下面以一个100台设备的机房为例, 说明如何利用VBS实现IP地址的自动分配。假设多媒体机房的子网掩码为255.255.255.0, 网关为192.168.2.1, 首选DNS和备用DNS分别为202.103.24.68、202.103.0.117, 工作组为YLS, 将IP地址的第四个字节作为计算机的编号, 规定计算机名由工作组名加计算机编号组成, 如YLS60。
3.1 VBS主程序
因为每台计算机的IP地址只需配置一次, 为了防止误操作, 在VBS代码主程序中首先显示用户确认信息。当用户确认需要执行后, 程序执行WMI查询, 获取网卡的MAC地址, 然后在之前备份好的IP-MAC对应表中搜索相应的IP地址, 截取第四个字节作为编号, 程序将根据设备编号, 自动完成IP地址等参数的配置, 并利用mreboot () 删除启动组快捷方式后自动重启。
主程序源代码如下:
主程序运行后点击取消可以终止程序运行, 下次启动时程序仍可以自动运行。
3.2 获取网卡物理地址
通过执行一个WMI查询语句可以获得安装的网卡并返回网卡的MAC地址, 函数的源代码如下:
3.3 获取计算机编号
根据WMI查询获取的网卡物理地址, 搜索IP-MAC对应表, 找到该计算机应配置的IP地址, 利用函数ipautomac () 截取最后一个字节作为计算机编号, 函数ipautomac () 的源代码如下:
3.4 配置信息
根据机房的约定及计算机的编号, 程序自动配置计算机IP地址、子网掩码、网关、工作组、计算机名等信息。
源代码如下:
3.5 配置完成
系统信息配置完成后, 程序调用mreboot () 删除启动组中的快捷方式后重启计算机。
源代码如下:
3.6 保存VBS并测试
以上代码可利用记事本编辑后保存为fip.vbs, 并在系统的启动组中建立快捷方式fip.lnk, 项目位置为fip.vbs的实际存放位置, 重新启动计算机或双击fip.lnk即可测试程序。通过笔者实测, 程序在Windows XP系统和安装了Excel 2003平台下运行通过。
4 结束语
利用VBS自动匹配MAC配置IP地址的方法, 在机房二次系统维护中得到了实际的应用。只要事先做好机房所有计算机的IP-MAC地址备份, 在二次系统维护的过程中, 无需任何手工操作, 即可在网络克隆完计算机后自动进行IP地址等计算机信息的配置。这种方法的代码可读性好、运行速度快, 大大缩短了系统维护的时间, 也便于结合机房的实际情况进行修改。
参考文献
[1] (美) Marcin Policht.WMI技术指南[M].北京:机械工业出版社, 2002.
[2]闫华礼.妙用VBS脚本整理磁盘[J].电脑迷, 2008 (1) :68.
校园网络IP地址分配策略和管理 篇7
我们以某学院为例, 该学院多媒体校园网络建于1999年, 目前网络范围基本覆盖整个学院。整个网络采用三层网络结构1000Mbps快速以太网技术, 核心网络设备通过一台思科路由器接入到互联网, 在网络核心使用一台阿尔卡特7700交换机, 所有的二层交换机为可管理的基于IOS的交换机。对于宿舍区, 用一台方正防火墙进行管理。
目前, 学院办公、教学电脑采用真实IP地址上网。在宿舍区, 由于IP地址数量不足, 该部分采用防火墙进行网络地址转换。
1 使用VLAN技术分配办公、教学电脑
VLAN (Virtual Local Area Network) 即虚拟局域网, 遵循IEEE 802.1Q协议标准, 是一种将网络设备在逻辑上划分为多个网段的虚拟工作组技术。这种技术应用于办公、教学电脑, 即学院各部门、多媒体课室、实验机房的上网电脑, 将同一个部门分布在不同物理位置的电脑在逻辑上划分为同一网段, 既可以享有同一网段的便利, 又可以将不同部门的信息在二层上隔离。
如表1所示, 我们将不同部门的电脑划分为各自的V L A N。
配置的关键命令如下: (以创建VLAN101为例)
vlan 101 name network;/创建VLAN101, 同时设置一个描述/
vlan 101 route ip 200.200.100.1 mask255.255.255.0 forward e2;
/为VLAN101配置一个IP router port200.200.100.1, 子网掩码为255.255.255.0, 路由转发状态为forwarding, 路由端口为Ethernet-II格式, 使VLAN101可以路由本V L A N内数据到其它子网/
2 使用ACL技术实现网络层权限控制
ACL (Access Control List) 是Cisco IOS所提供的一种访问控制技术, 初期仅在路由器上支持, 近些年来已经扩展到三层交换机。ACL使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。下文所有的配置实例均基于Cisco IOS的ACL进行编写。
2.1 关闭常见易受攻击的端口
T C P/I P协议中的端口范围是从0到65535, 因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。由于近年来互联网上病毒泛滥, 很多病毒借助某些端口进行传播和攻击, 譬如冲击波病毒和震荡波病毒。因此对于常见易遭受攻击端口进行封堵, 就显得尤为重要。如下控制列表access-list 120就是专门针对常见漏洞端口设计的, 将其应用在边界路由上, 便能够抵御来自互联网的大部分常见攻击。
访问控制列表access-list120及其作用:
access-list 120 deny tcp any any eq 5800access-list 120 deny tcp any any eq 5900用于防止受感染的系统被远程控制;
access-list 120 deny tcp any any eq 6667access-list 120 deny tcp any any eq 6588用于控制IP Protocol为255和0的流量;access-list 120 deny tcp any any eq 69access-list 120 deny tcp any any eq 135用于控制冲击波病毒的扫描和感染;
access-list 120 deny tcp any any eq 5554access-list 120 deny tcp any any eq 445用于控制震荡波病毒的扫描和感染;
access-list 120 permit ip any any
2.2 对网络设备的安全控制
交换路由设备默认是启用H t t p服务和Telnet服务的, 为了安全起见, 我们需要进行如下的安全控制。
2.2.1 关闭网络设备的Http服务
关闭交换路由设备的HTTP服务, 采用如下指令:no ip http server
HTTP服务是Cisco交换路由设备提供的Web管理服务, 但其存在一些安全漏洞, 所以最好将其关闭。
2.2.2 只允许网管电脑对交换路由设备的访问
网络控制部门的电脑在network网段内, 现在只允许源地址为200.200.100.2的包通过, 其它的包全部过滤掉。
access-list 1 permit host 200.200.100.2
line vty 0 4 (部分设备是15)
access-class 1 in
这里line vty 0 4代表我们使用Telnet登录交换路由设备时使用的几个虚拟接口。Telnet都是访问的设备上的line vty, 在line vty下面使用access-class与ACL组进行关联, in关键字表示控制进入的连接。这条规则应用之后, 只有从主机200.200.100.2发起的Telnet请求才会被接受。
我们来分析一下这个需求, 浏览internet现在基本上都是使用http或https进行访问, 标准端口是TCP/80端口和TCP/443, MSN使用T C P/1 8 6 3端口, Q Q登录会使用到TCP/UDP8000这两个端口, 还有可能使用到udp/4000进行通讯。而且这些软件都能支持代理服务器, 目前的代理服务器主要布署在TCP 8080、TCP 3128 (HTTP代理) 和TCP1080 (socks) 这三个端口上。这个需求如表2所示。
关键代码如下:
参考文献
[1]赵刚.Rajesh Kumar Sharma.NIIT.Cisco网络安全宝典[M].北京:电子工业出版社, 2002.
[2]诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件, 2005, 3.
IP地址和子网掩码的分析 篇8
1 IPv4的IP地址
IP v4地址由两部分组成,分别为网络标识和主机标识。IP地址的长度为32位,每个IP地址由4组8位二进制数表示,每组8位数之间由圆点隔开。由于32位二进制数书写不便也难于看懂和记忆,人们通常把每组8位二进制数转换成相应的1—3位十进制数来表示,中间用圆点分隔,每组十进制数的数值范围在0~255之间,这种表示方式被称为间断十进制计数法。例如,熟悉的百度的域名是www.baidu.com,它的主机IP地址的二进制数为00111101.10000111.10101001.01101001,相应的十进制数表示为61.135.169.105(注意,具体的IP地址是在变化的,这是笔者当前的测试结果)。
为了便于更好地对网络进行管理,把IP地址分成A、B、C、D、E 5类,在每类地址中又进一步再分为网络标识和主机标识,它们遵循如下原则,即:IP地址=网络地址(Netid)+主机地址(Hostid)。在这用32位二进制数表示的IP地址中,5类地址是不会有重复的,目前主要使用了A、B、C前3类。可以把一个网络地址理解为一个网段,在必要的情况下,一个网段还可能进一步划分成多个子网(方法在第三点)。下面是对IP地址所做的剖析(“N”表示网络地址,“H”表示主机地址)。
值得注意的是:在IP地址中,一般情况下网络地址不能全部为0和全部为1,主机地址也不能全部为0和全部为1。
在IP地址中有一些特殊地址,保留作为特殊用途,一般不使用。
(1)全0的主机地址,表示一个网络地址或本主机。
(2)全1的主机地址,表示一个网络广播地址,向该网段主机进行广播。
(3)全0的网络地址,表示本网络中的主机。
(4)全1的网络地址,表示所有的网络地址。
(5)全0的IP地址,即0.0.0.0只用于启动过程,以后不再使用。
(6)全1的IP地址,即255.255.255.255,表示向局域网络中的广播。
(7)网络地址127.X.X.X是回送测试地址,使用ping 127.0.0.1可以用来检测本机的TCP/IP协议是否正常工作。
(8)D类地址用于多点广播,E类地址保留。
通过分析,得出IP地址对应的十进制数及地址空间如表1所示。
既然IP地址在Internet中是全网唯一的,为什么有时会见到某一个单位内的IP地址与本单位或其他单位有相同现象(如都出现有192.168.1.3、10.0.0.2等地址),不会互相重复和冲突吗?原来很多单位内部的各台计算机都不是直接连入Internet的,而是通过Router(路由器)、代理服务器或ISP(因特网服务供应商)接入Internet。接入点的Edge Router(边缘路由器)屏蔽了用户单位内部的IP地址,最终是通过网络地址转换(Network Address Translation,NAT)技术,用网关的IP地址代表内部网络来访问互联网的,这就是为什么要在Windows操作系统中要设置网关的原因。这就好象在一所学校里,不同班级之间的学生都可以有相同的学号(如01、02、33号等),但都不会出现重复和信息相冲突现象。
其实在Internet中还保留了部分IP地址供用户自己使用。所以,完全可以放心大胆地根据自己的需要选用适当的专有网络地址段,来设置本单位局域网中的IP地址。路由器或网关会自动将这些IP地址拦截在局域网络之内,而不会将其路由(发送)到公有网络中。以下就是Internet保留的IP地址空间,如表2所示。
2 子网掩码
子网掩码即netmask,可以认为是IP地址对主机部分的屏蔽。它也是一个长度为32位的二进制数,采取网络部分用1标识,主机部分用0标识,最后转换为相应的十进制数来表示。一般在输入IP地址的同时输入子网掩码。表3是IP地址与子网掩码的一般对照表。
3 子网的划分
从上面第一点可知,对于A类地址每个网络数有16777214台主机,B类地址每个网络数也有65534台主机,但是很少有这么大的单位能够充分使用完这些主机地址的空间,这样就会造成IP地址空间的浪费;而C类地址每个网络数所容纳的主机数(254台)又相对太少,满足不了企业、学校等单位的计算机数量要求。为了提高IP地址的使用效率,可以将一个网络划分为多个子网。采用借位的方式,从主机最高位开始向右借位变为新的子网位,剩余部分仍为主机位。这使得IP地址的结构分为3部分:网络地址+子网地址+主机地址,如图1示。
引入子网概念后,网络地址加上子网地址才能全局唯一地标识一个网络。把所有的网络位用1来标识,主机位用0来标识,就得到了相应的子网掩码。现在就用一个C类地址作为例子来进行分析。如表4所示的IP地址和子网掩码转换为十进制后分别为192.168.1.163,255.255.255.224。
表4是用主机部分的高三位作为子网地址,它把一个C类地址划分成23-2=6个子网(全0或全1的子网地址通常不使用),每个子网的主机数为25-2=30台(这里主机占用5位,全0或者全1的主机地址不可用),全网的主机数为6×30=180台,而在没有划分子网前的一个C类IP地址的主机数为254台。相应的具体地址空间分配情况如表5所示。
同理,对于使用两位来作为子网地址时,则它把一个C类地址划分成22-2=2个子网(舍去00、11,剩下01、10),每个子网的主机数为26-2=62台,全网的主机数为2×62=124台。通过子网的划分,会有不同程度的IP地址的损失。子网划分是借助于取走部分主机位来作为子网位,因此,这就意味着划分越多的子网,每个子网内的主机数将越少。但是,这样划分的好处是便于更好地进行网络的管理,减少了由于在同一网段内的主机数量过多,而引起更多的数据信息冲突的发生,导致通信效率下降。
同样道理,对于A类或B类地址,亦可以划分为不同的子网段,它们可以划出比C类更多的子网,可以通过对其二进制的分析,得出相应的地址范围。
划分好子网后,在每个子网段中可以配置一台服务器,同一个网段的计算机之间可以进行互相通信,不同网段间的计算机通信将由服务器或路由器来完成。
在实际的组网过程中,要根据网络的结构与需求,确定每个子网中可用节点的数目,由此来选择合适的子网掩码。为了防止寻址和路由出现问题,应该确保在同一网段上所有使用TCP/IP协议的计算机都使用相同的子网掩码。
4 新一代IP地址IPv6
网络发展到今天,由于原来设计的IPv4地址资源已不能满足现实社会计算机数量的需求,于是新一代的IP地址由此诞生了。新一代的IP地址叫做IPv6,现正在启用之中,它由原来的32位二进制数扩展到128位二进制数。IPv6的地址在表示和书写时,用冒号将128比特分割成8个16比特的部分,每个部分用4位的16进制数来表示。例如:1080:0000:0000:0000:0008:0800:200C:123A。如其高位为0,则可以省略。例如将0800写成800,0008写成8,0000写成0。
IPv6已经开始使用,2006年中国已经建成并稳定运行全球第一个,也是规模最大的纯IPv6互联网主干网;在国际上首次提出了下一代互联网的新型寻址体系结构和两代互联网的独特过渡技术。我国在下一代互联网技术中有3项成果属于国际首创,总体上达到世界领先水平。
摘要:对网络的IP地址和子网掩码,进行了深入的分析和探讨。
关键词:IPv4,子网掩码,子网的划分,IPv6
参考文献
[1]刘鹏,万征.完全精通局域网.北京电脑爱好者杂志社,2009.
试谈Mac地址认证 篇9
关键词:Mac地址,802.1x,认证
1 Mac地址
Mac地址也叫物理地址、硬件地址,由网络设备制造商生产时烧录在网卡(Network Interface Card)的EPROM(一种闪存芯片,通常可以通过程序擦写)。IP地址与Mac地址在计算机里都是以二进制表示的,IP地址是32位的,而Mac地址则是48位的。Mac地址的长度为48位(6个字节),通常表示为12个16进制数,如:00-16-EA-AE-3C-40就是一个Mac地址,其中前6位16进制数00-16-EA代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数AE-3C-40代表该制造商所制造的某个网络产品(如网卡)的系列号。只要不更改自己的Mac地址,Mac地址在世界是惟一的。形象地说,Mac地址就如同身份证上的身份证号码,具有全球唯一性。
在Windows操作系统下查看Mac地址的常见方法为:点击“开始”→“运行”,在“运行”界面下输入“cmd”点击“确定”出现命令提示符,在c:>下输入ipconfig/all命令,出现的物理地址就是Mac地址,如图1所示。
2 Mac地址认证
Mac地址认证是一种基于端口和Mac地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的Mac地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
集中式Mac地址认证有两种方式。分别是Mac地址方式和固定方式。Mac地址方式:使用用户的Mac地址作为认证时的用户名和密码。固定方式:使用在交换机上预先配置用户名和密码进行认证。此时,要求所有用户都和交换机上配置的用户名和密码一一对应。
3 实现方法及思路
不同设备厂商的实现Mac认证的方法各不相同。实现过程中相关的命名需要网络操作系统支持。常见实现方法为:
方法一华为交换设备实现Mac地址认证的方法实现简洁,命令简单,思路清晰。
(1)全局使能MAC地址认证功能。
(2)设置集中式Mac地址认证方式为Mac地址方式,账号密码不带连字号。
(3)端口下使能Mac地址认证功能。
(4)配置本地Mac地址认证用户名、密码以及服务类型。
方法二思科交换设备实现基于客户端Mac地址的免认证特性的方法。当启用IEEE 802.1x认证的端口连接的设备无法进行交互认证的设备时,使用此特性。详细认证流程如图2所示。
(1)启用dot1x配置
(2)设置radius-server服务器地址、端口及密码
(3)配置dot1x的重认证周期
(4)配置dot1x认证的静默时间
(5)配置请求dot1x客户端发起认证的周期
配置请求dot1x客户端响应的最大次数
(6)配置接口实现认证
基于Mac地址的免认证特性受以下条件限制:
(1)只能够在一个已经启用了IEEE 802.1x认证的端口使用基于Mac地址的免认证特性。
(2)如果配置了Guest VLAN,当客户端属于一个非法的Mac时,交换机会把客户端分配到Guest VLAN。
(3)基于Mac地址的免认证特性的端口,不支持Restricted VLAN配置。
4 Mac地址认证的优缺点
基于Mac地址认证的访问控制对交换设备的要求不高,并且基本对网络性能没有影响,配置命令比较简单,比较适合中小型网络,较大规模的网络不建议适用。
基于Mac地址访问控制不需要额外的客户端软件,支持IP电话,网络打印机等网络终端设备,当一个客户端连接到交换机上会自动地进行认证过程。基于Mac地址访问控制功能允许用户配置一张Mac地址表,交换机可以通过存储在远端认证服务器或者交换机内部的Mac地址列表来控制合法或者非法的用户访问。
使用Mac地址访问控制技术要求网络管理员必须明确网络中每个网络终端设备的Mac地址,并要根据控制要求对交换机或者远端认证服务器的Mac表进行配置;因此采用Mac地址访问控制对于网管员来说,其负担是相当重的,而且随着网络设备数量的不断扩大,它的维护工作量也不断加大。
MAC地址和IP地址 篇10
摘要:本篇文章介绍了IP地址的种类,以及子网的划分特点,同时介绍了一道经典子网划分的考题,对大家在面对思科考试以及日常工作中都有实际参考价值。
关键词:子网划分;IP
1IP地址
在Internet上有千百万台主机,为了区分这些主机。方便这些主机之间共享资源,相互访问,我们分配给每台主机使用一个专门的地址,简称为IP地址。通过访问不同的IP地址就可以实现访问到联上Internet上的不同主机。IP地址的基本结构由4部分数字组成,每一部分数字对应于一个8位二进制数字,四个二进制部分之间用小数点分开。如某一台主机的1P地址为:202 101.200.100,Internet IP地址由NIC(Internet Network Information Center)这个机构统一负责全球地址的规划、管理。同时由Inter NIc、APNIC、RIPE等网络信息中心具体负责美国及全球其他地区的IP地址分配。APNIC负责亚太地区,我国申请IP地址要通过APNIC,申请时要考虑申请哪一类的IP地址,然后向国内的代理机构提出。
(1)IP地址根据网络号和主机号的数量而分为A、B、C三类:
A类IP地址:用7位(bjc)来标识网络号,24位标识主机号,最前面一位为“0”,即A类地址的第一段取值介于1~126之间。A类地址通常为大型网络而提供,全世界总共只有126个可能的A类网络,每个A类网络最多可以连接16777214台主机。
B类IP地址:用14位来标识网络号,16位标识主机号,前面两位是“10”。B类地址的第一段取值介于128~191之间,第一段和第二段合在一起表示网络号。B类地址适用于中等规模的网络,全世界大约有16000个B类网络,每个B类网络最多可以连接65534台主机。
C类IP地址:用21位来标识网络号,8位标识主机号,前面三位是“110”。C类地址的第一段取值介于192N223之间,第一段、第二段、第三段合在一起表示网络号。最后一段标识网络上的主机号。C类地址适用于校园网等小型网络,每个c类网络最多可以有254台主机。
(2)固定IP:固定1P地址是长期固定分配给一台计算机使用的IP地址,一般是特殊的服务器才拥有固定IP地址。
(3)动态IP:目前因为IPv4地址资源非常短缺,通过电话拨号上网或普通宽带上网用户一般不具备固定IP地址,而是由ISP服务商动态分配给用户使用暂时的一个IP地址。普通人一般并不需要去了解动态IP地址,这些都是计算机系统自动完成的。
(4)公有地址(Pu DI_c address)由Inter NIC(Internet NetworkInformation Center因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。
(5)私有地址(Private address)属于非注册地址,专门为组织机构内部使用。在IP地址3种主要类型中,各自保留了3个地址段作为私有地址,以下列出留用的内部私有地址:
A类10.0.0.0~10.255.255.255
B类172.16.0.0~172.31.255.255
C类192.168.0.0-192.168.255.255
2子网划分
(1)子网划分(subnetting)的优点:
·减少网络流量
·提高网络性能
·简化管理
·易于扩大地理范围
(2)通过IP地址和子网掩码的与运算,我们可以方便地算出:
·网络地址
·广播地址
·地址范围
·本网的主机数目
3实例解析
例:IP地址为128 36199.3,子网掩码是255.255.240.0。算出网络地址、广播地址、地址范围、主机数。
解答:
(1)将IP地址和子网掩码换算为二进制,子网掩码连续全1的是网络地址,后面的是主机地址,虚线前为网络地址,虚线后为主机地址。
(4)地址范围就是含在本网段内的所有主机。
网络地址+1即为第一个主机地址,广播地址-1即为最后一个主机地址,由此可以看出:
地址范围是:网络地址+1-广播地址-1
本例的网络范围是:128.36.192.1~128.36.207.254
(5)主机的数量
主机的数量=2二进制位数的主机-2
主机的数量=212-2=4094
MAC地址和IP地址 篇11
无线局域网 (WLAN) 在日常生活中的应用已经非常广泛, 技术也相当成熟, 无线局域网与有线局域网相比有非常大的优点:安装简便、使用便捷、成本低廉、便于扩展。无线局域网具备的这些特点, 适应了快捷上网的需求, 基于IEEE802.11协议的无线局域网已经广泛部署和应用于不适合大规模布线的场合。但是无线局域网的传输介质具有开放性等特点, 802.11协议本身也存在一些缺陷, 使其在以及应用用面临着各种入侵行为的威胁。本文在分析无线局域网中物理地址欺骗问题的基础上综合入侵检测技术给出了相应的检测策略。
1 MAC地址欺骗攻击
MAC地址位于数据链路层, 每个网络终端都有一个专属于它的MAC位址。MAC地址有6个字节, 具有全球唯一性, 每个设备当中的MAC地址是固定不变的, 但可以用软件的方法模拟别的MAC地址的数据包 (即修改网卡地址) 。IEEE 802.11协议规定, 在物理地址结构的SA字段一共有6个字节, 它们是用来作为标识数据帧的源地址, 但这个源地址没有规定对数据帧的操作如何进行认证。每次收到的数据帧是不是从合法的用户物理地址地址发送的, 数据接收者也无法确定。恶意用户通过一定的手段, 盗用合法用户的MAC地址, 利用相应的软件模拟数据包从而利用合法用户的权限达到欺骗目的。MAC地址欺骗攻击主要有假冒合法的工作站和ARP攻击两种。
2 WLAN入侵检测技术
2.1 用于入侵检测系统主要结构单元模块
wlan入侵检测系统的主要作用就是对wlan中的非法入侵行为进行检测, 它的工作流程就是先要捕获无线数据包, 其次分析数据包中的信息, 然后将分析到的情况传送给不同的检测单元模块, 最后检测单元模块再根据它的功能完成对应的入侵检测。入侵检测系统实现的主要功能是由控制中心单元模块, 检测匹配单元模块和无线AP这三部分来完成的。这其中检测匹配单元模块是整个系统的最核心部分, 这个单元模块中又有各个针对不同入侵的功能模块来组成, 各个小模块根据设计来完成特定的入侵行为检测。
2.2 入侵检测规则匹配
针对无线局域网当中常见的MAC地址欺骗攻击的规则设计如下:802.11协议中是由网卡内部直接设置数据帧头中的序列控制内容, 无法随意改变, 无线网络中的非法用户, 通过调用Ridiate和libnet函数库可以伪造802.11数据帧头和IP层及以上的数据帧头, 这样就可以通过检测同一个源物理地址发出的信标帧中的序列控制字段的内容是不是连续, 来识别是否有MAC地址欺骗攻击。
3 MAC地址欺骗检测
在无线局域网中, 标准MAC帧序列控制字段分为两部分:一部分是分段号子字段, 用来表示指定的介质服务数据单元模块 (MSDU) 的分段号;剩下一个部分是序列号子字段, 它是从0开始, 对每一个将要发送的MSDU序列号依次进行加1操作。无线局域网设备中的MAC地址通过特定的一些手段是可以进行修改的, 但是MSDU序列号在硬件当中是被固定的, 用户无法随意更改。如果恶意用户冒用合法用户的物理地址, 在网络系统中就会出现多个设备用相同的MAC地址, 这时序列控制字段的内容就出现不连续的情况, 它的值的变化就不具有原有的规律性。因此, 在进行MAC地址欺骗检测的时候根据MSDU序列号的变化来侦测无线局域网中是否有MAC地址欺骗。本文利用上述原理在Snort入侵检测技术的基础上开发MAC地址欺骗检测插件, 具体实现步骤如下:
(1) MAC地址欺骗攻击检测和入侵定位:恶意用户通过盗用网卡物理地址来假冒成正常用户, 并利用这种方式进入到WLAN网络中。由于恶意访客行为非常隐蔽, 通过普通的检测方法很难监控的到。WLAN中物理地址帧中的序列号分析可以对访客的这种未经授权的访问进行监控。IEEE802.11协议物理地址层的设计比原先的IEEE802的设计要繁复很多, 这样的设计是为了保证传输过程的可靠性和漫游的透明性, 因此在IEEE 802.11协议的头部增加了一个全新的字段—帧序列控制字段。通过使用这个控制字段, 对大的管理帧和数据帧进行分片。IEEE 802.11协议的传输帧中有2个字节作为序列控制字段:4位作为分片号, 12位作为序列号。当检测到无线局域网中存在MAC欺骗时, 可以通过一定的测试手段找出它们的大致位置。如果无线网卡设置成监控模式后, 针对该无线网卡捕获到的WLAN数据帧的前144个字节是PrismMonitorHeader结构。它是无线网卡在捕获无线帧自动添加到IEEE802.11协议物理地址 (MAC) 帧头部的数据, 里面的信息有无线网卡接入时的网络信号强度、传输速率等。其中的无线网卡信号强度和无线数据帧发送设备之间的距离远近成正比例关系, 所以可以根据信号强度来确认恶意用户使用的设备所在的大概范围。具体方法是:检测匹配单元在找出恶意用户使用设备的MAC地址后, 分析源地址恶意用户MAC地址的无线数据的信号强度, 根据检测匹配单元检测的到信号强度给出相应的范围, 最终在一定程度上确认入侵者使用设备所在的大概位置。
(2) MAC地址欺骗检测实现:此功能实现是利用系统当中的无线AP和检测匹配相结合进行检测的方法。定义如下的数据结构存储利用MAC欺骗进行入侵的非法入侵者的信息:
根据无线局域网的通信状况, AP发送数据包的序列号十分钟左右就可能从头到尾循环一次, 所以检测匹配单元实现的主要功能就是要对特定时间内序列号的变化顺序进行统计分析, 然后根据统计分析结果是否有不连续现象的发生来判断系统是否有MAC地址欺骗, 系统设定用t表示特定的时间段, 把t再分为相等的10段, 其时间长度通过intertime字段来表示;通过startmarks字段来记录t与开始监控的时间差。通过serialerrnum这个数组来记录在每个短暂的时间段内出现的和相应序列号规则变化不符合的无线数据帧。在每个短暂的时间段内, 包括近期无线数据帧时间的小段内产生的序列号的不匹配是记录在数组serialerrnum[endid]中的, 接着把时间t中发生的最早时间段内的序列号的不匹配情况记录在数组serialerrnum[startid]中。检测匹配单元监控的时候, 检测到某个无线设备在准备传送的无线数据帧时是严密按照序列号顺序改变的, 但是传送过来的无线数据帧不是严密按顺序变化的;或者是先发送了序列号大的管理帧, 然后发送序列号小的数据帧;或者先发送了序列号大的数据帧, 然后发送序列号小的管理帧。但前后两个无线数据帧序列号差别值一般在10范围之内, 并且管理帧的序列号是严格递增的, 数据帧的序列号也是严格增增的。根据上面各种情况, 系统设计的监控规则是:设置两个标准检测管理帧序列号是否严格按顺序变化, 其中一个标准是对全部的无线数据帧, 用abserialnum数组来记录检测到的无线数据帧序列号的最大值, 如果当前监控的无线数据帧的序列号的值abserialnum差的绝对值比30大, 并与检测匹配单元从控制中心的获取的MAC地址欺骗列表进行匹配, 如果发现基于这个MAC地址是第一次出现, 记为一次错误。
(3) 检测匹配过程:检测匹配单元根据捕获到的无线数据帧当中的源MAC地址, 查看是不是由授权的无线天线发射出来的。如果是, 找到该授权无线天线的数据结构信息, 根据检测到的无线数据帧的时间和开始检测的时间求差值的绝对值。
4 结语
无线局域网因为它自身独特的特性等到了快速的发展, 但其中隐含的安全问题也要引起我们的重视。网卡物理地址地址欺骗攻击是无线局域网面临的一个最常见安全隐患, 因此如何有效解决这类问题就成了保证无线局域网安全的一个关键问题。本文重点研究了这类安全隐患并结合入侵检测技术给出了相应的检测流程, 从而提高无线局域网的安全性。
摘要:对无线局域网 (WLAN) 的MAC地址欺骗问题进行了深入的剖析, 并在入侵检测的基础上采用了帧序列号顺序校验技术来解决此类入侵行为, 提高了无线局域网的安全性。
关键词:无线局域网,MAC地址欺骗,入侵检测
参考文献
[1]司纪锋, 王美琴.无线局域网MAC地址欺骗攻击的检测[J].计算机技术与发展, 2006, 16 (2) :232-234
[2]吕何甲, 任新华.IEEE 802.11 MAC地址欺骗及其检测技术[J].电脑开发与应用, 2007 (3) :51-53
[3]冯柳平, 刘祥南, 刘明业.IEEE802.11访问控制与MAC地址欺骗[J].微电子学与计算机, 2006 (1) :25-27
[4]黎喜权, 李肯立, 李仁发.无线局域网中的入侵检测系统研究[J].科学技术与工程, 2006 (6) :18-20