MAC地址与IP地址绑定
MAC地址与IP地址绑定
1引言
对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定
策略,这种做法是十分危险的,本文将就这个问题进行探讨。在这里需要
声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有
任何黑客性质。
1.1为什么要绑定MAC与IP地址
影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常
见且危害极大的因素。现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人
盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。
盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般
都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无
法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址,这种网络互连设备显然无能为力了。“道高一尺,魔高一丈”,对于Ethernet内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地
址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。
1.2MAC与IP地址绑定原理
IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且
网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗
用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内
部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC
地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与
IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止
网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。
从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的
绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
2破解MAC与IP地址绑定策略
2.1IP地址和MAC地址简介
现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、
网络层、传输层和应用层。
Ethernet协议是链路层协议,使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志,网卡生产时将其存于网卡的EEPROM中。网卡的MAC地址各不相同,MAC地址可以唯一标志一块网卡。
在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。
Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报
文的发送端和接收端。IP协议应用于网络层,使用的地址为IP地址。使
用IP协议进行通讯,每个IP报文头中必须含有源IP和目的IP地址,用
以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报
文时,IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机
或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个
IP地址。MAC地址和IP地址之间并不存在一一对应的关系。
MAC地址存储在网卡的EEPROM中并且唯一确定,但网卡驱动在发送Ethernet报文时,并不从EEPROM中读取MAC地址,而是在内存中来建立
一块缓存区,Ethernet报文从中读取源MAC地址。而且,用户可以通过
操作系统修改实际发送的Ethernet报文中的源MAC地址。既然MAC地址
可以修改,那么MAC地址与IP地址的绑定也就失去了它原有的意义。
2.2破解方案
下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务,防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC
地址与1P地址对如果无法与防火墙中设
试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和
IP地址。首先,在控制面板中选择“网络和拨号连接”,选中对应的网
卡并点击鼠标右键,选择属性,在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”,再在“属性”栏中选择“NetworkAddre”,在“值”栏中选中输人框,然后在输人框中输人被盗
用设备的MAC地址,MAC地址就修改成功了。
然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP
地址:将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP
地址。主机1可以访问外部服务器,能够顺利地通过防火墙,访问权限与
主机2没有分别。而且,与此同时主机2也可以正常地访问外部服务器,
完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1如果访问内部服务器,根本无需通过防火墙,更是畅通无阻了。
盗用内部服务器IP地址:将主机1的MAC地址和U地址修改为内部
服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显,主机1上提供的Web服务内容与内部服务器提供的内容不同。
因为在实际的实验中主机1与主机2连在同一个HUB上,主机2的访问请求总是先被主机1响应,主机2期望访问的是内部服务器,得到的却总是主机1提供的内容。更一般地,主机2如果试图访问内部服务器,获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性,要看它的访问请求首先被谁响应,在后面的分析中我们将进一步对此进行阐述。
盗用服务器的MAC和IP危害可能更大,如果主机1提供的Web内容和内部服务器中的内容一样,那么主机2将无法识别它访问的到底是哪个机器;如果Web内容中要求输人账号、密码等信息,那么这些信息对于主机1来说则是一览无遗了。
3破解成功的原因
上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷,无法有效地防止内部IP地址被盗用。接下来,将从理论上对该缺陷进行详细的分析。
缺陷存在的前提是网卡的混杂接收模式,所谓混杂接收模式是指网卡可以接收网络上传输的所有报文,无论其目的MAC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式,才使网卡驱动程序支持MAC地址的修改成为可能;否则,就算修改了MAC地址,但是网卡根本无法接收相应地址的报文,该网卡就变得只能发送,无法接收,通信也就无法正常进行了。
MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的,但驱动程序并不从网卡的EEPROM中读取MAC,而是在内存中建立一个MAC 地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如
果将该缓存区中的内容修改为用户设置的MAC地址,以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。
如果仅仅是修改MAC地址,地址盗用并不见得能够得逞。Ethernet 是基于广播的,Ethernet网卡都能监听到局域网中传输的所有报文,但是网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求,而这两个访问请求的响应报文对于这两台主机都是匹配的,那么这两台主机就不只接收到自己需要的内容,而且还会接收到目的为另外一台同MAC主机的内容。
按理说,两台主机因为接收了多余的报文后,都应该无法正常工作,盗用马上就会被察觉,盗用也就无法继续了;但是,在实验中地址被盗用之后,各台实验设备都可以互不干扰的正常工作。这又是什么原因呢答案应该归结于上层使用的协议。
目前,网络中最常用的协议是TCP/IP协议,网络应用程序一般都是运行在TCP或者UDP之上。例如,实验中Web服务器采用的HTTP协议就是基于TCP的。在TCP或者UDP中,标志通信双方的不仅仅是IP地址,还包括端口号。在一般的应用中,用户端的端口号并不是预先设置的,而是协议根据一定的规则生成的,具有随机性。像上面利用IE来访问Web 服务器就是这样。UDP或者TCP的端口号为16位二进制数,两个16位的随机数字相等的几率非常小,恰好相等又谈何容易两台主机虽然MAC地址和IP地址相同,但是应用端口号不同,接收到的多余数据由于在
TCP/UDP层找不到匹配的端口号,被当成无用的数据简单地丢弃了,而TCP/UDP层的处理对于用户层来说是透明的;所以用户可以“正确无误”地正常使用相应的服务,而不受地址盗用的干扰。
当然,某些应用程序的用户端口号可能是用户或者应用程序自己设置的,而不是交给协议来随机的生成。那么,结果又会如何呢例如,在两台MAC地址和IP地址都相同的主机上,启动了两个端口相同的应用程序,
这两个应用是不是就无法正常工作了呢其实不尽然。
如果下层使用的是UDP协议,两个应用将互相干扰无法正常工作。如
果使用的是TCP协议,结果就不一样了。因为TCP是面向连接的,为了实
现重发机制,保证数据的正确传输,TCP引入了报文序列号和接收窗口的
概念。在上述的端口号匹配的报文中,只有那些序列号的偏差属于接收窗
口之内的报文才会被接收,否则,会被认为是过期报文而丢弃。TCP协议
中的报文的序列号有32位,每个应用程序发送的第一个报文的序列号是
严格按照随机的原则产生的,以后每个报文的序列号依次加1。
窗口的大小有16位,也就是说窗口最大可以是216,而序列号的范
围是232,主机期望接收的TCP数据的序列号正好也处于对方的接收范围
之内的概率为1/216,可谓小之又小。TCP的序列号本来是为了实现报文
的正确传输,现在却成了地址盗用的帮凶。
4解决MAC与IP地址绑定被破解的方法
解决MAC与IP地址绑定被破解的方法很多,主要以下几种。
交换机端口、MAC地址和IP地址三者绑定的方法;代理服务与防火
墙相结合的方法;用PPPoE协议进行用户认证的方法;基于目录服务策略
的方法;统一身份认证与计费软件相结合的方法等(这些方法的实现原理
和过程可以参考拙作《校园网IP地址盗用解决方案》)。在这里笔者尤
其推荐最后一种方法,这种方法是将校园网办公自动化系统和网络计费软
件结合在一起而实现的,这在校园网信息化建设的今天具有很强的实践性。
MAC与IP绑定
一、基础知识二、什么是MAC地址三、IP地址与MAC地址的区别四、为什么要用到MAC 地址五、怎样获得自己的MAC地址六、MAC地址涉及到的安全问题七、如何修改自己的MAC地址八、如何解决MAC地址带来的安全问题一、基础知识如今的网络是分层来实现的,就像是搭积木一样,先设计某个特定功能的模块,然后把模块拼起来组成整个网络。局域网也不例外,一般来说,在组网上我们使用的是IEEE802参考模型,从下至上分为:物理层、媒体接入控制层(MAC),逻辑链路控制层(LLC)。标识网络中的一台计算机,一般至少有三种方法,最常用的是域名地址、IP地址和MAC地址,分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理,但由于一台计算机的IP地址可以由用户自行设定,管理起来相对困难,MAC地址一般不可更改,所以把IP 地址同MAC地址组合到一起管理就成为常见的管理方式。二、什么是MAC地址MAC 地址就是在媒体接入层上使用的地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址与网络无关,也即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,都有相同的MAC地址,它由厂商写在网卡的BIOS里。MAC地址可采用6字节(48比特)或2字节(16比特)这两种中的任意一种。但随着局域网规模越来越大,一般都采用6字节的MAC地址。这个48比特都有其规定的意义,前24位是由生产网卡的厂商向IEEE申请的厂商地址,目前的价格是1000美元买一个地址块,后24位由厂商自行分配,这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。另外,2字节的MAC地址不用网卡厂商申请。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE 分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。三、IP地址与MAC地址的区别IP地址基于逻辑,比较灵活,不受硬件限制,也容易记忆。MAC 地址在一定程度上与硬件一致,基于物理,能够标识具体。这两种地址各有好处,使用时也因条件而采取不同的地址。四、为什么要用到MAC地址这是由组网方式决定的,如今比较流行的接入Internet的方式(也是未来发展的方向)是把主机通过局域网组织在一起,然后再通过交换机和Internet相连接。这样一来就出现了如何区分具体用户,防止盗用的问题。由于IP只是逻辑上标识,任何人都随意修改,因此不能用来标识用户;而MAC地址则不然,它是固化在网卡里面的。从理论上讲,除非盗来硬件(网卡),否则是没有办法冒名顶替的(注意:其实也可以盗用,后面将介绍)。基于MAC地址的这种特点,局域网采用了用MAC地址来标识具体用户的方法。注意:具体实现:在交换机内部通过“表”的方式把MAC地址和IP地址一一对应,也就是所说的IP、MAC绑定。具体的通信方式:接收过程,当有发给本地局域网内一台主机的数据包时,交换机接收下来,然后把数据包中的IP地址按照“表”中的对应关系映射成MAC地址,转发到对应的MAC地址的主机上,这样一来,即使某台主机盗用了这个IP地址,但由于他没有这个MAC地址,因此也不会收到数据包。发送过程和接收过程类似,限于篇幅不叙述。综上可知,只有IP而没有对应的MAC地址在这种局域网内是不能上网的,于是解决了IP盗用问题。五、怎样获得自己的MAC地址MAC地址固化在网卡中的BIOS中,可以通过DOS命令取得。Win9x用户可以使用winipcfg命令,Win2k/XP用户可以使用ipconfig/all命令,其中用16进制表示的12位数就是MAC地址(图1)。 六、MAC地址涉及到的安全问题从上面的介绍可以知道,这种标识方式只是MAC 地址基于的,如果有人能够更改MAC地址,就可以盗用IP免费上网了,目前网上针对小区宽带的盗用MAC地址免费上网方式就是基于此这种思路。如果想盗用别人的IP地址,
MAC地址绑定与IP绑定区别讲解
MAC地址绑定与IP绑定区别讲解在网络通信中,MAC地址绑定和IP地址绑定是两种常见的安全措施。它们都是限制特定设备的访问权限,提高网络的安全性。然而, 它们之间存在一些区别。本文将详细讲解MAC地址绑定与IP地址绑 定的区别,并探讨它们各自的优劣势。 一、MAC地址绑定 MAC地址(Media Access Control Address)是设备的物理地址,通 常由设备的网卡厂商预先分配。每个网络设备都拥有唯一的MAC地址,用于在局域网中进行数据通信。MAC地址绑定是一种通过识别MAC 地址来控制访问的方式。 1.1 原理 MAC地址绑定基于一个简单的原理,即只有经过认证的MAC地址 才能够通过网络设备进行通信。网络管理员将特定设备的MAC地址与 网络访问策略进行绑定,该设备在网络上的通信可以顺利进行。非授 权的设备将被阻止访问网络。 1.2 优势 MAC地址绑定具有以下优势: (1)安全性高:由于MAC地址是设备的物理地址,无法被更改,因此MAC地址绑定提供了较高的安全性。
(2)易于配置:网络管理员可以通过简单的配置过程将MAC地址与网络绑定,不需要额外的设备或软件支持。 (3)不受IP地址变化的影响:即使IP地址发生变化,通过MAC 地址绑定的设备仍然可以顺利访问网络。 1.3 缺点 MAC地址绑定存在一些缺点: (1)繁琐的管理:对于大型网络而言,管理维护所有设备的MAC 地址绑定是一项繁重的任务。 (2)无法在不同网络间漫游:由于MAC地址是局限在本地网络中,当设备从一个网络漫游到另一个网络时,需要重新进行MAC地址绑定。 二、IP地址绑定 IP地址(Internet Protocol Address)是设备在网络上的标识,用于 在广域网中进行数据通信。IP地址绑定是一种通过识别IP地址来控制 访问的方式。 2.1 原理 IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。网 络管理员将指定的IP地址与网络访问策略进行绑定,只有使用这些IP 地址的设备可以顺利进行通信,其他设备将被拒绝访问。 2.2 优势 IP地址绑定具有以下优势:
ip和mac绑定的几种方法
H3C华为交换机端口绑定基本配置 1,端口+MAC a)AM命令 使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。 b)mac-address命令 使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 [SwitchA]mac-address max-mac-count 0 配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac 学习数为0,使其他PC接入此端口后其mac地址无法被学习。 2,IP+MAC a)AM命令 使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。 支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、 S3526E/C/EF、S5012T/G、S5024G b)arp命令 使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3 配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。 3,端口+IP+MAC
ip与mac地址的绑定命令
ARP -s 192.168.0.2 00-EO-4C-6C-08-75 这样,就将你上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了。 怎样用命令把IP地址与MAC地址绑定 CISCO交换机或路由器上绑定IP和网卡的硬件地址 网卡的MAC地址通常是惟一确定的,在路由器中建立一个IP地址与MAC地址的对应表,只有“IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答,来控制IP-MAC不匹配的主机与外界通讯,达到防止IP地址的盗用。 比如局域网某一用户的IP地址为:202.196.191.190,MAC地址为:0010.40bc.b54e,在Cisco 的路由器或交换机的路由模块上使用命令: router(config)# arp 202.196.191.190 0010.40bc.b54e arpa 把该IP地址与MAC地址进行绑定,若有人盗用该IP地址,因其MAC地址的唯一性,使得IP地址与MAC地址不匹配而盗用失败.对于哪些未分配的IP地址,我们可以为其绑定一个MAC地址,比如,0000.0000.0000,使其不被盗用.比如:202.196.190.119未被使用,通过以下命令把其绑定起来. router(config)# arp 202.196.191.190 0000.0000.0000 arpa 总结:通过使用MAC地址和IP地址可以有效的防止IP地址被盗用的情况,虽然在前期收集用户MAC地址的时候比较麻烦,但是建立这样的机制能够为用户在管理网络时带来很多的方便。所以,我们在构建网络的初期就应该将局域网内机器的MAC地址信息收集起来,为我们今后的网络管理工作带来便利! 如果是Windows 98/Me,则运行“winipcfg”,在对话框看的IP地址就是,而“适配器地址”就是网卡的MAC地址。 而如果是Windows 2000/XP系统,则要在命令提示符下输入“ipconfig /all”。显示列表中的“Physical Address”就是MAC地址,“IP Address”就是IP地址;要将二者绑定,可以输入“arp -s 你的IP地址你的MAC地址”,如“ARP -s 192.168.1.5 80-00-0B-B4-36-70”。 命令行实现MAC与IP地址绑定 ip mac绑定如何绑定mac地址 般手上没有软件,就可以使用这命令行实现MAC与IP地址绑定 为什么要绑定IP呢?你指定的IP能上外网不就可以了吗?之所以要绑定IP,是因为他会会改IP。比如我本机上的IP是192.168.1.11此IP已经在防火墙上面做了设定不可以上网,但我要是知道有一个IP是192.168.1.30的IP能上网,那我不会改把192.168.1.11换成192.168.1.30就可以上网了吗?所以绑定IP就是为了防止他改IP。因为网卡的MAC地址是全球唯一的跟我们的身份证一样,他一但改了,就不认了。那如何绑定呢? 例如我的IP是192.168.1.11,网卡的MAC地址是00-11-2F-3F-96-88(如何看到自己的MAC 地址呢?在命令行下输入ipconfig /all,回应如下: Physical Address. . . . . . . . . : 00-11-2F-3F-96-88 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.11 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 61.177.7.1 Primary WINS Server . . . . . . . : 192.168.1.254
IP和MAC地址绑定
一.WINDOWS下绑定 ARP绑定网关 步骤一: 在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址,并将其记录下来。 注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。 步骤二: 步骤二: 如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。 要想手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。 手工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑定完,可再用arp -a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。 作批处理文件 在客户端做对网关的arp绑定,具体操作步骤如下: 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二:
IP地址与Mac地址绑定
I P地址与M a c地址绑 定 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
I P地址与M a c地址绑定拓扑图如下: 一、静态地址绑定: [SW1 Info: 1 static user-bind item(s) added. Info: 1 static user-bind item(s) added. 二、DHCP地址池中 IP地址与Mac地址绑定 [SW1]ip pool 192network [SW1-ip-pool-192network] [SW1-ip-pool-192network] [SW1-ip-pool-192network]ex [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192network] [SW1-ip-pool-192network] 注意在地址池中ip地址与Mac地址绑定时出现的错误: Error:The static-MAC is exist in this IP-pool. 错误:这个静态MAC地址在地址池中已经存在。 ----DHCP已经给这个MAC地址分配IP了,不能绑定。 解决方法: 这个可能是因为这个MAC已经获取到其它IP了,你清空下DHCP地址池试试,普通视图用reset ip pool 踢出来。 例如,reset ip pool name 1 all?。
reset ip pool { interface interface-name | name ip-pool-name } { low-ip-address high-ip-address | all | conflict | expired | used } 参数说明 name ip-pool-name IP地址池名称。字符串形式,长度范围是1~64。interface interface-name 接口地址池名称,一般以接口类型和接口编号命名。字符串形式,长度范围是1~64。 low-ip-address 地址段的起始地址。 high-ip-address 地址段的结束地址。 all 所有的地址。 conflict 冲突的IP地址。 expired 过期的IP地址,处于空闲状态。 used 使用的IP地址。 视图 用户视图、系统视图 缺省级别 3:管理级 使用指南 reset ip pool命令用来重置指定的IP地址池的地址状态至空闲状态。指定地址段用来重置地址段内所有地址状态至空闲状态;指定all、conflict、expired、used 等参数用来重置具体地址状态对应的地址。 三、基于vlan的IP地址与Mac绑定
交换机和电脑ip mac地址的绑定!
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址 注意: 以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。注意: 以上功能适用于思科2950、3550、4500、6500系列交换机 2.方案2——基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10 #清除名为MAC10的访问列表 此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。 注意:
华为路由器ipmac地址绑定(保存配置)
1、登录学校路由器: Telnet 学校公网地址(不知道自己的互联网出口地址的可以看一下电脑的网关地址),然后回车 如:telnet 60.219.7.229回车或者Telnet电脑ip的网关 2、提示你输入路由的用户名和密码,在输入密码的时候是看不到输入的字符的,因为密码设置的为cipher模式。然后敲回车。 3、输入disarp,查看arp缓存信息 这里记录者目前电脑通过自动获取的IP地址信息。老师们可以将其复制到excel表格里,但是最好能确定mac地址所对应的是哪一台电脑。 4、然后执行system命令,敲回车,进入全局模式
5、在全局模式下关闭DHCP ,执行命令undo dhcp enable 回车,下面所有设备将不能自动获取地址,如图 5、在全局模式下输入user-bind static ip-address x.x.x.x mac-address xxxx-xxxx-xxxx敲回车 如下图:对1.1.1.1进行绑定(删除绑定在命令前面加入undo) 6、在全局模式下输入:disdhcp static user-bind all 可查看绑定信息。如图 7、绑定的1.1.1.1 只能给0001-0001-0001 mac地址的电脑使用。其他mac地址无法使用该IP地址。 8、还有一种方法:使用arp static x.x.x.xxxxx-xxxx-xxxx,这样也可以做绑定。绑定如图: 以上通过arp绑定的方法需要将局域网内的所有IP与mac进行,例如 一个局域网中有4台电脑,通过arp static绑定了4个电脑对应的ip与mac地址,但是这4台电脑还可以修改为没有做绑定的IP地址进行上网 192.168.1.2 2222-2222-2222 (黎明) 192.168.1.3 3333-3333-3333 (刘德华) 192.168.1.4 4444-4444-4444 (周润发) 192.168.1.5 5555-5555-5555 (梁朝伟)。 现在黎明的电脑进行了地址绑定,但是黎明可以手动将电脑的地址修改为192.168.1.6 继续进行上网,同样刘德华也可以将自己的地址修改为192.168.1.6.。这样还是会出现冲突。 所以我们要将子网内的所有地址和mac地址进行绑定 192.168.1.6 0000-0000-0000 (这个mac地址一定要用一个假的不存在的地址) 192.168.1.7 0000-0000-0000 (同样) ……………… 192.168.1.254 0000-0000-0000 这样绑定以后上面4位明星的电脑只能用他们的地址。 如果现在局域网中又加入一台电脑,想要让他上网的话,假如给他一个地址192.168.1.6 ,那么需要将192.168.1.6 0000-0000-0000 这条删除,命令是undoarp static
IP地址与Mac地址绑定
IP地址与Mac地址绑定 ■ 2皿* j5Ea»e 一、静态地址绑定: [SW1]user-b ind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. [SW1]user-bi nd static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中IP地址与Mac地址绑定 [SW1]ip pool 192 network [SW1-ip-pool-192 network]gateway-list 192.168.1.1 [SW1-ip-pool-192 network] network 192.168.1.0 mask 255.255.255.0 [SW1-ip-pool-192 network]excluded-ip-address 192.168.1.240 192.168.1.254 [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192 network]d ns-list 202.106.0.20 8.8.8.8 [SW1-ip-pool-192 network] [SW1-ip-pool-192 network]static-bi nd ip-address 192.168.1.120 mac-address 5489-986B-7896 注意在地址池中ip地址与Mac地址绑定时岀现的错误: [SW1-ip-pool-192 network]static-bi nd ip-address 192.168.1.20 mac-address 5489-983E-384D Error:The static-MAC is exist in this IP-pool. 错误:这个静态MAC地址在地址池中已经存在。 ---------- D HCP已经给这个MAC地址分配IP了,不能绑定。 拓扑图如下: 肌m匚:5斗讓4麋-2S-5B-BL ID: 1&2■工HE .1 .16^ -^ac : 54-ac_cg_@4-0D-67 IP: 19 2 .les -1.206 loop^:S.8.S ・ S/24
MAC地址与IP地址绑定
MAC地址与IP地址绑定 1引言 大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略,这是非常 危险的。本文将讨论这个问题。这里需要注意的是,本文关注的是MAC和IP地址绑定策 略的安全性,不具有任何黑客性质。 1.1为什么要绑定mac与ip地址 影响网络安全的因素很多。IP地址盗窃或地址欺骗是常见且有害的因素之一。在现实中,许多网络应用都是基于IP的,比如流量统计、账户控制等,都将IP地址作为标记用 户的重要参数。如果有人窃取了合法地址并假装是合法用户,网络上传输的数据可能会被 破坏、窃听,甚至被盗用,造成无法弥补的损失。 盗用外部网络的ip地址比较困难,因为路由器等网络互连设备一般都会设置通过各 个端口的ip地址范围,不属于该ip地址范围的报文将无法通过这些互连设备。但如果盗 用的是ethernet内部合法用户的ip地址,这种网络互连设备显然无能为力了。“道高一尺,魔高一丈”,对于ethernet内部的ip地址被盗用,当然也有相应的解决办法。绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。 1.2mac与IP地址的绑定原则 ip地址的修改非常容易,而mac地址存储在网卡的eeprom中,而且网卡的mac地址 是唯一确定的。因此,为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip 地址,以获得权限外的信息),可以将内部网络的ip地址与mac地址绑定,盗用者即使修 改了ip地址,也因mac地址不匹配而盗用失败:而且由于网卡mac地址的唯一确定性, 可以根据mac地址查出使用该mac地址的网卡,进而查出非法盗用者。 目前,许多单位的内部网络,尤其是校园网,都采用了MAC地址和IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)也在MAC地址和IP地址之间内置绑定功能,以防止网络内的IP地址被盗。 从表面上看来,绑定mac地址和ip地址可以防止内部ip地址被盗用,但实际上由于 各层协议以及网卡驱动等实现技术,mac地址与ip地址的绑定存在很大的缺陷,并不能真正防止内部ip地址被盗用。 2.破解MAC和IP地址之间的绑定策略 2.1ip地址和mac地址简介 目前的TCP/IP网络是一个四层协议结构,由下至上由链路层、网络层、传输层和应 用层组成。
交换机IP和MAC绑定设置方案
交换机IP和MAC绑定设置(shèzhì)方案目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对(zhēnduì)Cisco的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(dìzhǐ)(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案(fāng àn)1--基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置(pèizhì)模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除(shānchú)绑定主机的MAC地址 注意(zhù yì): 以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换(gēnhuàn)或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。 注意(zhù yì): 以上功能适用(shìyòng)于思科2950、3550、4500、6500系列交换机 2.方案2--基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) Switch(config)no mac access-list extended MAC10
谈谈IP-MAC端口绑定三种方式的优劣
谈谈IP、MAC与交换机端口绑定的方法 Jack Zhai 信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MAC与IP的绑定是常用的方式,IP地址是计算机的“姓名”,网络连接时都使用这个名字;MAC地址则是计算机网卡的“身份证号”,不会有相同的,因为在厂家生产时就确定了它的编号。IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,“身份冒充”相对容易,网络就不安全了。 遵从“花瓶模型”信任体系的思路,对用户进行身份鉴别,大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证),目的就是实现用户账号、IP、MAC的绑定,从计算机的确认到人的确认。 身份认证模式是通过计算机内安全客户端软件,完成登录网络的身份鉴别过程,MAC地址也是通过客户端软件送给认证服务器的,具体的过程这里就不多说了。 一、问题的提出与要求 有了802.1x的身份认证,解决的MAC绑定的问题,但还是不能定位用户计算机的物理位置,因为计算机接入在哪台交换机的第几个端口上,还是不知道,用户计算机改变了物理位置,管理者只能通过其他网管系统逐层排查。那么,能否可以把交换机端口与IP、MAC一起绑定呢?这样计算机的物理位置就确定了。 首先这是有关安全标准的要求: 1)重要安全网络中,要求终端安全要实现MAC\IP\交换机端口的绑定 2)有关专用网络中,要求未使用的交换机端口要处于关闭状态(未授权前不 打开) 其次,实现交换机端口绑定的目标是: ∙∙防止外来的、未授权的计算机接入网络(访问网络资源) ∙∙当有计算机接入网络时,安全监控系统能够立即发现该计算机的MAC与IP,以及接入的交换机端口信息,并做出身份验证,属于未授权的能够报警或终止计算机的继续接入,或者禁止它访问到网络的任何资源
IP与Mac绑定的方法
绑定: 1.进入超级终端。 2.输入sys,回车(从监控模式< >进入配置模式[ ])。 3.输入user-bind static ip-address IP地址 mac-address Mac地址 interface g0/0/接口地址(交换机端口号),回车。注:这里可以将要绑定的项目一次性全部逐条输入,输入结束后可以用dis cur(此命令只能在监控模式和配置模式下使用)命令进行查询,检查是否有漏掉的项目。 4.输入interface g0/0/接口地址(交换机端口号),回车(进入接口模式)。 注:此时可以用dis this(此命令只能在接口模式使用)命令进行查询,若ip source check user-bind enable和ip source check user-bind check-item ip-address命令已存在的话则可以不用输入。
5.输入ip source check user-bind enable,回车。 6.输入ip source check user-bind check-item ip-address,回车。 7.输入quit,回车(回到配置模式)。 8.输入quit,回车(回到监控模式)。 9.输入save,回车(保存),完成绑定。 注:此时可以用dis cur命令进行查询,检查是否有漏掉的项目。 删除: 1.输入sys,回车(从监控模式进入配置模式)。 2.输入undo user-bind static IP地址,回车。 注:此处一定要加上需要删除绑定的IP地址,否则将会把之前输入的全部IP绑定信息全部删除。 3.输入undo ip source check user-bind enable,回车。 4.输入undo ip source check user-bind check-item ip-address,回车,完成删除。
MAC与IP绑定
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:ng=1 cellPadding=0 width="80%" align=left bgColor=#cccccc border=0> Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址 注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。 注意:以上功能适用于思科2950、3550、4500、6500系列交换机 2.方案2——基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) Switch(config)no mac access-list extended MAC10 #清除名为MAC10的访问列表 此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。 注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。 3.方案3——IP地址的MAC地址绑定 只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。 Switch(config)Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 (config)Ip access-list extended IP10 #定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)Permit 192.168.0.1 0.0.0.0 any