局域网隐藏自己的IPWord文档下载推荐.docx
《局域网隐藏自己的IPWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《局域网隐藏自己的IPWord文档下载推荐.docx(12页珍藏版)》请在冰点文库上搜索。
理服务器的原理是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程
服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请
求转交远程服务器,从而实现客户机和远程服务器之间的联系。
很显然,使用代理服
务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址
,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
而且,这样还有一个好
处,那就是如果有许多用户共用一个代理器时,当有人访问过某一站点后,所访问的
内容便会保存在代理服务器的硬盘上,如果再有人访问该站点,这些内容便会直接从
代理服务器中获取,而不必再次连接远端服务器,因此可以节约带宽,提高访问速度
。
1.Win9x用户
在Win9x下如果你是个拨号上网用户,就完全不需要登录到NT局域网络环境,只
需要在“控制面板”→“网络”,删除“Microsoft网络用户”,使用“Microsoft友
好登录”,另外也不要去设置“文件打印共享”就可以了。
2.WinNT用户
在WinNT下你可以取消NetBIOS与TCP/IP协议的绑定,方法是:
“控制面板”→“
网络”→“NetBIOS接口”→“WINS客户(TCP/IP)”,选择“禁用”,确定后重启。
3.Win2000或者WinXP用户
先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再
用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”。
双击
“Internet协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP筛选
”,在“只允许”中填入除了139之外要用到的端口。
注:
如果你在局域网中,这样
会影响局域网的使用。
下面再介绍一个对Win9x/NT/2000/XP用户都有效地办法:
自己定制防火墙规则。
以天网个人防火墙为例,选择一条空规则,规定如下规则:
“数据包方向”选“接收
”,“对方IP地址”选“任何”,“协议”选“TCP”,“本地端口”选“139到139
”,“对方端口”选“0到0”,在“标志位”中选上“SYN标志”,“动作”选“拦
截”,然后保存即可。
防范网络剪刀手等工具的办法
网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。
解决办法:
应该把你的网络安全信任关系建立在IP+MAC地址基础上,设置静态的MAC-地址->
IP对应表,不要让主机刷新你设定好的转换表。
具体步骤:
编写一个批处理文件arp.bat内容如下(假设192.168.1.2的mac地址是00-22-aa-00-22-aa):
@echooff arp-d arp-s192.168.1.200-22-aa-00-22-aa...arp-s192.168.1.25400-99-cc-00-99-cc(所有的IP与相应MAC地址都按上面的格式写好) 将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可。
将这个批处理软件拖到每一台主机的“windows--开始--程序--启动”中。
这样每次开机时,都会刷新ARP表。
如果有人刷新了你的ARP缓存表,你手动运行arp.bat再次恢复即可。
二、网吧防范措施
1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。
一定要保持网内的机器IP/MAC一一对应的关系。
这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:
建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.3208:
00:
4E:
B0:
24:
47
然后再/etc/rc.d/rc.local最后添加:
arp-f生效即可
4.网关监听网络安全。
网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:
第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。
或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。
这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
如何修改网卡的MAC(物理)地址
◆Win9x的修改
1、在HKEY_LOCAL_MACHINE\system\Currentcontrolset\services\class\net\0000、0001、0002等下,找到DriverDesc字符串。
2、在其下,添加一个字符串,名字为NetworkAddress,其值设为你要的MAC地址,注意要连续写。
如:
00E0DDE0E0E0。
3、然后到其下Ndi\params中添加一项名为
NetworkAddress的主键,在该主键下添加名为default的字符串,其值写你要设的MAC地址,注意要连续的写,如00E0DDE0E0E0。
4、继续添加名为ParamDesc的字符串,其作用为指定NettworkAddress主键的描述,其值可自己命名,如“NetworkAddress”,这样以后打开网络邻居的属性,这样在网卡的高级属性中就会出现NetworkAddress选项,就是你刚在注册表中加的新项NetworkAddress,以后只要在此修改MAC地址就可以了。
继续添加名为Optional的字符串,其值设为“1”,则以后当你在网卡的高级属性中选择NetworkAddress项时,右边会出现“没有显示”选项。
◆WinNT下改网卡地址的方法:
1、打开注册表,定位到HKEY_LOCAL_MACHINE->
SYSTEM->
CurrentControlSet->
Services
2、找到网卡的键值,在Parameters项里添加字串值NetworkAddress,其值设为你要修改的MAC地址,如:
“00E0DDE0E0E0”。
理论上讲,如果要预防网络剪刀手,唯一的办法就是在网关上设置IP-MAC绑定,即静态ARP.这是就根本的办法。
另外一种办法就是你也不停的发ARP求请包(请求任意地址,但源要是自己就可以了),这样就看谁的速度快了。
即使对方剪掉你,你通过这种方式又能恢复,这样你们就会反反复复拉锯。
可怜的就属网关了,要不停的更新ARP表。
这里我提供一个工具:
arpsender,这个工具本来是用来在交换环境下进行sniffer的一个工具,不过你也可以利用这个工具来实现不停的发ARP包的目的(PING是不行的,一旦ARP成功后PING就不再发ARP包了)。
具体用法如下:
1)在自己的电脑上,将网关的MAC地址和IP地址用ARP-S绑定(不做的话也应该可以,保险起见还是做一下)
2)启动arpsender,分别填入网关及本机的地址,然后在被监控的机器上也入本机的IP地址,并按增加按纽
3)点击开始,就可以了。
这样arpsender会每三秒发一个ARP到网关,告诉他你的IP地址对应的是你的MAC地址,这样就把网络剪刀手在网关上设的ARP表项更正回来了。
成功率取决于网络剪刀手的发包速率快还是ARPSENDER的快。
你用SNIFFER抓一下它的发包速率,如果ARPSENDER的快,那么你就成功了。
相反,可能还是那种断断续续的感觉。
最根本的解决方法,就是做双向绑定了。
1、从路由器绑定pc的mac地址。
2、从pc建批处理文件绑定路由器lan口ip和mac地址。
局域网控制技术
最近经常看到有朋友问道到如何限制局域网里用户上网的问题,我做了一下总结,以后大家看这个帖子就行了,有什么补充的在下面跟帖子吧。
限制用户上网其实就是对局域网的一个控制问题,基本可以分为限制IP、限制用户和限制流量。
1.限制IP是最常用的一种手段,适用范围也较广,在使用代理/路由服务器、宽带路由器/防火墙都可以使用。
在代理/路由服务器软件中一般都有关于控制IP上网的设置,例如Sygate,ISAServer,具体设置方法这里就不写了,你可以参考软件的帮助文档,在网上也可以找到很多相关的文章。
我要提一点的是,如果你使用了WIN2K/XP自带的Internet共享,可以安装一个防火墙软件,利用防火墙软件来限制该服务器与其它机器的通讯,也可以达到控制部分机器上网的目的。
目前的很多宽带路由器/防火墙都带有基本的访问控制列表(ACL)功能,通过简单的设置就可以对流量进行过滤,对允许上网的IP的数据包进行转发,而不允许上网的IP的数据包则被丢弃。
一般情况下,路由器都是按照顺序查找的原则,即当路由器接收到数据包后,先从第一条规则开始匹配,如果符合条件则按照该规则设定的转发或者丢弃;
如果不符合,则查找的二条规则,以此类推,知道最后一条。
这里需要注意的是,有些路由器对于不符合任何规则的数据包按照转发处理,有的则是转发,而防火墙对于不符合规则的一律按丢弃处理。
因此,在设置路由器时,一定要先加允许上网的规则,再加不允许的规则,最后根据具体情况,看是否需要加一个禁止所有IP上网的规则,否则无法达到控制的目的。
而防火墙则仅加入允许的规则就可以了。
下面是一个例子,没有任何语句,只是打个比方:
条目动作源地址/掩码目的地址
1允许192.168.2.22/255.255.255.2550.0.0.0
2禁止192.168.2.0/255.255.255.2240.0.0.0
3允许192.168.2.0/255.255.255.00.0.0.0
4禁止0.0.0.0/0.0.0.00.0.0.0
上面的例子可以实现192.168.2.0-192.168.2.31都不可以上网,但其中的192.168.2.22又可以上网,其余的192.168.2.32-192.168.2.255都可以上网,除了这个子网,其余又都不能上网。
可以看到,加入规则的先后顺序基本是按照范围大小来确定的,范围越小,越先加入,路由器也就越先匹配。
这里面涉及的部分内容不一定被所有的宽带路由器所支持,不确定的话,你可以试试先。
对IP的控制比较容易实现,但是对于动态获取IP地址的网络无法精确控制,而且用户还会自行将IP地址更改到允许上网的范围,从而绕过控制列表,甚至还会造成IP地址冲突,这就涉及到MAC地址与IP的绑定问题。
很多朋友很青睐MAC地址和IP的绑定,认为很好用。
其实这种静态ARP技术有很大的局限性,而且效果也不好。
MAC与IP地址绑定可以一定程度防止用户私自更改IP地址,之所以说一定程度,是因为此中方法也不能杜绝更改IP的现象,原因后文有述。
因为以太网通讯最终是靠着MAC来进行的,因此,将客户机网卡的MAC地址与其IP地址一一对应,那么用户再更改IP地址将无法使用局域网,更不用提上互联网了,其实现原理我简单说一下:
在每台计算机中都有一张ARP表,该表记录着曾经通讯过的其它机器MAC地址与IP地址的对应关系,下次在通讯时,会在此表中按照目的机器的IP地址查找到其MAC地址,然后与之建立连接。
交换机会自动学习网络中其它机器的MAC地址,从而建立起自己的与计算机中相类似的ARP表,通讯时也要按“表”索“机”。
上面提到的这些ARP表都是动态的,不定时更新的,每当有计算机开机或关机,该表都会被更新。
部分路由器/交换机支持静态的ARP技术,即可以手工输入这些ARP表项,将计算机的MAC地址和IP固定,那么该机器的ARP表项就不会被更新,当用户更改了IP后,数据包传到交换机,交换机会按照目的MAC地址将数据包转发到目的机器,但是当交换机收到目的机器回应的数据包时,会发现数据包中IP和MAC的对应关系与本地ARP表不符,但是,如果是一个二层交换机,它不会去理会这种错误,因为它是靠着MAC地址来工作的,IP对它来说没有任何作用,因此该数据包会正常到达发起连接的计算机,通讯可以正常建立。
那么如果是三层交换机呢,那要分两种情况,如果这两台计算机在同一子网内(或者是同一VLAN内),那么通讯仍然可以建立(理由同上);
如果不是在一个子网(或者VLAN),那么通讯连接就会失败,因为数据包要跨越三层,最终按照IP来查找目的机器的MAC地址,这时上面的错误就会终止数据包的传输,因此如果你的绑定是在交换机上做的,而且要对同一子网(VLAN)做限制的话,你基本会很失望的,这种技术只有在路由器/三层交换机上才有意义(如果你的宽带路由器支持的话,静态ARP倒是一个不错的选择)。
静态ARP有很大的缺点,首先,如果是一个很大的局域网络,要收集上百台机器的MAC地址和IP,还要一一手工输入路由器,对于网管来说是一个极大的考验(考验你的打字速度J)。
其次,计算机的MAC地址也不是不能更改的,现在也有很多傻瓜式的软件,点几下鼠标就会把你的上百条记录的努力付之东流。
2.限制用户,用户基本上是指Windows里的域用户,你可以指定哪些用户可以上网,哪些不可以,但是,这种方法只能用在使用Windows计算机做为代理/路由服务器上网的局域网里,而且要建立一个完整的域,客户端还要通过输入用户和密码才能登陆,进而上网,比较适合中型的局域网络,通过域的管理还可以进行其它的控制。
能够与Windows用户帐号结合的代理软件有Wingate,路由网关型软件有ISA(也可以做代理)。
限制用户的好处是你不必管用户的IP地址是多少(当然你也可以在DHCP中为可上网的用户分配固定IP地址),而且有一层用户名/密码做保护,要盗用也不是那么容易。
3.限制流量,限制流量可以在一些代理/路由服务器软件上实现,如Sygate、ISA都可以做到,因为我没有实际去做,不知道具体效果如何。
在某些交换机上也可以实现端口限速,我知道Cisco2950以上级别交换机可以做到以1M为单位的限速,其它牌子的我不是很清楚。
上面所有的方法其实都有一个弱点,无法防止内部非法的代理服务器,所谓非法,就是在可以上网的机器上装有代理软件,不可上网的用户通过此代理上网。
非法代理实际上是很头痛的事情,这种封包没有任何特殊性,而且代理服务器的端口可以任意修改,用访问列表来控制几乎是不可能的,唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
下面我给出一种目前来说比较完善的局域网方案,基本可以控制住机器的上网,图在最后,使用了三层交换机,VLAN划分和ACL,同样也适用于其它目的的网络控制。
其中VLAN1:
192.168.1.0是可以上网的,VLAN2:
192.168.2.0是不可以上网的,VLAN3:
192.168.3.0是服务器。
VLAN1与VLAN2通过访问列表不禁止任何通讯;
VLAN1和VLAN2都可以和VLAN3通讯。
访问列表的设置:
1禁止192.168.1.0/255.255.255.0192.168.2.0
2禁止192.168.2.0/255.255.255.0192.168.1.0
将此列表应用在接口VLAN1和VLAN2上,启用VLAN间路由。
VLAN1和VLAN2之间用户较小的文件传输可以通过局域网的Email服务器,较大的文件可以在服务器上建立FTP服务。
这样,VLAN2的用户无论如何更改IP,也不能达到上网的目的,而且也不能通过VLAN1内的非法代理上网,并且通过VLAN3的服务器可以实现文件共享,可以说是一个较为理想的方案。
最后我要说的还是,技术不是万能的,要依靠完善的管理手段才能发挥最大作用,建立完善的网络操作规范,并且严格执行,不但对网管是一个福音,而且是一个合格网管的基本要求,对企业来说也是有利无弊的
如何修改mac地址的方法
各个不同品牌的网卡有专用的刷新程序,需要针对芯片型号下载相应的刷新程序
轻松修改网卡MAC地址
网卡的MAC地址是固化在网卡EPROM中的物理地址,是一块网卡的“身份证”,通常为48位。
在平常的应用中,有很多方面与MAC地址相关,如有些软件是和MAC地址绑定的,没有允许的MAC地址,软件就无法运行;
或者在局域网里,管理人员常常将IP与客户机的MAC地址绑定,以方便管理,万一用户的网卡坏掉了,自行更改网卡后必须向管理人员申请更改绑定的MAC地址,这样就比较麻烦。
在这种时候,如果我们能够更改一下网卡的MAC地址,那就方便多了。
实际上,修改网卡的MAC地址是很容易的,我们既可以在操作系统中通过软件来修改网卡的MAC地址,而实际的网卡MAC地址不变,以达到欺骗软件的目的;
也可以用工具直接更改网卡的实际MAC地址。
一、瞒天过海
1.修改注册表
几乎所有的网卡驱动程序都可以被NdisReadNetworkAddress参数调用,以便从注册表中读取一个用户指定的MAC地址。
当驱动程序确定这个MAC地址是有效的,就会将这个MAC地址编程到硬件寄存器中,而忽略网卡固有的MAC地址。
我们通过手工修改Windows的注册表就可以达到目的。
在Winodws98下运行Windows的注册表编辑器,展开“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net”,会看到类似“0000”、“0001”、“0002”的子键。
从“0000”子键开始点击,依次查找子键下的“DriverDesc”键的内容,直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后,点击下拉式菜单“编辑/新建/字符串”,串的名称为“Networkaddress”,在新建的“Networkaddress”串名称上双击鼠标就可以输入数值了。
输入你想指定的新的MAC地址值。
新的MAC地址应该是一个12位的十六进制数字或字母,其间没有“-”,类似“000000000000”的这样的数值(注意,在Windows98和Windows2000/XP中具体键值的位置稍有不同,可通过查找功能来寻找)。
在“NetworkAddress”下继续添加一个名为“ParamDesc”的字串值,它将作为“NetworkAddress”项的描述,数值可以取为“MACAddress”。
再把它的内容修改为你想设定的内容。
如图所示。
这样,我们就成功地修改了网卡的MAC地址,重新启动计算机即可。
2.修改网卡属性
大部分的网卡都可以通过在控制面板中修改网卡属性来更改其MAC地址,在“设备管理器中”,右键点击需要修改MAC地址的网卡图标,并选择“属性/高级”选项卡。
在“属性”区,就可以看到一个称作“NetworkAddress”或其他相类似名字的的项目,点击它,在右侧“值”的下方,输入要指定的MAC地址值。
要连续输入12个十六进制数字或字母,不要在其间输入“-”。
重新启动系统后设置就会生效了。
二、釜底抽薪
假如用户使用的是RealTek公司的RTL8139A/B/C/D系列芯片的网卡,有一种更简单的方法修改MAC地址。
RealTek公司设计的PG8139软件可以直接修改RTL8139系列网卡的MAC地址,甚至可以让每次启动后网卡的MAC地址都不相同。
具体操作如下:
把pg8139.zip解压缩到一个文件夹下,以8139C芯片为例,用记事本打开该目录下的8139c.cfg文件,修改8139c.cfg文件的第一行,将“NodeID”(网卡号)后改为所需要的新值,建议初始值为“00E04C000001”,修改时注意每两位之间至少要留一个空格。
保存后再进入MS-DOS方式(注意,要在纯DOS模式下),在DOS提示符后输入“pg8139/pci8139c.cfg”后再按回车键,此时系统如果提示“ProgrammingEEPROMissuccessful”则说明更改成功。
PG8139程序每成功运行一次,在相应的8139c.cfg文件中,系统会自动将“NodeID”的值加1,也就是说,第一次运行时给当前工作站网卡分配的MAC地址为“00E04C000001”,第二次运行时,系统会自动分配为“00E04C000002”,第三次运行时,会自动为“00E04C000003”……,依此类推,就可以批量地修改网卡的MAC地址,不再需要重复修改8139c.cfg文件了。
如果用户的网卡是RTL8139其他版本的芯片,只要找到相应的.cfg文件修改就行了。
另外,还有一种极端的办法,通过烧录网卡的EEPROM来达到克隆MAC地址的目的。
但这样做风险很大,而且操作复杂,即使是有经验的用户也难免在操作中出现错误,不推荐进行这种操作。
三、巧借东风
如果是Windows2000/XP的用户,则可以使用免费MAC地址修改软件SMAC。
运行SMAC后,窗口中的列表框列出计算机上正处于工作状态的网卡。
选定要修改的网卡后,在列表框下方的六个输入框中输入新的MAC地址后,点击右侧的“UpdateMAC(修改MAC地址)”,即可完成MAC地址的修改。
修改MAC地址的工具有很多,但大多数都只适用于Windows2000/XP,推荐用“超级兔子魔法设置”,因为不但简单易用,而且在Windows9x系统中使用同样有效。
修改完成后,要使设置生效,一般的办法是重新启动系统。
还有一种简单的办法不需要重新启动系统,在“设备管理器”中,选定网络适配器图标,点击鼠标右键,选择“禁用”(请注意操作后,状态栏是否已显示为“禁用”)。
然后再右键单击选定的网络适配器,在右键菜单中选择“启用”。
这样就能使修改后的设置生效。
linux环境下:
需要用
#ifconfigeth0down
升级会员 