xeng-gun
如何保证网络安全避免用户更改IP地址?
作为网管,每天烦心的事接连不断。
别的不说,就IP地址分配这一简单的事来说,通常都是服务器采用静态IP、客户机采用DHCP自动分配的方式。
但是,很多人却不安于这样的方案,总喜欢私自设置IP地址,例如“192.168.0.88”、“192.168.0.188”这类的IP都是人人在抢,结果经常出现IP地址冲突无法上网的局面。
其实,要完全禁止这样的事情也不太难,只要在路由器上将用户的IP地址与MAC地址一一绑定,如果私自更改IP地址则无法上网,这样即可起到禁止修改IP的作用。
但是以实际工作经验来看,如果从路由器上作限制,工作量比较大,而且用户更换了网卡还需要重新设置,而且也增加了路由的负担。
因此,我们还是考虑用客户端入手。
目前企业用户客户端的安装一般都是采用克隆安装的方式,即制作好映像文件,然后直接快速恢复即可。
因此我们只要在制作映像文件时进行相应的设置就可以了。
一、取消本地连接图标 当网络连接正常时,会在系统任务栏右侧显示出本地连接的小图标,其样子就是两台小电脑,很多菜鸟用户就是通过这个来修改IP地址的。
因为鼠标只要双击图标,即可快速打开本地连接窗口,然后进行IP地址修改。
因此,如果我们将该图标隐藏起来,那么就可以阻止很多初级用户私自修改IP。
在桌面上右击“网上邻居”图标,在弹出的菜单中选择“属性”命令,在打开的网络和拨号连接窗口中即可看到本地连接图标。
右击本地连接图标,在弹出的菜单中选择“属性”,这样就打开了本地连接的属性窗口,在该窗口“常规”标签的底部将“连接后在通知区域显示图标”项取消,再单击“确定”按钮保存设置,这样任务栏上的本地连接状态图标就不见了。
虽然这样简单的一个步骤,但却可以让50%以上的用户不知道怎么去修改IP了。
二、本地连接不可用 通过第一种方法,虽然可以将部分用户拒绝门外,但是对有电脑使用经验的人则没有作用了。
因为它们知道可以直接通过网上邻居来打开本地连接属性窗口进行修改。
因此我们的第二招就是让本地连接的属性不可用,从而将这部分用户挡在门外。
我们知道,系统功能的控制都是通过注册表的控制的,但是修改注册表比较麻烦,风险也比较大,我们可以通过组策略来达到这样的目的。
打开“运行”窗口,输入“gpedit.msc”后回车打开组策略编辑器,在打开的窗口左侧依次选择“用户配置—管理模板—网络—网络连接”,然后双击右侧的“禁止访问LAN连接的属性”项,在打开的窗口中将其设为“已启用”,单击“确定”按钮保存设置,这样就无法打开本地连接的属性窗口,修改IP自然无从谈起了。
三、彻底斩断修改之路 可以说很多人修改IP都是因为看到了可以修改的地方才进行的,建议将能够进入修改本地连接属性的菜单命令全部隐藏起来,这同样可以起到禁止修改IP的目的。
按照前面的方法打开组策略编辑器,然后在左侧选择“用户配置—管理模板—桌面”,再双击右侧的“隐藏桌面上的网上邻居图标”,在打开的窗口中将其设置为“已启用”项,这样通过右击桌面上网上邻居图标的方式打开本地连接这条路就行不通了。
接下来,再在组策略中选择“用户配置—管理模板—控制面板”,将其中的“禁止访问控制面板”项设为“已启用”,这样不仅可以禁止通过控制面板中的网络与拨号连接来打开本地连接窗口,还可以禁止修改控制面板中提供的所有设置。
学校电脑禁止修改IP,怎么解决?
设置用户权限 将IP与MAC地址绑定!注:IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。
而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。
IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。
在计算机的 ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。
一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。
所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
(转载注明出处n et130)为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。
因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。
下面我们就针对CISCO的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal#进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3——IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config)Ip access-list extended IP10#定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)Permit 192.168.0.1 0.0.0.0 any#定义IP地址为192.168.0.1的主机可以访问任意主机Permit any 192.168.0.1 0.0.0.0#定义所有主机可以访问IP地址为192.168.0.1的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config-if )Ip access-group IP10 in#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended ...
我的电脑好像被装上了一款禁止修改IP的软件,查看不了IP,我想问? ...
你如果是用新版的可以这样设置:点击“菜单”→“设置”→“系统设置”→“登录设置”→“高级选项”→“设置你需要登录的服务器类型”在后面的下拉选项中只要选择“TCP类型”再点击“应用”→“确定”就能隐藏自己的IP地址了!对方的QQ软件即使有显示IP的功能也不能侦测到你的IP地址!
怎样防止其他人测到自己的IP地址?高手来~~~
由于国内用户大多数都是通过163电话拨号的方式接入因特网的,而国内163分配的IP地址一般都是以202开头的C类IP地址,下一个是某个地区的,后两位更加具体。
只要你是拨号上网,就一定有个当时全球唯一的IP地址,可以使用IP检查程序看到自己的IP。
恶意破坏者往往通过跟踪上网帐号(对163用户,即Email号)及从用户信息中查找IP,或者等待BBS、聊天室及网页站点记录的IP,或者通过ICQ获取IP。
为防止非法用户获取自己计算机的IP地址信息,笔者建议用户:(1)、尽量使用代理服务器进行中转,这样用户上网时不需要真实的IP地址,黑客们纵有天大的本事,也无法获取自己的IP地址信息;(2)、对于利用TCP/IP包的BUG攻击的黑客程序,首先修正Win9x的BUG,在主页的附件中有对于Win9x的必须补丁;(3)、然后学会隐藏自己的IP,包括将ICQ中“IP隐藏”打开,注意避免在会显示IP的BBS和聊天室上暴露真实身份,特别在去黑客站点时最好先运行隐藏IP的程序。
如何防止更改IP如何在注册表内更改,才能使本机的IP设置的属性显
你限制了用户的权限就可以了啊.2000和XP里边是不允许非管理员拥护更改IP设置的,如果是98的话可以通过更改注册表来实现禁用IP更改,一般上网的人很少会使用注册表改回来的.如果你不放心的话还可以把注册表禁用掉,具体禁用方法有很多.一般网吧都会有的,最常见的是在管理工具里边将开始菜单的"运行"项禁掉..这样用户不能使用命令来调用注册表编辑器了...
什么软件防止跟踪ip
方法如下:有时候可能因为工作需要或者电脑遭受攻击等时候需要用上跟踪IP地址,跟踪IP地址有时候是必需的,如果你的网络发生问题或者需要改变些设置的时候,这个东西就派上用场了。
不过很多用户在需要解决WinXP操作系统的DHCP故障时,有时要找出某个地址范围内有哪些地址没有被使用。
关于这个IP地址的跟踪问题,下面这个方法相信能帮到你。
首先打开命令提示窗口,在For…in…Do循环中调用ping命令。
例如,为了找出在地址范围192.168.1.1 到 192.168.1.100有哪些地址没有被使用,可以使用这个命令:For /L %f in (1,1,100) Do Ping.exe -n 2 192.168.1.%f该命令会报告指定范围内的所有IP地址,不管是在用的还是未用的,用户都不得不在命令行窗口中翻看大量的内容。
其实,我们完全可以避免这些麻烦,只需建立一个批处理文件,要求它只返回那些未用的IP地址,然后再将命令的结果输入到一个文本文件中。
下面介绍方法:打开记事本,在窗口中输入如下的命令:@Echo offdate /t > IPList.txttime /t >> IPList.txtecho =========== >> IPList.txtFor /L %%f in (1,1,100) Do Ping.exe -n 2 192.168.1.%%f Find"Request timed out." && echo 192.168.1.%%f Timed Out >>IPList.txt && echo offclsEcho Finished!@Echo onNotepad.exe IPList.txt将此文件存为IPTracker.bat,关闭记事本程序。
需要注意的是,在这个批处理文件中,整个的For…In…Do命令由几个被“&&;”连接起来的命令组成。
该命令以“For”开始,以“Off”结尾,而且整个命令必须在同一行内。
当然,如果用户要使用此方法的话,必须是用户自己的IP地址才能替换示例中的IP地址。
通常来说在WinXP线下,想要跟踪IP地址用以上方法就可以了,如果是Win7等系统,会有少许改变,不过也基本大同小异,只要大家按照上面的代码跟着教程执行,通常都可以达到上面的效果
怎么样更改IP地址?1.用什么软件更改IP地址?2.使用方法?3
1.用什么软件更改IP地址? ----外网的修改不了 2.使用方法? ----无方法 3.更改过的IP。
别人还能查出我真实的所在地吗? ----一般人查不出,现在的ip地址和实际地址多数不能真实对应,绝大多数给对方知道ip地址不会泄露你的实际地址!一般外网ip如果不是固定用户,重登陆网络就改变!但如果你反动违法的话,执法机关有能力找上门,但不一定会上门,因为里面吃干饭的多。
4.浏览器的IP怎么改? ----无法修改,外网ip是网络分配的,假如不是使用固定ip的,重启动网络就可以另获得分配。
5.如果教会我使用-QB答谢----使用路由自动登陆,每次重启路由就可以获得不同的ip地址,qb等查收。
老有人和我抢IP地址,谁知道哪个软件可以防止IP被抢啊?哪个软件? ...
使用自动获得IP地址对于动态分配IP,做一个DHCP服务器来绑定用户网卡MAC地址和IP地址,然后再根据不同IP设定权限。
对于静态IP,如果用三层交换机的话,你可以在交换机的每个端口上做IP地址的限定,如果有人改了自己的IP地址,那么他的网络就不通了。
我们现在针对静态IP地址的绑定讲解一个实例。
查看网卡MAC地址 先点击“开始”选择“运行”,然后在里面输入Winipcfg命令,这就可以查出自己的网卡地址,如图所示: 记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。
具体命令是: ARP -s 192.168.0.4 00-EO-4C-6C-08-75 这样,就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。
其中应注意的是此项命令仅在局域网中上网的代理服务器端有用,还要是静态IP地址,像一般的Modem拨号上网是动态IP地址就不起作用。
接下来我们对各参数的功能作一些简单的介绍: ARP -s -d-a -s——将相应的IP地址与物理地址的捆绑。
-d——删除所给出的IP地址与物理地址的捆绑。
-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。
作为一个网络管理人员,如果对MAC地址和IP的绑定能灵活熟练的运用,就会创建一个十分安全有利的环境,可以大大减小安全隐患。
http://www.crazycoder.cn/SecurityFileWall/Article64773.html
如何防止黑客用IP攻击
可以通过隐藏IP地址来防止黑客攻击。
如何隐藏IP:使用代理服务器相对于直接连接到Internet可以保护IP地址,从而确保上网的安全。
代理服务器其实就是在电脑和要连的服务器之间架设的一个“中转站”,向网络服务器等发出请求数据之后,代理服务器首先会先截取这个请求,然后将请求转交给远程服务器,从而实现和网络的连接。
很明显使用代理服务器后,只能检测到代理服务器的IP地址而不是用户所在地IP地址,这就实现了隐藏IP地址的目的,有效的保护了上网的安全。
黑客攻击手段:黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。
非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
