• 2008年07月09日

    10种避免与孩子发生冲突的技巧 - [教育教学]

    作者:唐莱特 史锡蓉 

        《说对了,孩子就会了》为美国家教畅销书,书里完美地融合并解决了家庭成员关系和家庭教育两大棘手难题。作者唐莱特在写作上不细究家庭治疗模式的理论脉络,而是一针见血地提出50个送给父母们的教育、沟通技巧。许多父母阅读后认为,书中方法简单实用,条理分明,总是能够以应急需,起到奇效,卸掉了他们为教育孩子而奋斗的心理重担。本版内容摘录自书中第一部。
       
        忽略孩子不适当的行为
       
        关于这一点,有则故事可以用来说明。
       
        有个小女孩每天在学校都会用头去敲墙壁。班上每个人,包括老师在内,看到这种情况当然很紧张,都跑去阻止她,用各种方法安抚她,但效果都不大。后来学校终于请了心理医生来处理这个案子。在小女孩不知情的情况下,心理医生建议老师和班上其他同学,在小女孩再出现用头敲墙壁的行为时不要理会。第二天,小女孩到了学校,又像往常一样用头敲墙壁,但班上的人都不理会她;又隔一天,还是没有人理会她。之后,小女孩用头敲墙壁的次数越来越少。最后,女孩这个不适当的行为就完全消失了。
       
        没错,这个小女孩子的案例很特别,但它传递了一个重要讯息:有时候孩子的不当行为之所以会频频出现,是因为能得到父母的注意。正向(如赞美)或负向(如批评)的注意都是注意,但对某些不适当行为,“不注意它”有时是最有效的治疗方法。如果你认为孩子某个不适当行为是为了赢得你的注意,试着不要去理会他。“忽略”技巧有时候对孩子很有效,尤其父母如果使用得当的话。
       
        以下是使用“忽略”技巧时要谨记的原则
       
        ●在孩子做不适当行为的那段时间里,要完全忽略他。不对孩子做任何反应──不要大叫、不要注视、不要跟他说话。父母尽管清楚地意识到孩子的举动,但在那段时间要去做别的事情。这段时间可能是5分钟,也可能长达25分钟,所以父母要有心理准备。
       
        ●要让家里其他大人或成员与你配合,大家都不要理会那个孩子。
       
        ●最后一点,在孩子停止不适当的行为时,父母要称赞他。例如,你可以说:“我很高兴你停止乱发脾气。我不喜欢乱发脾气的人,因为发脾气时的大叫声很刺耳。你不大叫的时候,我跟你相处起来就愉快得多。”

       “忽略”技巧最重要的是要有耐心,而且谨记,你不是忽略那个孩子,而是忽略他的不适当行为。
       
        离开现场
       
        有一次我看到一位无家可归的年轻妈妈,她带着一个5岁小女孩,小女孩循规蹈矩地坐在她旁边。我问这位母亲,她有什么秘诀,能让她的孩子这样守规矩。她对我说,每当她女儿乱发脾气时,她就走开,到稍远的地方坐着抽烟;如果有状况,那么再随时回来保护她。因为这个母亲暂时离开现场,既可以避开孩子无理的要求,自己又能保持平静的心情。
       
        不管是哪个年龄层的孩子,有时候他们真的会令父母忍不住抓狂。年纪大一点的孩子,当他们不想遵守规矩时,例如“不准在客厅打球”“不准在没有大人监督下开派对”,他们真的会做出超乎你想象的破坏行为。如果你发现自己快要失控,不要犹豫,赶快找一个给自己喘息的机会,给自己和孩子一个冷静的机会。到稍远的地方抽烟是一个方法,但我们可不建议采用这个办法。
       
        让孩子分心
       
        避免与孩子发生冲突的另一个办法是使用“分心法”。孩子容易分心,特别是年幼的孩子。他们注意力维持的时间很短,很容易受到外界环境刺激的影响。如果你看到孩子快要出现不适当的行为时,那么可以试着转移他的注意力。
       
        “分心法”也可以用在年纪较大孩子身上。例如,如果兄弟姐妹在争吵,你可以建议他们一起去打电动玩具或看电视。另外,父母还可以让孩子停止正在做的事情,加入大人的活动。例如,你可以说:“来,到厨房帮我的忙。你可以做我的助手。”如果你态度友善、热情、幽默,孩子很可能停下手边的事情,包括那些不适当的行为,照着你的吩咐做。
       
        用适当的行为替代不适当的行为
       
        如果孩子正在做某个不适当的行为,那么父母应当指导孩子做另一个适当的行为。而且,父母应详细指导孩子做这些适当行为的时间、地点、方式等。
       
        只让孩子知道他们的行为不可取并不够,父母还应该尽可能给他们一个可替代不适当行为的适当行为。
       
        如果孩子正在玩某样易碎或不适当的东西,那么父母可以试着寻找另一个可以替代的游戏或玩具让他玩。孩子为了发挥其创造力及发泄精力会不断寻找发泄的管道,父母应予以引导和帮助。

       为了防患于未然,父母学习如何迅速找到适当而便宜的可以替代孩子不适当行为的用品和方法,从而取代孩子不适当的行为,是父母成功引导孩子的不二法门。
       
        寻找正向特质
       
        没有人喜欢被批评。遭受批评的孩子会感到愤怒,表现出自我防卫的态度。结果,他们更不愿意合作。但是,父母面对孩子不适当行为时,对其批评又是必要的。那么,父母要怎样批评孩子又不会引发冲突呢?当然,父母进行表达时必须婉转温和。“裹着糖衣,苦药才吞得下去”。批评温和一点,孩子或许就会听得进去,这对你也好。
       
        我建议父母要以赞美的方式来缓和批评的字句
       
        ●父母:我觉得你的歌声很好听,只是在餐桌上不适合唱歌。
       
        ●父母:你足球踢得很棒,只不过足球是要在足球场上踢的,而非教室里。
       
        ●父母:谢谢你告诉我实话,但下次再到你朋友家之前,我希望你先跟我说一声。
       
        我曾经辅导过一个名叫“安妮”的少女。有一天安妮逃课去安慰她的一位朋友,那位朋友家里出现危机,正打算离家出走。安妮的母亲为了这件事大为光火。我认同她母亲的看法,逃课是不好的行为,但也指出其出发点是善意的。要从孩子不适当的行为中找到负向特质很简单,不过下次,当孩子做了某件你不乐见的行为时,请试着从中找出他的正向特质,并以赞美的方式来教导孩子。
       
        提供选择
       
        你有没有想过,为什么孩子有时候一口就拒绝父母的意见或指示?答案很简单:巩固他独立自主的权益,是孩子的本能。为了避免在这一点上和孩子发生冲突,父母给孩子“提供选择”是个好办法。
       
        一天中很多事情都可以给孩子有选择的权利
       
        ●父母(食物):你早餐要吃煎蛋还是麦片?你晚餐喜欢吃红萝卜还是玉米?
       
        ●父母(衣服):你想穿蓝色还是黄色的衬衫上学?你要自己打扮还是要我帮忙?
       
        ●父母(家务):你要在晚餐前还是晚餐后做家务?你要倒垃圾还是洗碗?
       
        父母给孩子提供选择很重要,这能鼓励孩子思考。孩子在做出自我决定时,会得到掌握感和自尊心;而父母则借着这样的做法,既支持了孩子想独立自主的需求,又维持了对孩子行为的某种引导性的掌控。

       善用幽默感
       
        在历经坎坷的成长过程中,我们逐渐变得严肃了——而且,也许是太过严肃。举个例子来说,孩子一天平均会笑400多次,但成年人一天平均却只笑15次。成年人大可多用幽默感,尤其是在和孩子互动的时候。
       
        一次,我在一家专门收容受家庭暴力所扰的妇女的收容所工作。一名妇人正在谈她如何从对她施暴的丈夫手中逃脱的经过,这时,那名妇人的小女孩打断她,吵闹着要母亲带她去游泳。母亲马上就响应孩子,并不像一般人那样责骂:“不要吵闹!”而是以夸张的态度模仿女儿吵闹的表情和口吻说:“妈,我要去游泳。快点。现在就带我去游泳!”不到几秒钟,小女孩从母亲幽默的表演里看到了自己滑稽的行为,母女俩笑成一团。之后,我注意到,那个小女孩不再以吵闹的态度跟母亲说话。
       
        用轻松的态度夸大孩子某种不适当的行为,能在紧张的情境中注入幽默感。下面是一些让父母善用幽默感的好点子。
       
        父母可以试着用想象和虚构的故事,或用技巧让没有生命的东西“鲜活”起来。例如,如果孩子不把杂乱的玩具归位,父母可以假装让玩具发出哭声说:“好晚了,我好累喔。我想回家了。你能帮我吗?”
       
        另一个方法是父母可以把事情说得很可笑。例如,为了促使孩子自愿打扫房间,你可以说:“如果你不马上清扫房间,政府的清洁大队马上就要来你这儿设立总部了!”
       
        你也可以留一张谐趣的字条给孩子,例如,对青少年的孩子,你可以这么写:“记得在晚上10点前回家,特勤搜索组留。”
       
        【提醒】使用幽默感的时候,父母要对孩子的反应保持敏感。如果孩子对某样事情敏感,例如牙套、青春痘或招风耳,就千万不要在这些事情上做文章。
       
        示范适当行为
       
        孩子经常会做出大人认为不适当的行为。有时候他们需要大人去制止他们,并且示范较好的行为。身为父母,你是孩子最常模仿的对象。正因如此,父母成为孩子学习的楷模便是教导孩子最好和最容易的方式。孩子靠着观察和模仿父母,就能学习到适当的行为。
       
        父母现在对孩子示范适当的行为,就能避免日后的冲突。而且,知道孩子能够从自己身上学习到某种正向的行为,你也会觉得很骄傲。

        选择你的战场
       
        没有一个父母愿意把家里变成战场,但是,有时候真的会发生这种状况。我有一个案例,案例中的青少年告诉我,他的母亲对他的行为有诸多抱怨。母亲抱怨他的餐桌礼仪、睡眠习惯、发型、服装、卧室、朋友、学业表现,还有他休闲时所做的一切活动。他所回应的方式就是“置之不理”。等我跟这位母亲谈过之后,我发现她真正希望儿子做到的是,去找一份打工的工作。可惜,她真正的诉求被她一大堆的要求给淹没了。对那位青少年来说,母亲的种种要求令他麻木,他充耳不闻;而母亲对他有这么多意见,又让他非常愤怒,结果,引起他全盘反抗的心理。
       
        如果你发现孩子有一大箩筐你希望他能改变的行为,那么现在开始停止抱怨,并把那些行为一一记录下来,然后反问自己,到底哪一种行为最需要立即处理。你所需要的是订下要求的优先级,然后采取行动。
       
        根据年龄设定适当的限制
       
        从5个月大开始,如果一切发展顺利,那么孩子会开始奋力寻求独立。他们的目标是要变成一个完整和独立的个体,能够自己行事及思考。通过为孩子设定符合年龄的适当要求,表明你正视了孩子寻求独立的需求。由于你根据孩子的年龄、能力、特殊需求和负责的程度设定规范,那么便可有效帮助孩子安全地达到他们的目标。
       
        有些父母犯了对不同年龄孩子一视同仁的错误。我曾经辅导过一位16岁的女孩,她希望父母能给她一个简单的锁头,让她把卧室上锁。但女孩的父亲说:“不行。”因为他觉得如果他给女儿一个锁头,其他孩子(有的5岁,有的5岁以上)都会提出同样的要求。
       
        很可惜,案例里的父亲不明白,5岁大的孩子没有足够的责任感管理自己的房间,但一个16岁大的青少年则有这个能力,而一个便宜的锁头,就能满足她希望得到隐私的需求,这是一个合理的需要。
       
        因此,在坚守原则基础上建立你的家庭,但要确保规矩具有弹性。这并不表示你要鼓励孩子打破家规,不过你必须准备随着孩子的成长和需求,时时制订新的规则和限制。
       
        为了更了解孩子在每个年龄阶段的需求,你可以参考更多的相关书籍与资料。下面则是我提供的一般原则,有关各年龄层的孩子的一般行为模式。

       2岁以下的儿童
       
        婴幼儿借由感官——味觉、触觉、嗅觉、视觉、听觉来探索世界。例如,一个12个月大的婴孩可能把杯子推到地上,用这样的方法来了解物质恒存的道理(物体即使脱离视线范围,仍然存在)。婴幼儿通常发出一些咿咿呀呀的声音和哭声来表达他们的情绪。因此,除非为了制止婴幼儿所制造的太大的噪音和混乱,否则这个时期不适合设定太多的规范;婴幼儿对规范的学习非常缓慢(最好一次一项),大概15个月大之后才开始具备基本的学习能力。重要的是,婴幼儿需要以一种一致性和可预期的方式来照顾他们,因为他们需要感受到安全和爱。
       
        2~5岁的儿童
       
        学龄前的儿童是喜好冒险的一个群体。为了鼓励孩子独立自主,父母应该给学龄前的儿童足够的探索空间;但也要设定限制,以保护他们的安全。学龄前的儿童常分不清幻想和真实——噩梦和白日梦一样实在,想象出来的朋友也一样真实。游戏是他们生活的重心。他们喜欢玩角色扮演的游戏,像“医生和病人”“母亲和孩子”,借由这种方式,孩子表达出他们的愿望及害怕。透过游戏,他们也建立起初步的社交技巧和互惠的能力。学龄前儿童也会出现正常的攻击性行为(例如争夺玩具),父母要教导他们如何以非暴力的方式解决冲突。
       
        6~12岁的儿童
       
        学龄期的孩子是卖力工作的一个群体。不管是在课堂上或下了课,他们都努力发展他们的技能;也不管是骑自行车、做算术、“盖堡垒”,他们都需要从中获取胜任感。父母可以借由鼓励他们的学业和给予支持,达到协助他们的效果。父母也可以提供机会,让孩子能顺利参加各种活动或团体,例如学习计算机或参加夏令营。学龄期的孩子透过各种学习成就,发展出健全的自尊感。从这之中,他们得到为未来目标奋斗的力量和自信。
       
        13~19岁的青少年
       
        青少年有他们艰难的任务要完成,就是发展自我认同的能力。他们必须思考“我是谁”“我要往何处去”“我要如何达到我的人生目标”这些问题。为了做到这一点,他们需要很多支持,包括父母和朋友的支持。朋友提供支持性的团体,青少年可以从中学习社会技巧、分担问题、验证自己的想法,并加强自我认同。父母提供青少年明确的沟通技巧(特别是倾听的技巧)、关怀,以及健康向上的家庭价值观。青少年需要大量的自由空间,以便探索成人的世界,但他们同时也需要被管束。在完成作业和门禁时间这两点上,父母应该设定合理的限制。
       
        摘自《说对了,孩子就会了》广西科学技术出版社  2008年4月出版

    来源:新民晚报

    Tag:孩子 冲突 技巧 教育
    chapi 发表于19时16分16秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2008年02月24日

    10个步骤解决人际关系冲突 - [学习成长]

    10个步骤解决人际关系冲突

    每一种人际关系都会经历摩擦和矛盾,有的是开玩笑式的,有的是很讨厌的。也有一些关系总是存在着永无休止似乎难以解开的矛盾。

    如果你想结束这种矛盾的恶性循环,参考一下这10步,它会将和谐带回你的人际交往中。要注意,这10步不仅可以用在你的父母和女友身上,在你的工作中也同样适用。

    1、冷静一段时间

    如果你发现自己正处于激烈的争论中,此时你该做的是离开一段时间冷静一下。散散步或者找一个头脑清醒的朋友谈谈心,以让自己的头脑冷静下来。如果你只是需要休息一下,那就打个小盹儿或者发会儿小呆。

    在离开之前深呼吸一下,并且告诉对方你稍后再和他讨论这个话题,你离开的原因是为了回来后可以更好地和他一起将问题解决。

    2、互相尊重

    不管处于什么位置,始终要记得别人的好处。将他们的缺点压在心底,将你希望得到的尊重无条件地施予他人。即使很生气也尽量表现和蔼。也许这样做会让你由嘶喊转为哭泣,但你会发现自己越来越接近问题的根源。当你找到问题发生的根源时才会开始解决问题。

    3、先从自己身上找原因

    先问问自己在争论中该负的责任。你是怎样成为这场争论的“帮凶”?你能为平息这场争论做些什么?哦道歉吗?知道怎么道歉吗?以下是我学来的3步道歉法:

    对不起。

    都是我的错。

    我能做些什么来弥补我的错误?

    4、都是为什么?

    从你的观点来看,这场争论究竟是因为什么?别人会认为这场争论是因为什么呢?你们有没有一些共同的观点呢,那也可以用来作为解决争论的简单而有效的方法。

    5、必要和需要

    明确自己需要什么。然后问自己“什么是我真正必须的?”。追求自己必须的,至于需要的东西可以灵活取舍。必须的是指没有就难以生存的,而需要的大多数是指个人偏好的东西。在人际交往中你可能不会拥有所有你需要的东西,但是却很可能得到你必须的一切。如果你没有得到你所必须的,那么这段关系就需要重新考虑一下了。

    6、同情和换位思考

    站在别人的角度考虑一下他人的感受。坦白说,他们可能掩藏在愤怒背后的是怎样的恐惧?从他人的角度考虑他们的目的是什么呢?

    7、智慧和力量

    他最好的品质是什么?他拥有怎样的智慧?你可以从对方身上学到些什么呢?每个人都有他所擅长的方面,你可以将话题转向他所擅长的,以此帮助你们解决矛盾和争论。

    8、愉快好过正确

    如果放任矛盾发展下去会对一段关系造成极大的伤害。让我们整体回顾一下:你真正想要的是什么?你的目的是什么?在生命的最后你会怎样看待这场争论?你希望当时的自己是怎么做的?你是怎样从这场争论中挣脱出来回归到明亮宁静的生活中去?

    9、互相关心

    你想给父母什么样的好东西呢?你是怎样帮他们得到他们想更要的,就像积极地获得自己想要的一样?

    10、共度好时光

    我们经常和家人或朋友发生点矛盾却很少能找得到时间和他们分享快乐。所以,当一场紧张的矛盾解决或者至少暂时解决时,采取点行动,这会让你长久受益。有计划并定期地和家人共度快乐时光。每周一次是个不错的安排。将这段时间定为“只许娱乐”时间,不许讨论严肃的话题,只是消遣,享受!

    你是怎样解决矛盾的?你和家人朋友保持和睦相处的最佳方法是什么?期待和你分享你的高招。

    如何找到知己朋友

    一位关系学家说,世人都需要“某些人成为他们能吐露自己生活琐事的对象。” 下面是访问芝加哥洛约拉大学心理学教授尤金·肯尼迪时所提出的问题及其答复。

    问:你是否感觉到,你渴望交一些好朋友?

    答:是的,我渴望友谊,极力寻求唯有紧密和长久的联系才能赋予的友谊。 有人一直认为友谊是出于那种极度激动的活动中——那种象你在电视的啤酒商 业广告中所看到的狂欢的好伙伴一样。这事一点不错,但这不是友谊。

    问:什么是最美好的友谊之歌?

    答:是人们不要做任何交易就能得到友谊。也就是说人们相信无需掩饰做作, 就能以心交心。有人可能会说,“报酬应当是属于我的。”这是友谊之中一种可怕 的障碍,因为友谊具有能动的关系。在这当中,我们必须首先付出代价,然后,才 能从他人那里得到报酬。

    问:良好的友谊是如何形成的?

    答:建立友谊的最基本的秘诀是有勇气承认自己是真诚坦率的。友谊意味着充分信赖他人。

    问:如何识别真假朋友?

    答:要识别真假朋友并不难。例如:倘若你发现有些人除非你们在一起玩时, 才能跟他们呆在一起,如滑雪、打手球和看戏。这类人并不是你所想象的那样好的朋友。你也许能与他或她一起度过快乐的时光,但就友谊的真正涵义而言,你们可 能不是好朋友。真正的朋友能在各种误解与隔阂时保持亲近。在面临死亡与挫折时,他们能相 互呼应,无须考虑他们所要付出的代价。他们不会逃避而单独扔下我们撒手不管。在我们不能再替他办事时,或者在我们生病时,在我们失去那种他们与我们保持联 系时能从中得益的职业与地位时,他们仍然与我们保质紧密联系。

    问:具有深交的本领,是不是与朋友保持亲近的又一标志?

    答:是的,朋友之间的互相交流是一种了解。人们在生活中所寻找的朋友,正是那些他们能对之倾诉自己生活琐事的人。 过分的孤独和无穷的痛苦,以及生活中的烦恼,都来之于人们不能成功地与他 人建立关系。

    问:有些人说,老朋友就是最好的朋友,这是真的吗?

    答:我认为,这句格言的意思是,在朋友中进行自然选择的过程里,那些至今还一直与我们在一起的最好的朋友,因为这些朋友多年来与我们一起患难与共。对这些朋友你一定要经常拜访。然而,你还是觉得彼此之间有一条深厚的纽带。还有许多例子说明,人们最知己的朋友是在青少年时期结识的。因为,那是人们不受他 们直系亲属的准则或观点的影响,首次学会信赖和观察生活。

    问:友谊的主要益处是什么?

    答:我想友谊的作用在于帮助人们感受生存的意义。很多人认为兴奋能取而代 之——兴奋包括从缓慢张伞的跳伞到高速赛车运动。但消遣与财富不能使我们感受到生活的意义。唯有同他人联系,我们才能体验到生活的富有。 只要回忆一下当你结识一位新朋友或恋爱时,你所获得身心活力的强烈感受,便会明白。伟大的自然生活之最,其一就在于去发现世上有人与我同感共鸣,而我对他或她亦是如此。友谊打破了个人的框框,使一个人能更全面地体验生活,感受 生活。在建立友谊时,我们也容易失望或伤感,但务必要寻求谅解并结成一条更深的 相互了解的纽带。友谊把我们带进生离死别的王国,因为一位朋友可能搬迁或去世,而这是人类最深刻的经验之一。真正悲伤的是那些从不思念任何人的人。

    问:离另是否使人们之间的关系更紧密或更淡薄?

    答:能经得起离别磨难的毅力是友谊的基本特征之一。世界历史上任何伟大的 爱情故事无不使用离别这一手法使其升华。牢固的友谊并不是终日死守在一起。人们发现,那怕他们在生活的密室里,仍然必须作一个独立的人,此话一点不假。 在这里,我不必谈及长期或强迫性的分离,就象在战争中那样的分离。夫妻每天早晨为各自的工作而分手。到晚上,他们共享经历的感受,恢复体力。那种认为必须与朋友和配偶形影不离的想法是一种危险的幻想。朋友们要小心谨慎,不要将友谊的蜜酒从果实中挤出。当然,过分的长时期分离会损害友谊,因为人们的确需 要保持联系。

    问:你怎样知道友谊何时已经结束了?

    答:当你发觉此人长期对你撒谎并捉弄你时,或者,你与你所谓的朋友一直在 相互躲避时,你突然醒悟并发觉你们之间的确没有什么必要再保持下去时,你可正式宣布终结你们之间的友谊。 但要记住世上不存在完美无缺的友谊。友谊是脆弱、有过失的人之间相互沟通的一种纽带。这些人尽管有过失败,但他们通过友谊能使彼此变得更坚强,更友好 。倘若我们是十全十美的人,那我们就不需要朋友了。

    问:你如何答复那些认为在目前世界上人与人之间保持密切的联系既不可能, 也是太危险的人。

    答:他们仅仅是在描述友谊的危险。友谊可能对你身体不利,因为你不可能保 持一种始终使你处于幸福、欢乐与充满笑声的友谊。当你与他人建立一种友谊,你就马上步入一种受限制的境地。为了维护友谊,你往往不得不受到责备,并做出牺牲。一个朋友能使你伤心,这是毫无疑义的。当今许多人已选择了孤独之路,但这并不意味着友谊这观念不对,而是有人拒绝为友谊付出代价或不理解友谊的价值。

    Tag:人际关系 冲突 知己 朋友
    chapi 发表于00时04分23秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年05月23日

    IP地址冲突简单查找方法与预防管理策略 - [安全资讯]

    IP地址冲突简单查找方法与预防管理策略

    对于在Internet和Intranet网络上,使用TCP/IP协议时每台主机必须具有独立的IP地址,有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广,网络客户急剧膨胀,由于静态IP地址分配,IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响,首先,网络客户不能正常工作,只要网络上存在冲突的机器,在客户机上都会频繁出现地址冲突的提示:“如果网络上某项应用的安全策略(诸如访问权限,存取控制等)是基于IP地址进行的,这种非法的IP用户会对应用系统的安全造成了严重威胁。

    分析原因

    出现问题有时并不能及时发现,只有在相互冲突的网络客户同时都在开机状态时才能显露出问题,所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。

    很多用户对TCP/IP并不了解,不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置,有时用户不是从管理员处得到的上述参数的信息,或者是用户无意修改了这些信息;

    管理员或用户根据管理员提供的上述参数进行设置时,由于失误造成参数输错;

    在客户机维修调试时,维修人员使用临时IP地址应用造成;

    有人窃用他人的IP地址。

    查找与解决方法

    接到冲突报告后,我们首先确定冲突发生的VLAN。通过IP规划的VLAN定义,和冲突的IP地址,找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键,因为有些网络命令不能跨网段存取。

    首先将客户机与网络隔离,让非法的IP地址的微机在网上运行,网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为10.119.40.40,在msdos窗口,命令格式如下,其中斜体部分是命令结果。

      c:widows〉ping 10.119.40.40

      request timed out

      reply from 10.119.40.40 : bytes=32 time〈1ms ttl=128 略

    我们之所以要ping这台机器,是出于两个目的,首先我们要知道我们要找的机器确实在网络上,其次,我们要知道这台机器的网卡的MAC地址,那么我们如何知道它的MAC地址哪?这就需要使用第二个命令arp:arp命令只能在某一个VLAN中使用有效,它是低层协议,并不能跨路由。

      c:widows〉arp -a

      interface: ...... on inerface ......

      internet address/physical address/type

      10.119.40.40/00-00-21-34-63-56/ dynamic 以下略

    以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。

    网络简介中已经说明,每台客户机的网卡直接连接到第二级交换机上,接下来面对大量的以太网交换机,我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是bay的303/304,本文以303为例,描述如何查找某一个MAC地址所在的端口位置。bay303的网管有多种方式,下面仅以web浏览器方式描述查找非法MAC的方法。

    在查找之前,首先要确定VLAN内的交换机位置,查出这些交换机的IP地址,使用交换机地址可以访问该交换机的网管信息。

    在网管员的机器上启动浏览器

    键入交换机的IP地址

    提示登陆信息后输入用户名和密码

    进入“mac address table”选项

         显示表格如下:

    index/mac address/learned on port/learning method/filter packets to this address

    00:00:21:34:63:56 13 dynamic no

    -------------------------------------------

    00:00:81:65:c3:a0 n/a static no

    -------------------------------------------

    00:00:a2:f7:c3:e4 25 dynamic no

    -------------------------------------------

    00:00:21:34:63:56 2 dynamic no

    以下略。

    此时你可以看到索引的第4项,它正是我们要查找的MAC地址,它的端口号为2。根据综合布线资料,可以查找出相应的信息点的物理位置,从而定位到所连接的微机位置。当然,在此是针对特有的交换机所举的例子,在实际工作中我们要查找很多台交换机,才能找到我们要找的MAC地址,当VLAN中存在大量的交换机时,我们需要在这些交换机中逐个去查找,直到找到为止,这是一个相当烦琐的事情。

    对于某一交换机的端口中存在下联交换机的情况,因为交换机支持多个MAC地址,会在上级的MAC表中有下级MAC的记载,所以首先查找上级交换机MAC表,确定较具体位置后再去查找下一级交换机,这样会大幅度地缩减查找范围。

    当然使用专业的网络测试仪可以更快速简单地排除故障,但对于没有昂贵仪器的小型网络的管理者,上述的方法还是很奏效的。

    管理策略

    对于局域网来讲此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP地址分配(dhcp),另一种方案是使用静态地址分配,但必须加强MAC地址的管理。

    用动态IP地址分配(dhcp)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外dhcp服务器。

    使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,如果我们通过加强对MAC地址的管理,同样也会有效地解决这一问题。

    在网络用户连网的同时,建立IP地址和MAC地址的信息档案,自始至终地对局域网客户执行严格的管理、登记制度,将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想,在我们上述的案例中,如果知道了非法用户的MAC地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC地址记录全面,我们便可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制,如果我们从MAC地址上进行限制相对来说要安全的多,这样可以有效地防止有人窃取IP地址的侥幸行为。

    ARP防御之双绑批处理+++集合

    一:此批处理有缺陷,有时不能实现真正意义的双绑!

    @echo off

    ::读取本机Mac地址

    if exist ipconfig.txt del ipconfig.txt

    ipconfig /all >ipconfig.txt

    if exist phyaddr.txt del phyaddr.txt

    find "Physical Address" ipconfig.txt >phyaddr.txt

    for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M

    ::读取本机ip地址

    if exist IPAddr.txt del IPaddr.txt

    find "IP Address" ipconfig.txt >IPAddr.txt

    for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I

    ::绑定本机IP地址和MAC地址

    arp -s %IP% %Mac%

    ::读取网关地址

    if exist GateIP.txt del GateIP.txt

    find "Default Gateway" ipconfig.txt >GateIP.txt

    for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G

    ::读取网关Mac地址

    if exist GateMac.txt del GateMac.txt

    arp -a %GateIP% >GateMac.txt

    for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H

    ::绑定网关Mac和IP

    arp -s %GateIP% %GateMac%

    arp -s 网关IP 网关MAC

    exit

    这个批处理要查询本机的ARP 缓存表,看里面是不是有网关的IP和MAC,有则能成功

    绑定,但是没有的话就绑不定了!!!不过可以改进一下,达到双绑的目的,比如

    加上arp -s 网关IP 网关MAC一行就可以了。。。

    二、这个也不能实现真正意义的双绑,只能绑定本机IP和MAC

    (多谢中国DOS联盟lxmxn提供)

    @echo off

    for /f "delims=: tokens=2" %%a in ('ipconfig /all^|find "Physical Address"') do set local_mac=%%a

    for /f "delims=: tokens=2" %%a in ('ipconfig /all^|find "IP Address"') do set local_ip=%%a

    for /f "delims=: tokens=2" %%a in ('ipconfig /all^|find "Default Gateway"') do set gate_ip=%%a

    fo* /* %%* in ('getmac /nh /s %local_ip%') do set gate_mac=%%a

    arp -s %local_ip% %local_mac%

    arp -s %gate_ip% %gate_mac% (这个地方有问题,改进中……)

    经测试,此批处理不能绑定网关IP和MAC,只能绑定本机IP和MAC

    三、这个还不是很清楚,我要测试才行的,目前所知也能绑定本机IP和MAC

    (多谢中国DOS联盟everest79提供)

    @ECHO OFF

    SETLOCAL ENABLEDELAYEDEXPANSION

    for /f "tokens=2 delims=[]=" %%i in ('nbtstat -a %COMPUTERNAME%') do call set local=!local!%%i

    for /f "tokens=3" %%i in ('netstat -r^|find " 0.0.0.0"') do set gm=%%i

    for /f "tokens=1,2" %%i in ('arp -a %gm%^|find /i /v "inter"') do set gate=%%i %%j

    arp -s %gate%

    arp -s %local%

    arp -s 网关IP 网关MAC

    这个批处理可以绑定网关IP和MAC,但是还是有缺陷,要依赖于本机上存在的ARP缓存!

    改进方法为在最后加一个arp -s 网关IP和MAC!

    四、这个是一个兄弟的博客上找到的,原理和第一个一样,只是改进了一点点!

    这个P通过ping网关三次得到了网关的MAC其实以上的批都可以通过这个来搞定网关的IP和MAC,

    但是如果开机的时候正在发生ARP欺骗的话 这样你绑的IP和MAC就是错的,不能上网了。。

    不过这种情况很少,发过来试一下先吧!

    @echo off

    :::::::::::::清除所有的ARP缓存

    arp -d

    :::::::::::::读取本地连接配置

    ipconfig /all>ipconfig.txt

    :::::::::::::读取内网网关的IP

    for /f "tokens=13" %%I in ('find "Default Gateway" ipconfig.txt') do set GatewayIP=%%I

    :::::::::::::PING三次内网网关

    ping %GatewayIP% -n 3

    :::::::::::::读取与网关arp缓存

    arp -a|find "%GatewayIP%">arp.txt

    :::::::::::::读取网关MAC并绑定

    for /f "tokens=1,2" %%I in ('find "%GatewayIP%" arp.txt') do if %%I==%GatewayIP% arp -s %%I %%J

    :::::::::::::读取本机的 IP+MAC

    for /f "tokens=15" %%i in ('find "IP Address" ipconfig.txt') do set ip=%%i

    for /f "tokens=12" %%i in ('find "Physical Address" ipconfig.txt') do set mac=%%i

    :::::::::::::绑定本机的 IP+MAC

    arp -s %ip% %mac%

    :::::::::::::删除所有的临时文件

    del ipconfig.txt

    del arp.txt

    exit

    以上P可以配合路由上对客户机的IP和MAC进行绑定实现完全防ARP,只是单绑下面机和网关IP及MAC

    没有多大用处,关于路由上面的,因为大家用的路由不一样,所以这个就不写了!
    Tag:IP 冲突 ARP arp欺骗
    chapi 发表于20时27分06秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年04月30日

    局域网IP地址的非法使用问题解决方法 - [安全资讯]

    局域网IP地址的非法使用问题解决方法

    作者:Vlan9.com 来源:Vlan9.com

    引言

    在大多数局域网的运行管理工作中,网络管理员负责管理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。

    但在Windows操作系统中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。

    a. 非法的IP地址即IP地址不在规划的局域网范围内。

    b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。

    c.冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。

    1 IP地址非法使用的动机

    IP地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:

    a. 干扰、破坏网络服务器和网络设备的正常运行。

    b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的,就是因特网访问权限。

    c. 因机器重新安装、临时部署等原因,无意中造成的非法使用。

    2 非法使用方法

    2.1 静态修改IP地址配置 用户在配置TCP/IP选项时,使用的不是管理员分配的IP地址,就形成了IP地址的非法使用。

    2.2 同时修改MAC地址和IP地址

    非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。

    2.3 IP电子欺骗

    IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程,发送带有假冒的源IP地址的IP数据包

    3 管理员的技术手段

    3.1 静态ARP表的绑定

    对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。

    该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。

    3.2 交换机端口绑定

    借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。

    3.3 VLAN划分

    严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。

    3.4 与应用层的身份认证相结合

    避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,可以有效降低IP地址非法使用所带来的危害。

    4 管理建议

    a.普通用户明白非法使用IP地址所产生的危害和处罚措施,制定并实施严格的IP地址管理制度,包括:IP地址申请和发放流程,IP地址变更流程,临时IP地址分配流程,机器MAC地址登记管理,IP地址非法使用的处罚制度。

    b.非法使用IP的行为,总是内部网络少数人的行为。因此,对于已经建成的网络,管理员要根据当前存在的问题,有针对性的运用技术措施,重点阻止个别用户的非法行为。

    c. 划分VLAN时,兼顾可管理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益。

    d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作,避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络管理员查找网络故障的根源。同时,网络管理员还可以借助网管系统,很方便的管理网络交换机,针对个别问题突出的用户,进行交换机端口绑定操作,禁止其修改MAC地址。

    e. 与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于容易盗用的资源,建议有条件的单位采用指纹鼠标等先进的身份认证系统,强化重要系统的安全强度。

    5 结束语

    内部人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段,还拥有各种内部管理手段。如果单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的管理维护的统一。

    关于MAC地址与IP地址绑定策略的探究

    作者:redcat 来源:中国信息安全网

    1 引言

    对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨。在这里需要声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质。

    1.1 为什么要绑定MAC与IP 地址

    影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。

    盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址,这种网络互连设备显然无能为力了。“道高一尺,魔高一丈”,对于Ethernet内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

    1.2 MAC与IP 地址绑定原理

    IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。

    目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。

    从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。

    2 破解MAC与IP地址绑定策略

    2.1 IP地址和MAC地址简介

    现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、网络层、传输层和应用层。

    Ethernet协议是链路层协议,使用的地址是MAC地址。MAC地址是Ethernet网卡在Ethernet中的硬件标志,网卡生产时将其存于网卡的EEPROM中。网卡的MAC地址各不相同,MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。

    Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层,使用的地址为IP地址。使用IP协议进行通讯,每个IP报文头中必须含有源IP和目的IP地址,用以标志该IP报文的发送端和接收端。在Ethernet上使用IP协议传输报文时,IP报文作为Ethernet报文的数据。IP地址对于Ethernet交换机或处理器是透明的。用户可以根据实际网络的需要为网卡配置一个或多个IP地址。MAC地址和IP地址之间并不存在一一对应的关系。

    MAC地址存储在网卡的EEPROM中并且唯一确定,但网卡驱动在发送Ethernet报文时,并不从EEPROM中读取MAC地址,而是在内存中来建立一块缓存区,Ethernet报文从中读取源MAC地址。而且,用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。既然MAC地址可以修改,那么MAC地址与IP地址的绑定也就失去了它原有的意义。

    2.2 破解方案

    下图是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务,防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配,将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器;主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版,网卡是3Com的。



    试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。首先,在控制面板中选择“网络和拨号连接”,选中对应的网卡并点击鼠标右键,选择属性,在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”,再在“属性”栏中选择“Network Address”,在“值”栏中选中输人框,然后在输人框中输人被盗用设备的MAC地址,MAC地址就修改成功了。

    然后再将IP地址配置成被盗用设备的IP地址。盗用内部客户机IP地址:将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器,能够顺利地通过防火墙,访问权限与主机2没有分别。而且,与此同时主机2也可以正常地访问外部服务器,完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1

    如果访问内部服务器,根本无需通过防火墙,更是畅通无阻了。

    盗用内部服务器IP地址:将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显,主机1上提供的Web服务内容与内部服务器提供的内容不同。

    因为在实际的实验中主机1与主机2连在同一个HUB上,主机2的访问请求总是先被主机1响应,主机2期望访问的是内部服务器,得到的却总是主机1提供的内容。更一般地,主机2如果试图访问内部服务器,获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性,要看它的访问请求首先被谁响应,在后面的分析中我们将进一步对此进行阐述。

    盗用服务器的MAC和IP危害可能更大,如果主机1提供的Web内容和内部服务器中的内容一样,那么主机2将无法识别它访问的到底是哪个机器;如果Web内容中要求输人账号、密码等信息,那么这些信息对于主机1来说则是一览无遗了。

    3 破解成功的原因

    上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷,无法有效地防止内部IP地址被盗用。接下来,将从理论上对该缺陷进行详细的分析。

    缺陷存在的前提是网卡的混杂接收模式,所谓混杂接收模式是指网卡可以接收网络上传输的所有报文,无论其目的MAC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式,才使网卡驱动程序支持MAC地址的修改成为可能;否则,就算修改了MAC地址,但是网卡根本无法接收相应地址的报文,该网卡就变得只能发送,无法接收,通信也就无法正常进行了。

    MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的,但驱动程序并不从网卡的EEPROM中读取MAC,而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址,以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。

    如果仅仅是修改MAC地址,地址盗用并不见得能够得逞。Ethernet是基于广播的,Ethernet网卡都能监听到局域网中传输的所有报文,但是网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求,而这两个访问请求的响应报文对于这两台主机都是匹配的,那么这两台主机就不只接收到自己需要的内容,而且还会接收到目的为另外一台同MAC主机的内容。

    按理说,两台主机因为接收了多余的报文后,都应该无法正常工作,盗用马上就会被察觉,盗用也就无法继续了;但是,在实验中地址被盗用之后,各台实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。

    目前,网络中最常用的协议是TCP/IP协议,网络应用程序一般都是运行在TCP或者UDP之上。例如,实验中Web服务器采用的HTTP协议就是基于TCP的。在TCP或者UDP中,标志通信双方的不仅仅是IP地址,还包括端口号。在一般的应用中,用户端的端口号并不是预先设置的,而是协议根据一定的规则生成的,具有随机性。像上面利用IE来访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数,两个16位的随机数字相等的几率非常小,恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同,但是应用端口号不同,接收到的多余数据由于在TCP/UDP层找不到匹配的端口号,被当成无用的数据简单地丢弃了,而TCP/UDP层的处理对于用户层来说是透明的;所以用户可以“正确无误”地正常使用相应的服务,而不受地址盗用的干扰。

    当然,某些应用程序的用户端口号可能是用户或者应用程序自己设置的,而不是交给协议来随机的生成。那么,结果又会如何呢?例如,在两台MAC地址和IP地址都相同的主机上,启动了两个端口相同的应用程序,这两个应用是不是就无法正常工作了呢?其实不尽然。

    如果下层使用的是UDP协议,两个应用将互相干扰无法正常工作。如果使用的是TCP协议,结果就不一样了。因为TCP是面向连接的,为了实现重发机制,保证数据的正确传输,TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中,只有那些序列号的偏差属于接收窗口之内的报文才会被接收,否则,会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位,每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的,以后每个报文的序列号依次加1。

    窗口的大小有16位,也就是说窗口最大可以是216,而序列号的范围是232,主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216,可谓小之又小。 TCP的序列号本来是为了实现报文的正确传输,现在却成了地址盗用的帮凶。

    4 解决MAC与IP地址绑定被破解的方法

    解决MAC与IP地址绑定被破解的方法很多,,主要以下几种。

    交换机端口、MAC地址和IP地址三者绑定的方法;代理服务与防火墙相结合的方法;用PPPoE协议进行用户认证的方法;基于目录服务策略的方法;统一身份认证与计费软件相结合的方法等。在这里笔者尤其推荐最后一种方法,这种方法是将校园网办公自动化系统和网络计费软件结合在一起而实现的,这在校园网信息化建设的今天具有很强的实践性。

    同时设置网桥和ICS 导致IP地址冲突

    故障现象

    网络上有4台机器:两台Windows XP和两台Windows 98通过hub连接组成对等网。并通过其中一台Windows XP机器通过ADSL共享上网 (通过Windows XP的网桥功能),前一段时间一直运行良好。

    前两天,直接连接Internet的那台机器在 "网络邻居"中看不见其他任何机器,通过检查发现与其他机器IP地址冲突,都是192.168.0.1。无论如何都无法改过来!经过用iPscan软件检查,发现另一台Windows XP的机器居然占用两个IP地址 (192.168.0.1和192.168.0.15,其中192.168.0.15是我设置的,主机名都是另一台机器的名称)!但是该计算机只有一个网卡:用ipconfig检查也只有一个网卡用的192.168.0.15地址。现在。如果拔下网线并开机后再插上网线或者先屏蔽连接Hub的网卡并上网后再启用,就能一切和正常一样。

    诊断过程

    计算机为什么会自动获取一个192.168.0.1地址呢?在什么情况下,计算机才会目动获取192.168.O.1地址呢?第一,网络内存在一个DHCP服务器,由该DHCP服务器为网络内的计算机动态分配IP地址;第二,DHCP服务器的IP地址池范围是192.168.0.1~192.168.0.254。

    就目前情况来看,作为只有4台计算机的对等网络,肯定没有也没有必要使用专用的DHCP服务器。还有谁会提供DHCP服务呢?很自然,我想到了Windows的ICS服务。

    Internet连接共享(ICS)使用一个 Internet连接将多台计算机连接到Inernet。一台称为ICS主机的计算机直接连接到Internet,然后与网络上的其余计算机共享其连接。客户计算机依赖于ICS主机提供对Internet的访问。启用ICS可以增强安全性:因为只有ICS主机对Internet是可见的。所有从客户计算机到Internet的通讯都要经过ICS主机,此过程使客户计算机的地址在Internet上得到隐藏,由于无法从该网络以外看到客户计算机,所以客户计算机受到保护。从公共方看见的只有运行ICS的计算机。另外,ICS主机还管理网络编址。ICS主机为自己指派一个永久地址,同时为每台ICS客户机提供了为其指派唯一地址的动态主机配置协议DHCP),这样就为网络上的计算机提供了相互通讯的方式。

    很简单,这台计算机被设置为ICS主机了。Internet连接共享主机本身拥有一个DHCP服务,将本地计算机的局域网端口设置为192.168.0.1,并自动为网络内的其他计算机动态分配IP地址,网段为192.168.2~192.l68.254。所以,计算机启动后:就会为自己分配一个IP地址。然后,为那些没有IP地址的计算机也分配一个IP地址,从而实现网络连接和Internet共享。

    所以,在网络内设置ICS主机后:所有的计算机都不要分配IP地址。原因如下:

    第二,当ICS主机开机后:所有的计算机都会自动从ICF主机中获得一个IP地址进行通讯;

    第二,如果ICS主机没有开机,那么,Windows计算机会自动使用APIPA(Automatic private IP Addressing,自动专用IP寻址)给计算机分配一个私有IP地址。这个地址来自于保留的授权私有地址段169.254.0.1,169.254.255.254,子网掩为:255.255.0.0。计算机之间仍然能够正常通讯。

    因此,ICS的第二块网卡,以及网络内的所有计算机都不要设置IP地址,所有的计算机都设置为自动获取IP地址即可。当然,跟ADSL M0dem连接的那块网卡一定要设置IP地址哦,需要它跟Internet连接呢。也就是说,整个网络中,只有跟Internet连接的那块网卡才需要设置IP地址,其他的所有网卡都不需要设置IP地址。

    经检查发现,作为Internet连接服务器的计算机同时设置了网桥和Internet连接共享,去掉网桥:只保留Internet连接共享,网络恢复正常。

    排除心得

    网络内只能有一个网络管理员,否则,大家都对服务器随意设置,就非常容易导致网络服务的失败,而故障的检查和排除也将非常困难:因为通常情况下,作为普通的计算机用户,很难知道从哪里下手,往往是在不得已的情况下,重新安装服务器。

    解决LAN环路引起的广播风暴

    笔者公司局域网采用的是星型拓扑结构千兆以太网技术,中心机房配备一台三层路由交换机,各楼层采用接入核心交换机,各部门计算机通过直接接入或用级连方式通过接入层交换机接进网络。中心的服务器有多台,提供FTP、文件服务、Web等多项服务。

    全网分为5个VLAN,根据业务不同为不同网段定义了IP地址。

    随着接进网络PC的不断增多及信息流量的增加,在网络维护中遇到过各类问题及故障,现在分析其中影响较大的一个故障,谈谈在管理与维护上的一点经验和体会。

    ◆故障现象

    某日有多个用户反映网络连接情况时通时断,有时同一楼层的计算机都无法互相Ping通,故障用户分布在多个楼层,故障点不集中。对个别端口做互换测试,故障仍然存在。在故障计算机上进行测试,发现可以Ping通网络中的部分服务器或计算机,Ping核心交换机的IP地址常出现不通、丢包、时延大的现象。利用网络软件对可管理的交换机做检查,没有明显的报错。

    ◆故障排查

    首先怀疑为核心交换机物理故障,观察交换机的指示灯状态以及各端口的状态,显示正常。对核心交换机清除缓存、关闭重启,并检查交换机的配置情况,没有改变。

    经过以上的检查和测试,分析故障应该不在硬件部分,利用Sniffer抓包分析软件将网络中的数据包抓下来分析,发现有大量数据包来自同一个MAC地址,目的地址是根本不存在的IP,怀疑是类似于“冲击波杀手”一类会造成网络堵塞的蠕虫病毒。根据网络正常时建立的IP地址及MAC地址对应表查出该机属于某层的一台PC,初步确认故障点后将MAC地址对应的计算机从网络中断开并升级杀毒软件,然后重新接入网络,此时故障仍然存在。

    为了确定具体故障点,要求该单位提供其接入拓扑图分析,发现该单位将分属于两个不同VLAN的连线分别连接两个不同的Hub,当天为了使用方便,将两个Hub用级联的方式连接到了一起,将其连线断开后,故障彻底排除。

    ◆故障原因

    此次故障原因分析主要是由于网络中有环路存在,造成每一帧都在网络中重复广播,引起了广播风暴。要消除这种网络循环连接带来的网络广播风暴可以使用STP协议(生成树协议),以网络中一台交换机为节点生成一棵转发树,而树是没有环路的,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴,但由于SPT算法的开销非常大,所以交换机上都未启用该协议。

    为避免在接入层出现同样的故障,从而影响整个局域网络用户的使用,所以在接入层启用树生成协议是必要的,或者在诊断故障时可以打开SPT协议协助确定故障点。

    ◆经验总结

    在故障发生时,应首先了解故障前网络的改动,建立完善的网络文档资料。包括网络布线图、IP及MAC对应表等,否则在确定MAC地址端口时会消耗大量的时间。现在有很多局域网工具软件都可以通过扫描获取网络中的计算机的这些信息,如LanExplorer等。

    Tag:局域网 IP 解决 冲突 广播风暴
    chapi 发表于23时58分12秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年03月18日

    两则妙招 让SATA与PATA两种硬盘和平相处 - [排疑解难]

    两则妙招 让SATA与PATA两种硬盘和平相处

      为了满足高速传输数据的要求,不少人都纷纷去尝试使用SATA硬盘,该硬盘凭借串行通信传输方式可以实现比普通硬盘传输速度更高的速度来读写数据。不过在实际使用SATA硬盘的过程中,我们或许会遇到一些在使用普通硬盘时从来没有遇到过的特殊现象,这些现象会让我们的感觉有点不适应;那我们能不能在使用SATA硬盘的时候,让一些操作现象回归正常,让我们的使用感觉也恢复正常呢?答案是肯定的!这不下面列出的两则现象就是使用SATA硬盘时经常碰到的,现在我们不需要借助任何外力,就能赤手空拳地让SATA硬盘使用过程中出现的不正常现象回归正常!

      1、让硬件启动回归正常

      在将新式武器——SATA硬盘购买到手后,不少喜欢怀旧的朋友舍不得让原本勤勤恳恳的IDE硬盘立即“下岗”,这样一来计算机主板中就会出现SATA硬盘与IDE硬盘共存的情况。在这种情况下,启动计算机系统时,系统总是十分“偏心”地从IDE硬盘中读取引导内容,即使性能再好、质量再高的SATA硬盘也只能被系统屈尊识别为“从盘”。如果我们偏要从SATA硬盘来引导操作系统,该如何实现呢?事实上这种“偏心”现象只是由系统默认的设置决定的,要让系统从SATA硬盘中读取引导数据,只需要进入系统的BIOS参数设置界面,来调整一下系统启动的顺序就OK了:

      首先确保将IDE硬盘和SATA硬盘正确地连接到计算机主板中,然后重新启动一下计算机系统,在启动过程中及时按下DEL功能键进入到系统的BIOS参数设置界面;

      其次在该界面中找到“Advanced BIOS Features”设置选项,并在该设置选项页面中找到“First Boot Device”参数,然后将该参数修改为“SATA”,要是BIOS系统中没有提供“SATA”选项时,那就必须将“SCSI”选项选中;

      最后再将上面设置好的参数保存后,并再次重新启动一下计算机系统,相信这样一来计算机启动时就能自动从SATA硬盘来引导系统了!

      需要提醒各位朋友注意的是,这里选中的“SCSI”选项并不表示SATA硬盘就属于SCSI类型的硬盘,只是BIOS系统中一旦没有SATA项目可供选择时,那“SCSI”选项就被系统当作是SATA硬盘了。倘若BIOS系统有现成的“SATA”选项可供选择时,我们就必须将“First Boot Device”参数设置成为“SATA”,不然的话SATA硬盘是无法做到系统启动盘的效果的!

      2、让硬盘备份回归正常

      拥有SATA硬盘的朋友,无论是在安装计算机还是升级系统的过程中,都有可能碰到这样的故障现象,那就是曾经运行正常的备份软件GHOST现在怎么也“玩”不转了,每次尝试使用光盘或优盘启动系统到DOS命令行状态后,执行ghost.exe命令后系统总会在瞬间发生死机现象,这种现象直接导致我们无法再象以前那样对系统进行备份或恢复操作了。这么说来,难道我们就没有办法通过ghost.exe命令,来对SATA硬盘进行备份操作或镜像恢复操作了?

      事实上,我们只要对系统的一组IDE接口通道进行一下屏蔽操作,就能对SATA硬盘进行正常的备份或数据恢复操作了,下面就是该方法的具体实施步骤:

      首先重新启动一下计算机系统,在启动过程中及时按下DEL功能键进入到系统的BIOS参数设置界面,然后找到该界面中的“Integrated Peripherals”项目,并打开该项目下面的“IDE Function Setup”设置页面,将该页面中的“OnChip IDE Channel 0”参数或“OnChip IDE Channel 1”参数修改为“Disabled”,最后再将上面设置好的参数保存后,并再次重新启动一下计算机系统,相信这样一来我们就能在DOS命令行中通过ghost.exe命令,来对SATA硬盘进行备份操作或镜像恢复操作了!
    Tag:SATA PATA 硬盘 冲突
    chapi 发表于10时55分52秒 | 阅读全文 | 评论 0 | 编辑 | 分享
共2页 1 2 下一页 最后一页

Lessons by English, baby!

随时随地看wap