IP - 查皮博客@blogbus

2008年11月13日

腾讯官方确认QQ完成IP加密打击非法外挂 - [IT业界]

据腾讯内部人士透露，已经完成QQ客户端的IP加密部署，用户将不用再担心好友通过非法外挂来探测自己的IP地址和隐身状态。腾讯安全中心负责人表示，此举是为了保护用户隐私，同时有需要的用户仍然可以自由选择是否对好友开放自己的地理位置信息。
据介绍，过去一段时间，不少用户用各种方式投诉非法QQ外挂窥探隐私。腾讯随后进行IP加密的部署，将解决这一困扰大家的问题。在近期较为活跃的“彩虹QQ”网站，不少人发帖称，由于窃取IP地址失败，自己的好友IP“纷纷出国”；而本周早些时候，该外挂开发团队宣布由于错误频频，已经关闭“显隐身”功能。其它一些显IP外挂也在这一波IP加密行动中遭到秒杀。

IP地址用来标识用户在网络上的唯一身份，方便网站向用户提供个性化服务，但与此同时也带来系列安全隐患。一方面，每个IP地址都对应特定的地理位置，恶意用户可能通过IP地址探查用户真实地址，直接侵害用户隐私甚至危及人身安全；另一方面，IP地址被黑客获得后，就有可能对用户发起攻击，并获取用户电脑的控制权，盗取敏感信息或植入木马病毒等，造成严重的安全问题。

在成熟的欧美国家，网络监管当局和企业对互联网用户隐私保护问题高度关注，但在中国，网络隐私保护还在朦胧的认知阶段，不仅没有相关立法或行业规范，很多用户自身对隐私问题也缺乏认识。腾讯安全中心负责人表示，腾讯一贯高度关注用户隐私保护。例如在日常沟通中，QQ一直坚持采用密文传输，对QQ用户之间的对话进行加密处理，即使不法分子截获对话信息，也只能看到一堆乱码。

此外，QQ还集成了系统安全检测功能，并推出QQ医生，尽量保护用户信息安全。

腾讯QQ今天开始封杀显IP 外挂用户全部“免费出国”
腾讯QQ今天开始封杀了显IP外挂的技术改进,据多个显IP QQ论坛的消息显示,昨夜腾讯又对QQ做了修改,可能调整了IP协议.受此影响,所有显IPQQ例如FP和彩虹所显示出的IP全部“免费出国”,变成不准确的信息.

没有坐上免费的班机

免费出国

但腾讯做的依然不够彻底,在部分用户作出下线的动作时,正确的IP会出现.

腾讯的技术变动是否意味着显IP QQ的历史完全结束,我们拭目以待.

Tag：腾讯 QQ IP 外挂

chapi 发表于18时46分17秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年12月29日

网友奉献本本上使用Vista切换IP的好办法 - [系统技巧]

网友奉献本本上使用Vista切换IP的好办法

中关村在线

　　作者：Vista FANS

　　在笔记上使用Windows Vista系统的朋友，特别是上班族的朋友，很多都会面对公司和家两个网络环境，总是需要手动修改/切换IP。我这里总结了一个小技巧，借中关村在线Vista频道跟大家分享一下。

　　方法其实很简单，大家将下面的代码复制到一个空白记事本文件中，并将它们分别保存为.bat文件。当你在公司或者在家里时，运行对应的bat文件就可以了。

　　将下面的代码复制到文本文件中，然后保存为“单位IP.bat”：

@ECHO OFF

rem 单位IP

cmd /c netsh interface ip set address name="本地连接" source=static addr=172.30.5.153 mask=255.255.255.0 gateway=172.30.5.254 gwmetric=1

cmd /c netsh interface ip set dnsserver name="本地连接" source=static addr=202.106.196.115

　　将下面的代码复制到文本文件中，然后保存为“家里IP.bat”：

@ECHO OFF

rem 家里IP

cmd /c netsh interface ip set address name="本地连接" source=dhcp gwmetric=0

cmd /c netsh interface ip set dnsserver name="本地连接" source=dhcp

　　熟悉代码的朋友应该看明白了，以上的代码其实就是修改IP地址、子网掩码和网关，只不过我使用了批处理的方式，简化了每次都要手动操作的麻烦！

　　另外，我写的可能不是很清楚，哪位高手要是觉得不对，请回帖告诉我，谢谢！

Vista另类玩法屏幕键盘你弄明白了吗

中关村在线

　　作者：杨睿

　　很多微软操作系统的用户都知道Vista的语音识别功能，也就是说以“说教”的方式让操作系统为用户服务。事实上，Windows Vista还有一个你可能没有注意到的另类功能：轻松访问。

　　单击“开始”→“控制面板”，然后双击“轻松访问”图标，在打开的“轻松访问中心”中单击“启动屏幕键盘”（如图1）。

图1 屏幕键盘（点击看大图）

　　打开了这个键盘，我们如何来使用它呢？其实方法很简单，大家，只须激活该屏幕键盘（除点击关闭按钮外，鼠标点选其它地方均可激活）。

　　激活后，比如大家用拼音输入汉字“杨睿”时，调用出拼音输入法，接下来只须在界面上依次单击y、a、n、g、r、u、i即可。

图2 输入汉字

　　可能有的网友已经发现了，使用这个方法输入汉字的效率非常低。对，确实很低。笔者只是用输入汉字做例子告诉大家使用方法，屏幕键盘的高效率的一面是体现在其它方面的。

　　比如你激活“屏幕键盘”后，按住Shift键，然后任意点击其中的按钮，你再看看都会出现什么？是不是能够找到平时你很难找到的字符？

　　小提示：

　　“屏幕键盘”的功能还有很多，笔者就不一一介绍了。此外，单击菜单栏上的“设置”按钮，你可以自定义“屏幕键盘”的相关显示和功能。

Tag：笔记本 IP Vista 屏幕键盘

chapi 发表于20时56分57秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年11月14日

一步一步教你保护你的Wi-Fi网络 - [软件学院]

一步一步教你保护你的Wi-Fi网络

　　 Wi-Fi网络安全性能如何？实际应用过程中该如何防范？看看如下的应用建议。

　　1）在您浏览器中为路由器的IP地址分类

　　怎么通过管理系统，你必须查看你的路由器的IP地址指南（大概192.168.0.1）和路由器的默认口令，而现在路游器操作界面都不同，你不可能每个都在这里讲解，所以你需要根据我所说的做略微调整，但却容易在细节处出错，当你掌握了他的细节之后发现这并不复杂

　　2）设置管理员密码

　　不要忘记这第一步，这通常不在安全保护之下，所以请不要忘记查看设备和系统设置，一旦看到共有用户，你要将密码设置成你的密码．

　　3）打开加密设置

　　查看无线安全技术或者相似的标签部分。你想对标签进行加密，如果你所有的网络设备都支持的话，就使用无限安全技术（SPA-PSK），否则你在关键型就使用WAP（如果你使用的WEP，你就可以使用passphrase生成的主键）. 记录你使用的passphrase，你就可以用密码进入客户机了．

　　4）改变SSID

　　"hack me"是SSID默认的名字，路由器的名称是"linksys"、"belkin"，我不能想象有人愿意尝试修改网络，你从客户机浏览无线网络时，记住你很需要这个SSID，在菜单目录下你能找到叫Channel或者SSID，这样就能保障你的基本安全，在这个过程中你可能要多次重起你的路由器，（所以最好使用电缆进行配置）。同时在你每次微调之后请不要忘记点击：“提供改变”和保存“改变”．

　　注释：

　　WEP是一种在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术，密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位（或者104位）通用密钥，和发送方为每个分组信息所确定的24位、被称为IV密

　　钥的加密密钥。但是，为了将IV密钥告诉给通信对象，IV密钥不经加密就直接嵌入到分组信息中被发送出去。如果通过无线窃听，收集到包含特定IV密钥的分组信息并对其进行解析，那么就连秘密的通用密钥都可能被计算出来。

　　WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。

　　SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

如何在WINXP系统下设置IP和查看MAC

出处：太平洋电脑网

　　设置过程如下：

1、桌面上找到“网上邻居”，右键，选择“属性”，如下图

图1 选择属性命令

　　2、选择“本地连接”，右键，选择“属性”，如下图

图2 右键选择属性命令

　　3、选择“Internet 协议（TCP/IP）”一项，然后，点击右下“属性”按钮，如下图

图3 选择“Internet协议（TCP/IP）

　　4、根据你的申请信息，如实填写下列各项，如下图。完了，按下“确定”即可。

图4 设置IP地址

下面图示如何在WINXP系统中查看系统IP信息和网卡MAC地址

　　1、还是选择桌面上“网上邻居”，右键，选择“属性”。

　　2、双击打开“本地连接”，如下图

图5 双击打开“本地连接”

　　3、选择“支持”选项卡，如下图

图6 选择“支持”选项卡

　　4、点击“详细信息”按钮，如下图

图7 点击“详细信息”按钮

　　5、下图红框中就是网卡的MAC地址

图8 查看MAC地址

排除无线突然中断故障实例

　　本文下面就从实战角度出发，来向各位介绍一下无线拨号上网过程中经常容易发生的网络中断故障，以及该故障的排除方法！

　　故障回放

　　最近，办公室新购买了一款无线拨号路由器设备，该设备集成了无线路由器功能、ADSL拨号功能，办公室中的几台工作站通过该设备可以很轻松地连接到Internet网络中。

可是在最近的无线拨号上网过程中，我们常常发现在拨号成功之后，大概一个小时左右的时间，办公室中的所有工作站都会自动掉线，此时只有重新启动一下无线拨号路由器，并重新进行一次拨号才能解决网络掉线问题。起初遇到这种问题时，我们还以为是无线拨号路由器与电话线没有连接牢靠呢，于是特地将电话线从无线拨号路由器的WLAN端口中拔下来，并重新进行了连接，确保了它们之间的物理连接没有松动现象。

但是这样的努力，并没有避免无线拨号上网突然中断故障，过一段时间后，办公室中的所有工作站又不约而同地出现了掉线现象，同时网络出现了“网页无法打开”的提示。

故障排查

　　为了测试是否是工作站与无线拨号路由器之间的网络连接不正常，笔者在无线拨号突然中断故障发生的时候，立即在本地工作站系统中打开了系统“开始”菜单，并执行其中的“运行”命令，在其后弹出的系统运行文本框中输入了“cmd”字符串命令，单击回车键后将系统屏幕切换到了MS-DOS工作界面，然后在该界面命令行中执行ping命令，来测试一下本地工作站能否正常Ping通无线拨号路由器，结果发现办公室中的工作站到无线拨号路由器之间的网络连接是正常的，如此说来网络突然中断故障很有可能发生在无线拨号路由器与Internet网络的连接环节处。

　　考虑到办公室中的工作站是通过无线拨号路由器来连接组网的，而无线拨号路由器本身就自带了ADSL拨号功能，所以无线拨号路由器的WLAN端口应该和电话线直接连接。因为之前已经确认了电话线与无线拨号路由器WLAN端口的连接是正常的，所以笔者怀疑无线拨号路由器自带的ADSL拨号功能可能不正常。于是想到做到，笔者迅速打开IE浏览器窗口，在该窗口地址栏中输入无线拨号路由器默认的IP地址，单击回车键后打开该设备的后台登录界面，输入正确的用户名与密码后，进入到无线拨号路由器的后台参数配置界面，从中检查WLAN端口连接状态以及无线路由器设备的运行状态是否正常。检查之后，笔者发现无线拨号路由器的WLAN端口处于正常连接状态，那么在WLAN端口工作正常的情况下为什么还会出现网络连接突然中断的现象呢？

　　由于无线拨号路由器集成了路由器功能、无线AP功能和ADSL拨号功能，那会不会是无线拨号路由器由于散热不良导致内部工作温度过高而造成设备工作不稳定呢？想到这里，笔者下意识地用手背触摸了一下无线拨号路由器外壳的温度情况，触摸之后笔者感觉该设备外壳温度整体均匀，而且没有发现局部过热现象，这说明无线拨号突然中断故障与设备散热不良无关。

　　这下有点让笔者摸不着头脑了：既然无线拨号路由器不存在明显的硬件故障，同时ADSL拨号连接状态又很正常，并且无线拨号路由器设备与办公室工作站之间的网络连接正常，那么它们为什么过一段时间后就自动访问不了Internet网络呢，如此矛盾的排查结果让笔者感到非常疑惑不解，这究竟是什么因素被忽视而导致上面的故障不能被解决呢？

　　在万般无奈之下，笔者想到了排除网络故障的必杀绝招，那就是每次遇到网络掉线现象时，只要重新启动一下相关的网络连接设备，说不定就能将网络故障稀里糊涂地解决掉。到了此时，笔者心中也没有什么招数可以使用了，只好抱着试试看的心态重新启动了一下无线拨号路由器，果然发现突然中断的网络故障立即恢复正常了。那有没有可能是Internet网络中的病毒攻击了无线拨号路由器的WLAN端口，从而导致了网络发生信息堵塞最终引起了网络连接突然中断故障呢？这种猜测似乎有点道理，但转念一想，这种解释却很勉强，因为就算网络连接突然中断故障是由网络病毒引起的，那么每次进行网络连接不应该都遇到突然中断故障，毕竟每次上网各台工作站获得的IP地址都不相同呀，不可能每次病毒都会自动找上门吧！果不其然，在重新启动了无线拨号路由器一段时间后，办公室中的工作站又再次遭遇了网络突然掉线故障，每次故障发生的时间几乎很准确，就象受到了外界力量控制一样，这究竟是什么因素在从中“作祟”呢？笔者无意中又将电话线从无线拨号路由器设备的WLAN端口中拔出来，并对线路的连接接口进行了再次仔细检查，结果仍然是一无所获，不得已笔者只好将电话线重新插入到WLAN端口中，准备重新对各种可能导致网络故障发生的因素再次排查一遍。

　　这一次笔者通过ping命令测试了一下网关地址，结果发现测试仍然成功，之后笔者又尝试ping本地ISP的DNS服务器地址，Ping执行之后竟然发现本地ISP的DNS服务器地址也能正常Ping了，这说明此时的网络又能正常连接了，当尝试访问一下网页后，结果证明网络突然中断故障现在已经被解决了！此刻，笔者心情虽然十分兴奋，但自己也搞不清楚究竟是怎么回事，网络连接突然中断故障就这样被稀里糊涂地排除掉了。

　　待自己激动的心情慢慢平静下来后，笔者又仔细回忆了上面的故障排查过程。从上面的排查过程中，笔者判断电话线应该连接正常，否则不网络连接故障一直出现才对，而且电话线与无线拨号路由器的WLAN端口连接也是比较紧密的，那为什么重复插拔了几下电话线后，网络连接突然中断故障就不再出现了呢？通过插拔电话线能解决问题，这说明无线拨号路由器的WLAN端口能中断和创建拨号连接，换句话说就是插拔电话线的动作不知不觉地“导演”了一次重复拨号的操作，这才是网络连接突然中断故障恢复正常的原因。但是，这样的解释仍然还无法让笔者心服口服，毕竟之前笔者曾经不断地尝试插拔电话线的操作，而且当时测试无线拨号路由器的WLAN端口状态是正常的，也就是说在发生故障的那一刻WLAN端口仍然处于正常的连接状态，而根本不需要重新进行拨号连接。

故障解决

　　就在笔者头绪混乱的时候，网络连接突然中断故障又一次出现了，这一次笔者迅速登录进了无线拨号路由器的后台配置界面，在其中检查了一下WLAN端口此时的连接状态，结果显示WLAN端口状态确实正常，那么现在又该如何说明在掉线状态下WLAN端口处于连接状态的现象呢？

虽然测试的结果表明无线拨号路由器的WLAN端口尽管处于连接状态，不过该端口实际上已经不能进行正常的信息传输了，这种现象就相当于该端口受到了病毒攻击，网络端口连接状态虽然保持了正常，事实上该端口也是不能进行信息传输的。那究竟是什么因素致使无线拨号路由器的WLAN端口不能进行正常的信息传输工作呢？依照上面的分析，笔者重新进入到无线拨号路由器的后台配置界面，并在该界面中详细检查了有关WLAN端口的参数配置情况。

经过逐一排查、分析后，笔者终于有了新的发现，那就是办公室新购买的无线拨号路由器共有八条虚拟工作电路，而每一条虚拟工作电路在默认状态下都已被正常“启用”，事实上拨号上网时只有第一条虚拟电路真正有效，那其他无效的虚拟工作电路在启用状态下会不会对有效的虚拟电路造成一定程度的干扰呢？为了检验是否存在真正的干扰，笔者在无线拨号路由器的后台配置界面将所有无效的虚拟工作电路全部禁用掉，修改好配置参数后又重新启动了一下无线拨号路由器设备。终于功夫不负有心人，经过前面的参数调整操作并重新启动无线拨号路由器设备后，无线拨号突然中断故障就一直没有再次出现过，这表明此次网络故障终于被真正解决了！

用Win2003作路由实现局域网共享上网

　　网络现状：计算机中心机房共有计算机240台，已互连为局域网，希望访问校内资源时通过校园网接口，而访问外部资源时通过ADSL接口。

解决：

　　Windows XP和Windows 2003都自带ADSL宽带拨号程序，这里只要使用Windows 2003的“路由和远程访问”程序稍加配置，就可搞掂一切。

　　1、前提

　　计算机一台（配置不用很高，只要能安装Windows 2003就行），安装有Windows2003操作系统，内插3块网卡，网卡1：连接内部局域网，IP：192.168.1.1，子网掩码：255.255.255.0，网关：空，DNS：空；网卡2：连接ADSL，IP：自动获取，DNS：自动获取；网卡3：连接校园网，IP：202.203.230.2，子网掩码：255.255.255.0，网关：202.203.230.1，DNS：202.203.220.2（假设校园网网段为202.203.220.0—202.203.230.0之间，DNS服务器为202.203.220.2）；

　　2、服务器配置

　　Step1.单击“开始”—“管理工具”—“路由和远程访问”，启动配置向导；选择本地服务器，单击“操作”—“配置并启用路由和远程访问”（图一）。单击“下一步”，选择“自定义配置”—“下一步”；复选“请求拨号连接（由分支办公室路由使用）”和“LAN路由”—“下一步”—“完成”，即可启动路由和远程访问。

　　Step2.选择“网络接口”，单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”，选择“使用以太网上的PPP（PPPoE）连接”—“下一步”—“下一步”，弹出“协议及安全措施”选项，去掉所有钩选，单击“下一步”，输入ADSL帐号和密码，“下一步”—“完成”。）。

　　Step3.新建一批处理文件route.bat，并把其快捷方式添加到“开始”—“程序”—“启动”下，编辑route.bat内容如下：

　　cdroute delete 0.0.0.0

　　route add 192.168.1.0 mask 255.255.240.0 192.168.1.1

　　route add 202.203.220.0 mask 255.255.240.0 202.203.230.1

　　route add 202.203.221.0 mask 255.255.255.0 202.203.230.1

　　//（自行把校园网的IP段添加上）

　　route add 202.203.230.0 mask 255.255.255.0 202.203.230.1

　　3、客户机配置

　　TCP/IP配置如下：IP：192.168.1.x，子网掩码：255.255.255.0，网关：192.168.1.1，首选DNS服务器：当地ADSL域名服务器IP（可向ADSL提供商查询，如昆明电信的为：202.98.160.68），备用DNS服务器：202.203.220.2。此处的DNS设置非常关键，有的人会误把DNS设为：192.168.1.1。

　　总结

　　使用此方法实现宽带共享，可节约购买路由器的费用，几乎不占用服务器资源，且只要往服务器上加插网卡，就可任意扩张客户机数量或外部出口。我单位400多台计算机使用此种方法共享一条2MADSL宽带将有一年，运转非常稳定，每台计算机就象在独立使用一根2MADSL在上网，同时可以快速浏览校内资源，实现网上办公，何乐而不为！

Tag：网络 IP 教程无线网络故障

chapi 发表于22时34分25秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年09月20日

分清并防御ARP、IP欺骗及内外网流量攻击 - [安全资讯]

近期网络攻击势头越来越猛，最近很多用户宽带接入持续遭受攻击影响。让炎热天气又增添了一份烦恼。侠诺工程师们发现，近期出现状况的不仅是以前常受到攻击的网吧，很多企业遭受到攻击影响的案例，也越来越多。最近常发生的攻击，可分为四大类别，分别为：ARP攻击、内网IP欺骗、内网攻击、及外网流量攻击四种不同型式。

侠诺工程师们，根据实战服务经验总结最近攻击案例状况，与读者及用户分享。以下针对不同攻击现象及解决方式，作简单的说明，让企业与网吧的网管们，能够得到全面性的了解，进提高防范意识，以便能够更好的为单位服务！

ARP攻击

ARP攻击自2006年起，就开始普及。一开始ARP攻击是伪装成网关IP，转发讯息，盗取用户名及密码，不会造成掉线。早期的ARP攻击，只会造成封包的遗失，或是Ping值提高，并不会造成严重的掉线或是大范围掉线。

在这个阶段，防制的措施是以ARP ECHO指令方式，可以解决只是为了盗宝为目的传统ARP攻击。对于整体网络不会有影响。

但是在ARP ECHO的解决方法提出后，ARP攻击出现变本加厉的演变。新的攻击方式，使用更高频率的ARP ECHO，压过用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢，或占用网关运算能力，发生内网很慢或上网卡的现象。如果严重时，经常发生瞬断或全网掉线的情况。

要解决这种较严重的ARP攻击，到现在为止最简单有效的方法仍属于Qno侠诺于2006年10月提出的双向绑定方式，可以有效地缩小影响层面。近来有不同解决方法提出，例如从路由器下载某个imf文件，更改网络堆栈，但效果有限。有些解决方式则在用户与网关间建立PPPoE联机，不但配置功夫大，还耗费运算能力。虽然方法不但，大致都可以防制ARP的攻击。

内网IP欺骗

内网IP欺骗是在ARP攻击普及后，另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击现象，通常影响的计算机有限，不致出现大规模影响。

内网IP欺骗采用双向绑定方式，可以有效解决。先作好绑定配置的计算机，不会受到后来的伪装计算机的影响。因此，等于一次防制ARP及内网IP欺骗解决。若是采用其它的ARP防制方法，则要采用另外的方法来应对。

内网攻击

内网攻击是从内网计算机发出大量网络包，占用内网带宽。网管会发现内网很慢，Ping路由掉包，不知是那一台影响的。内网攻击通常是用户安装了外挂，变成发出攻击的计算机。有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

Qno侠诺对于内网攻击的解决方案，是从路由器判别，阻断发出网络包计算机的上网能力。因此用户会发现如果用攻击程序测试，立刻就发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致。正确的测试方法是用两台测试，一台发出攻击包给路由器，另一台看是否能上网。对于内网攻击，另外的防制措施是采用联防的交换机，直接把不正常计算机的实体联机切断，不过具备联防能力交换机的成本较高，甚至比路由器还贵。

外网流量攻击

外网攻击是从外部来的攻击，通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤，很容易就成为外网攻击的目标。同时又因为外网攻击经常持续变换IP，也不容易加以阻绝或追查。它的现象是看内网流量很正常，但是上网很慢或上不了；观看路由器的广域网流量，则发现下载的流量被占满，造成宽带接入不顺畅。

外网流量攻击，可以用联机数加以辅助判断，但是不容易解决。有些地区可以要求ISP更换IP，但过几天后，就又来攻击了。有些用户搭配多条动态IP拨接的ADSL备援，动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为，可通知ISP配合执法单位追查，但现在看起来效果并不大。Qno侠诺也曾呼御相关主管单位加以重视，但并没有较好的响应。外网流量攻击成为现在是最难处理的攻击。

小结

其实只要静下心来，按照以上说明，寻找相关的现象，找出原因，网络攻击并不是不能解决的。

Tag：防御 ARP IP 欺骗攻击

chapi 发表于20时11分09秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年09月15日

IP地址冲突简单查找方法与预防管理策略 - [排疑解难]

对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响，首先，网络客户不能正常工作，只要网络上存在冲突的机器，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略（诸如访问权限，存取控制等）是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。

分析原因

出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP地址冲突。

很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息；

管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错；

在客户机维修调试时，维修人员使用临时IP地址应用造成；

有人窃用他人的IP地址。

查找与解决方法

接到冲突报告后，我们首先确定冲突发生的VLAN。通过IP规划的VLAN定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。

首先将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为10.119.40.40，在msdos窗口，命令格式如下，其中斜体部分是命令结果。

　　c:widows〉ping 10.119.40.40

　　request timed out

　　reply from 10.119.40.40 : bytes=32 time〈1ms ttl=128 略

我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上，其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址哪？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。

　　c:widows〉arp -a

　　interface: ...... on inerface ......

　　internet address/physical address/type

　　10.119.40.40/00-00-21-34-63-56/ dynamic 以下略

以上列表表示出冲突IP地址10.119.40.40 处网卡的MAC地址为00-00-21-34-63-56。接下来我们要找的是MAC地址为00-00-21-34-63-56的网卡的具体物理位置。

网络简介中已经说明，每台客户机的网卡直接连接到第二级交换机上，接下来面对大量的以太网交换机，我们要查找是冲突MAC所对应交换机端口。本网络中与客户连接的设备是bay的303/304，本文以303为例，描述如何查找某一个MAC地址所在的端口位置。bay303的网管有多种方式，下面仅以web浏览器方式描述查找非法MAC的方法。

在查找之前，首先要确定VLAN内的交换机位置，查出这些交换机的IP地址，使用交换机地址可以访问该交换机的网管信息。

在网管员的机器上启动浏览器

键入交换机的IP地址

提示登陆信息后输入用户名和密码

进入“mac address table”选项

　　显示表格如下：

index/mac address/learned on port/learning method/filter packets to this address

00:00:21:34:63:56 13 dynamic no

-------------------------------------------

00:00:81:65:c3:a0 n/a static no

-------------------------------------------

00:00:a2:f7:c3:e4 25 dynamic no

-------------------------------------------

00:00:21:34:63:56 2 dynamic no

以下略。

此时你可以看到索引的第4项，它正是我们要查找的MAC地址，它的端口号为2。根据综合布线资料，可以查找出相应的信息点的物理位置，从而定位到所连接的微机位置。当然，在此是针对特有的交换机所举的例子，在实际工作中我们要查找很多台交换机，才能找到我们要找的MAC地址，当VLAN中存在大量的交换机时，我们需要在这些交换机中逐个去查找，直到找到为止，这是一个相当烦琐的事情。

对于某一交换机的端口中存在下联交换机的情况，因为交换机支持多个MAC地址，会在上级的MAC表中有下级MAC的记载，所以首先查找上级交换机MAC表，确定较具体位置后再去查找下一级交换机，这样会大幅度地缩减查找范围。

当然使用专业的网络测试仪可以更快速简单地排除故障，但对于没有昂贵仪器的小型网络的管理者，上述的方法还是很奏效的。

管理策略

对于局域网来讲此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（dhcp），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。

用动态IP地址分配（dhcp）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外dhcp服务器。

使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。

在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为。

Tag：IP 地址冲突查找 arp

chapi 发表于00时12分23秒 | 阅读全文 | 评论 0 | 编辑 | 分享