《局域网中MAC地址与IP地址绑定后还能上网法.》.doc

局域网MAC地址与IP地址绑定目前，很多单位学校校园内部网络都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被用，也内置了MAC地址与IP地址的绑定功能从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP。 IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP用(例如用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，用者即使修改了IP地址，也因MAC地址不匹配而用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法用者。 需要局域网查看工具：LanseeV1.62?打开局域网查看工具：LanseeV1.62如图1 就搜索到局域网内的所有计算机的名称.IP地址.MAC地址，如图2 我们知道了局域网中哪些IP能上网后就可利用这些IP及对应的MAC地址来更改自己的电脑来上网。 下图是试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络中的合法机器;主机1是为了做实验而新加入的机器。安装的操作系统是W2000企业版，网卡是3Com的。如图3 试验需要修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。 “网络和拨号连接”，如图4 ? 选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。 ? “高级”，再在“属性”栏中选择“Network Address”， 在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。 ? 然后再将IP地址配置成被侵用设备的IP地址。 用内部客户机IP地址:将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。 主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。