关于ip地址盗用问题－请各位朋友帮忙

wfu_liuxh · 发表于 2006-5-17 23:13:48

有一个网络中，只允许部分ip地址上网，所有ip与mac在路由器进行了静态绑定。但有些不能上网的机器，先通过扫描找出可以上网的机器的ip与mac，然后将自己的机器的mac地址与ip地址改为能上网机器的相应地址（现在很多网卡的mac也是可修改的）。这样不能上网的机器也可以上网（只是很慢)，原来可上网的机器上网就会很慢甚至无法上网。在这种情况下，并不会显示ip地址冲突。不知有什么方法能够判断出
1）哪个ip地址被盗用？
2）如何找出盗用者
3）如何避免不被盗用
这个问题请教过很多朋友都没用令人满意的答复，万望各位高手不吝赐教。先行谢过。

菜鸟人飞 · 发表于 2006-5-18 10:09:46

首先，我不是高手，我只是说说我的个人理解。

如果盗用者同时将IP与MAC改为合法的，系统（Windows不会报，其它系统未测试）不会报任何冲突，查找及避免这种情况，的确存在较大的难度，同时效果也不一定好。

我认为可以从扫描和活动主机两个方面入手。

1.首先捕获网络中通讯的数据包，找出网络中存在扫描的机器，记下其对应的IP与MAC。
2.当扫描结束后（如果该机器是非法用户，此时则会将更改其IP与MAC为合法的），再次重新使用网络分析软件抓包，查找网络中此时是否存在第1步中找到的IP与MAC。
3.如果此时第1步中记录的IP与MAC现在已不存在了，表示该主机很有可能进行了IP地址盗用；如果此时和1步中记录的IP与MAC现在仍然存在，则该主机可能的确存在扫描情况，即该主机可能感染蠕虫病毒或者是人为攻击。
4.通过网络原来的记录找到第1步中的查找到的IP和MAC对应的主机，查看其连接的交换机端口是否仍然在进行数据通讯，并进行定点分析。
5.如果成功找出，此在全公司内通报批评（通报批评前也可以先私下沟通一下，呵呵），以行政方式解决问题。

wfu_liuxh · 发表于 2006-5-18 16:04:56

谢谢才鸟人飞斑竹的赐教，但有几个问题仍不知需要讨论：
1、要盗用某一个ip,只需要有针对性的一个命令（一次扫描）即可完成，而且马上就会使自己成为合法。抓包软件不可能那样巧合正好抓到她在扫描。
2、因为两台不同机器，ip与mac均相同，如果在网上存在，你无法判断是甲机器、乙机器或是两机器都在上网。
3、某台机器某个ip不允许上网，并不等于不允许通信，因此通过交换机端口的灯并不能找出盗用者。
因此还是需要找一个可能行得通的方法来解决这问题。顺便说明，我说的这种ip盗用是极普遍的现象，在学校网络中普遍存在。

网络粪便 · 发表于 2006-5-19 10:31:21

我也想知道，期待高人解惑

菜鸟人飞 · 发表于 2006-5-19 14:03:24

原帖由 wfu_liuxh 于 2006-5-18 16:04 发表
谢谢才鸟人飞斑竹的赐教，但有几个问题仍不知需要讨论：
1、要盗用某一个ip,只需要有针对性的一个命令（一次扫描）即可完成，而且马上就会使自己成为合法。抓包软件不可能那样巧合正好抓到她在扫描。
2、因为两台不同机器，ip与mac均相同，如果在网上存在，你无法判断是甲机器、乙机器或是两机器都在上网。
3、某台机器某个ip不允许上网，并不等于不允许通信，因此通过交换机端口的灯并不能找出盗用者。
因此还是需要找一个可能行得通的方法来解决这问题。顺便说明，我说的这种ip盗用是极普遍的现象，在学校网络中普遍存在。

1.长时间运行网络分析软件，一直对数据包进行抓包分析；
2.的确无法判断是甲、乙、丙，但可根据以前存在但现在不存在的主机，确定谁盗用了IP；
3.通过交换机端口的确较难，那么可以再使用网络分析软件，并设定只捕获进出的数据通讯，这样，就可以了。

wfu_liuxh · 发表于 2006-5-20 07:23:35

看来这确实是一个比较棘手的问题。谢谢版主的回答了

快乐3幸福4 · 发表于 2006-5-22 11:17:28

从技术层面讲，这的确是个棘手的问题啊，我们这儿主要用行政手段解决，如果发现，扣钱钱，效果还是挺好。

elitewang · 发表于 2006-5-24 14:06:57

IP和MAC绑定！！

菜鸟人飞 · 发表于 2006-5-24 15:27:46

原帖由 elitewang 于 2006-5-24 14:06 发表
IP和MAC绑定！！

非法主机同时将IP和MAC改为合法的，即可突破IP和MAC的绑定。

weiweikang · 发表于 2006-5-24 17:29:16

若2台电脑不再一个交换机端口的话，可以启用端口过滤MAC来解决。（即某个端口之允许某个MAC通过)
若在一个端口下面（通过HUB介入），我就不知道了。

wfu_liuxh · 发表于 2006-5-25 07:49:22

是网管交换机可以端口绑定，但问题是普通或级联后的交换机不知如何解决。

ValorZ · 发表于 2006-5-31 13:52:00

可以上网的放一个VLAN 01，不可以上网的放一个VLAN 02，网关设置一个VLAN 03，交换机上端口都设定好接入链路属于的VLAN。
然后一个trunk实现vlan 01 02的互相访问。一个trunk实现vlan 02 03的互相访问。

这样vlan 01的机器怎么样都访问不到所处vlan03的网关了，这样就上不了网了

[ 本帖最后由 ValorZ 于 2006-5-31 13:58 编辑 ]

文少 · 发表于 2006-6-8 13:21:15

我们现在的做法是划分vlan.一个vlan能上网，一个vlan不能上网！vlan是基于交换机端口进行划分的。无论你怎样改ip就是不能上网！

文少 · 发表于 2006-6-8 13:23:02

关于如何找出盗用者，最简单的方法就是当确定此ip有人用时在cmd提示符号下:nbtstat -A ip
结果能取到用户信息。例：
C:\>nbtstat -A 10.138.208.231

本地连接:
Node IpAddress: [10.138.208.43] Scope Id: []

         NetBIOS Remote Machine Name Table

   Name             Type       Status
---------------------------------------------
SUN1          <00>  UNIQUE    Registered
物资部       <00>  GROUP    Registered
SUN1          <20>  UNIQUE    Registered
物资部       <1E>  GROUP    Registered

MAC Address = 00-12-3F-14-6A-D5

lisoftware · 发表于 2006-6-8 16:37:12

有点意思，网络抓包有点警察蹲点的时间，有点累。
行政方法效果会好，不过会得罪人。而且会扯皮。
个人意见。

[ 本帖最后由 lisoftware 于 2006-6-9 14:50 编辑 ]

wfu_liuxh · 发表于 2006-6-17 18:25:03

11楼与12楼的解决方案均基于网关交换机，这与探讨的问题有出入。其实网关交换机只要端口绑定就没有这些问题。
14楼的方法我以为有很大局限性：一是该盗用这未必与你连接，即便与你连接，机器信息也可能没有任何意义（既然是伪装者，自然可以什么都伪装！）

关于ip地址盗用问题－请各位朋友帮忙

评分

回复 #10 weiweikang 的帖子

回复 #10 weiweikang 的帖子