在局域網工作環境中,我們時常會遭遇IP地址被非法搶用的現象,這樣的現象不但會影響局域網的運行穩定性,而且還會加大網絡管理員的維護工作量。那麼我們該如何有效避免IP地址被非法搶用呢?其實這是一個很複雜的問題,引起IP地址被非法搶用的原因有很多,我們必須針對不同的原因,從IP地址被非法搶用的源頭出發,對症下藥,以便標本兼治,徹底解決IP地址被頻遭搶用現象!
1、人爲設置引起的搶用
由人爲設置因素引起的IP地址搶用現象最爲常見,這種現象出現的主要動機通常包含以下幾個方面:一是計算機系統在長時間運行之後,由於頻繁地進行殺毒軟件或應用程序的安裝、卸載操作,或者由於上網用戶自己操作不當,最終造成了本地計算機系統發生了癱瘓現象,不得已在重新安裝計算機系統、設置上網參數的過程中,無意中引發了IP地址搶用現象,這種情形比較普遍,我們只要加強網絡管理,就可以很輕鬆地避免由這種因素引起的IP地址搶用現象;第二個方面是局域網或Internet中的非法破壞者,帶有明顯的***性,有意製造IP地址搶用現象,以便破壞局域網或目標計算機的上網穩定性,比方說非法破壞者只要將自己的計算機IP地址設置成局域網網關的地址或其他核心設備的IP地址,那麼整個局域網可能就不能正常上網了;第三個方面就是一些別有用心的用戶爲了竊取某臺特殊計算機的操作權限,而人爲偷用該計算機的IP地址,從而引發地址搶用現象。
爲了徹底解決由這種因素引起的IP地址搶用現象,許多網絡管理員常常會採用將計算機IP地址與網卡物理地址相互綁定在一起的方法,那樣一來指定的IP地址只能用於指定的網卡設備,即使非法破壞者偷偷搶用了指定IP地址,但他無法準確獲得指定網卡設備的物理地址,那麼他就不能使用指定的IP地址進行上網訪問,那麼指定IP地址自然也就不會受到非法搶用了,但是該方法也並不是解決該問題最好的辦法,這是爲什麼呢?
筆者認爲,將目標計算機的指定IP地址與網卡物理地址綁定在交換機上,雖然該IP地址日後就不能被非法用戶搶用了,但是目標計算機的主人除了使用這個指定的IP地址能上網訪問外,他同樣還可以隨意使用其他沒有綁定過的IP地址進行上網訪問,甚至可以使用局域網中任意一個處於空閒狀態的IP地址進行上網訪問,這與目標計算機的主人有沒有隨之修改網卡物理地址沒有任何關係,這也是說採用IP地址與網卡物理地址綁定的方法,只能防止非法用戶搶用IP地址,但是並不能防止合法用戶無意之中搶用局域網空閒IP地址,這種簡單的地址綁定方法並不能徹底解決局域網中IP地址被頻繁搶用的現象。
爲了能夠徹底地解決IP地址被頻繁搶用的現象,我們需要在單位局域網的核心交換機上同時採取兩種地址綁定操作,一種是將所有合法上網用戶使用的IP地址與各自的網卡物理地址綁定在一起,另外就是將局域網中其他處於空閒狀態的IP地址集中綁定到一個虛擬網卡設備的物理地址上,經過這樣的設置操作,局域網中的任何一位上網用戶只能在自己的計算機系統中使用自己的IP地址,而無法使用其他的IP地址進行上網訪問。日後,局域網中要是有新用戶需要上網時,必須向網絡管理員申請IP地址,網絡管理員只要在核心交換機中釋放一個空閒的IP地址給新增用戶就可以了。筆者經過反覆實踐,發現這種控制方法非常有效,而且如果對局域網中的網關地址也進行綁定的話,還能有效防止ARP病毒的襲擊。
從理論上來說,還有一種情況會造成局域網IP地址被他人搶用:那就是非法破壞者要是同時竊取獲得了合法計算機的IP地址與網卡物理地址,然後他通過修改自己計算機的網卡物理地址與IP地址,並且在合法計算機沒有連接網絡的情況下,就能成功搶用合法地址進行上網訪問,不過這種搶用的機率實在太低,因爲非法破壞者偷竊合法計算機的網卡物理地址與IP地址的對照清單太難,即使得到了網卡物理地址與IP地址的對照清單也不一定能夠上網訪問,要是合法計算機一直在線的話,非法破壞者還是不能進行上網訪問。
在將目標計算機的IP地址與網卡物理地址綁定在一起時,我們可以先在目標計算機系統桌面中,依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“cmd”,單擊回車鍵後,進入對應系統的DOS命令行工作窗口;在該窗口的命令行提示符下,執行字符串命令“ipconfig /all”,從其後返回的結果界面中(如圖1所示),
 |
| 圖1 |
我們將目標計算機的IP地址與網卡物理地址記錄下來;下面以系統管理員身份遠程登錄到單位局域網的核心交換機後臺管理界面,切換到全局配置狀態,並執行字符串命令“arp aa.aa.aa.aa bb.bb.bb arpa”(其中aa.aa.aa.aa爲指定的IP地址,bb.bb.bb爲對應網卡設備的物理地址),這樣一來就能將目標計算機的IP地址與網卡物理地址綁定在單位局域網的核心交換機上了。
小提示:
如果想防止他人在自己的計算機中隨意修改IP地址時,我們可以有多種方法可以選用,現在本文就爲大家提供幾種簡單的實現方法:
一是組策略編輯法。依次點選“開始”/“運行”命令,在系統運行文本框中執行組策略編輯命令“gpedit.msc”,打開組策略控制檯窗口,從該窗口的左側位置處依次選中“用戶配置”/“管理模板”/“網絡”/“網絡連接”選項,並在目標分支選項下面打開“禁止訪問lan連接組件的屬性”組策略的屬性設置窗口,選中“已啓用”選項,同時單擊“確定”按鈕,這樣的話任何人就不能進入本地計算機的TCP/IP屬性設置界面,隨意修改IP地址了。
二是系統服務修改法。依次點選“開始”/“運行”命令,在彈出的系統運行文本框中,執行“services.msc”命令,進入本地計算機系統的服務列表界面,打開目標系統服務“Plug and play”,在該服務屬性界面的“常規”設置頁面中,單擊“停止”按鈕,同時再修改它的啓動類型爲“禁止”,這樣的話本地計算機系統的本地連接圖標就找不到了,那麼非法破壞者也無法修改TCP/IP屬性參數了。
三是圖標反註冊法。依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中,依次執行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”,這樣一來本地連接圖標也會從計算機系統中消失掉,找不到本地連接圖標,任何用戶也不能隨意打開網絡參數設置界面去更改IP地址了。
2、DHCP服務引起的搶用
不少組網規模相對較小的單位,他們往往會將局域網中的所有計算機都連接到交換機上,然後再將交換機與寬帶路由器或ADSL撥號設備直接相連,最後使用相同的賬號進行共享撥號上網。爲了提高共享撥號上網的效率,網絡管理員一般都會將ADSL撥號設備中自帶的DHCP服務功能啓用起來,這樣的話局域網中的所有計算機日後就能自動獲取上網參數,並能進行正常上網連接了。
可是,不少網絡管理員在很多時候都會忽略對DHCP服務器地址池參數的設置,那樣的話就容易引起IP地址被頻繁搶用的現象。我們知道,在默認狀態下,許多寬帶路由器設備或ADSL設備一旦運行了DHCP功能,那麼該功能就會自動把對應網段中的所有IP地址一次性添加到DHCP服務器地址池中。比方說,在缺省狀態下ADSL撥號設備通常使用的IP地址爲192.168.0.1,如果此時我們啓用了該設備自帶的DHCP服務功能之後,那麼該功能就會將192.168.0.X這個網段中的所有IP地址一次性加入到DHCP服務器地址池中,這個時候可能會發生什麼情況呢?
大家知道,爲了讓自己的計算機系統啓動速度更快一些,不少上網用戶常常會爲它們設置一個靜態的IP地址,以便節省上網申請地址的時間。例如,要是本地局域網中有8臺計算機使用了靜態IP地址,它們的IP地址被依次設置爲了192.168.0.2~192.168.0.9這八個靜態IP地址。要是使用了192.168.0.6靜態IP地址的計算機有很長時間沒有啓動運行,而恰好此時局域網中有另外一臺普通計算機使用“自動獲取地址”方式連接局域網時,那麼ADSL撥號設備自帶的DHCP服務器就會職能識別出192.168.0.6地址還沒有被使用,此時該DHCP服務器就會把192.168.0.6地址IP地址自動分配給那臺使用了“自動獲取地址”方式的普通計算機了,要是這個時候先前使用192.168.0.6靜態地址的計算機再次上線時,那麼局域網中就會出現IP地址被非法搶用的現象了。在實際維護局域網的過程中,由DHCP服務引起的IP地址被非法搶用現象發生的概率也是比較大的。
要想避免由DHCP服務引起的IP地址被非法搶用現象時,我們必須設置好DHCP服務器的地址池參數,在設置該參數時,必須預先保留一部分IP地址出來,不添加到地址池中作動態分配使用。比方說,我們可以在ADSL撥號設備自帶的DHCP服務器地址池參數設置爲192.168.0.50~192.168.0.254(如圖2所示),
將前面49個IP地址保留下來,用於使用靜態地址上網的普通計算機使用,這麼一來靜態地址與動態地址就井水不犯河水了,DHCP服務器日後也就不會將靜態IP地址分配給使用“自動獲取地址”方式上網的計算機了,那麼由DHCP服務引起的IP地址被非法搶用現象也就不會發生了。
除了DHCP服務器分配的動態IP地址可能會搶用靜態IP地址外,不同DHCP服務器分配的動態IP地址相互之間也容易發生搶用現象,例如在一些局域網中,可能會同時存在路由器設備、ADSL撥號設備、打印服務器設備、硬件防火牆設備,這些設備都有可能在默認狀態下啓用了DHCP服務,那麼此時局域網中由DHCP服務引起的地址搶用現象也就特別容易發生了。要想避免由這種因素引起的IP地址被非法搶用現象,我們可以停用其他的DHCP服務器,讓局域網中只運行一臺DHCP服務器,也可以對這些衆多的DHCP服務器設置訪問優先級,甚至可以採用劃分多個不同虛擬子網的做法,保證每一臺DHCP服務器只能在一個獨立的虛擬工作子網中運行。
3、隱形網卡引起的搶用
有時,在僅包含一到兩臺計算機的局域網中,也會發生IP地址被搶用的現象,這是怎麼回事呢?出現這種蹊蹺的現象,很可能是本地計算機中存在隱形網卡設備,以前分配給該計算機的IP地址仍然被隱形網卡佔用着,當我們在該計算機中安裝新網卡設備,並嘗試將以前使用的IP地址繼續分配給新網卡使用時,就會出現IP地址被搶用的現象。
那麼隱形網卡設備怎麼會出現的呢?這主要就是我們在卸載舊網卡設備時,沒有按照正確的操作方法刪除舊網卡設備的驅動程序,而是直接關閉電源、移走舊網卡設備或更換網卡設備的插槽位置的,當計算機系統重新接通電源時,舊網卡設備的驅動程序仍然保存在該系統中,對應的上網參數信息也仍然存在,所以當我們繼續將以前的IP地址分配給新網卡設備時,計算機系統自然就能識別出IP地址被搶用的現象了。
要想解決隱形網卡引起的IP地址被搶用現象,我們必須先必須想辦法從系統中徹底刪除隱形網卡。在進行這種操作時,我們可以先用鼠標右鍵單擊計算機系統桌面中的“我的電腦”圖標,從彈出的快捷菜單中執行“屬性”命令,打開對應系統的屬性設置對話框,單擊該對話框中的“硬件”標籤,並在對應標籤設置頁面中點擊“設備管理器”按鈕,打開系統的設備管理器窗口;單擊該窗口菜單欄中的“查看”選項,從下拉菜單中點選“顯示隱藏的設備”命令(如圖3所示),
將計算機系統中所有處於隱藏狀態的硬件設備都顯示出來,然後找到目標隱形網卡設備,同時用鼠標右鍵單擊該設備選項,從彈出的右鍵菜單中點選“卸載”命令,這樣一來就能輕鬆將隱形網卡設備從計算機系統中徹底刪除掉了。
一旦刪除了隱形網卡設備後,原先被佔用的IP地址也就能被釋放出來了,此時我們只要按照常規方法,將該IP地址分配給新網卡設備,這樣一來就能成功解決由隱形網卡引起的IP地址被搶用現象了。
小提示:
爲了避免隱形網卡的出現,我們日後在刪除舊網卡設備時,必須按照正確的操作方法來進行:首先按照前面的操作步驟打開系統的設備管理器窗口,從中找到目標舊網卡設備選項,用鼠標右鍵單擊該設備選項,從彈出的快捷菜單中執行“卸載”命令,將對應網卡設備的驅動程序從計算機系統中徹底地卸載乾淨;其次計算機電源,打開計算機機箱外殼,拔出舊網卡設備,正確插入新網卡設備,最後將機箱外殼恢復原位並接通計算機電源,讓計算機系統重新啓動並去自動識別新網卡設備,這麼一來我們再爲新網卡設備分配IP地址時,就不會發生IP地址被搶用的現象了。