用其他帐号登录:
后使用快捷导航没有帐号？
查看: 3458|回复: 16
基于Mac地址的无感知认证，如何防止MAC地址冒用？
主题帖子积分
如果一个老师是无感知用户，一个学生获取了他的MAC地址，并手动修改自己的MAC地址跟老师的一样，那这个学生不是可以不受限制的上网了？
主题帖子积分
中级会员, 积分 408, 距离下一级还需 92 积分
中级会员, 积分 408, 距离下一级还需 92 积分
让客户端记录本次认证或上线时间，这个时间同时上传到认证服务器
下次上网时，将本地记录和服务器比对，一致则继续上网，并更新时间记录
如果客户换终端，比如前一刻用pc上网，后一刻改用手机，那么手机上没有那个时间信息，所以需要输入认证口令。
如果再有手机换回pc呢？也无需再次认证，这就需要依据不同mac地址，记录不同认证通过时间。
即允许一个客户拥有多个终端同时认证上线。
如果同一个mac地址的终端，其终端本地没有已经认证时间记录，或者和服务端不一致，则需要输入口令。
这个时间戳，相当于动态口令，只是无需用户去记录去输入。
仿冒者，想猜出这个时间有难度，如果时间精确到毫秒微秒
上面是以时间作为动态口令，当然还可以采用其它算法，而这个算法如果不像上面这样公开，那么就更难破解了
主题帖子积分
按照老赵的说法，就是把无感知认证的周期控制在24小时之内，超过1天就必须用户名+账号登陆一次才能继续使用无感知认证。这个我让区域售前也看看，不知道客户对这种是否能认可。
主题帖子积分
这种无感知好麻烦
主题帖子积分
按照老赵的说法，就是把无感知认证的周期控制在24小时之内，超过1天就必须用户名+账号登陆一次才能继续使用 ...
个人感觉，安全不能建立在影响客户使用体验的基础上。超过一天就要重新登录，那不是周末放个假，周一就不能无感知了？
主题帖子积分
个人感觉，安全不能建立在影响客户使用体验的基础上。超过一天就要重新登录，那不是周末放个假，周一就不 ...
周期可调，也可以设置成三天
公司/单位北京星网锐捷网络技术有限公司认证计费产品事业部
主题帖子积分
中级会员, 积分 337, 距离下一级还需 163 积分
中级会员, 积分 337, 距离下一级还需 163 积分
个人感觉，安全不能建立在影响客户使用体验的基础上。超过一天就要重新登录，那不是周末放个假，周一就不 ...
同意啊，矛和盾的故事！
公司/单位北京星网锐捷网络技术有限公司认证计费产品事业部
主题帖子积分
中级会员, 积分 337, 距离下一级还需 163 积分
中级会员, 积分 337, 距离下一级还需 163 积分
想请教下，一个网络存在两个相同的MAC，会不会产生其它问题啊？
关于这个问题，我想的方案一是限制无感知使用的区域。
这个不一定两个终端都在，另外如果两个终端不在通过一个VLAN下应该不会有影响。&
主题帖子积分
新手上路, 积分 31, 距离下一级还需 19 积分
新手上路, 积分 31, 距离下一级还需 19 积分
让客户端记录本次认证或上线时间，这个时间同时上传到认证服务器
下次上网时，将本地记录和服务器比对，一 ...
无线终端没有客户端，所以本地保存一条记录或上传服务器，这个需要有客户端这个假设条件，但如果有这个假设条件了，那防mac的方法就比较多了，但客户端这个门槛太高了，体验不好，不易推广
公司/单位北京星网锐捷网络技术有限公司认证计费产品事业部
主题帖子积分
中级会员, 积分 337, 距离下一级还需 163 积分
中级会员, 积分 337, 距离下一级还需 163 积分
无线终端没有客户端，所以本地保存一条记录或上传服务器，这个需要有客户端这个假设条件，但如果有这个假 ...
必须客户端？
锐捷网络股份有限公司，中国数据通信解决方案领导品牌。多年来，我们致力于扎根行业、深入场景进行产品设计和创新，为互联网、运营商、政府、金融、能源、制造、教育、医疗卫生、文化体育、交通等行业用户构建端到端的解决方案，为客户网络创造新价值。
我们拥有40个分支机构，营销及服务网络覆盖亚洲、欧洲、北美洲和南美洲，现有员工4000余名，其中2000余名研发人员分布在福州、北京、上海、成都和天津五大研发中心。
作为中国数据通信领域唯一跻身国家首批“创新型企业”行列的优秀代表，每年，我们将15%的销售收入投入研发，其中30% 的研发经费投入高端技术的预研。多年来，锐捷网络在自主研发的创新之路上稳健前行，引领和推动中国前沿网络技术的发展。详解IP地址盗用常用方法及防范
我的图书馆
详解IP地址盗用常用方法及防范
详解IP地址盗用常用方法及防范目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响，因此研究IP地址盗用的问题，找出有效的防范措施，是当前的一个紧迫课题。 IP地址盗用常用的方法及其防范机制 IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法: 一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时，使用的不是合法获得的IP地址，就形成了IP地址盗用。由于IP地址是一个协议逻辑地址，是一个需要用户设置并随时修改的值，因此无法限制用户修改本机的IP地址。 二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题，很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址，对于以太网来说，即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的，它由IEEE分配，固化在网卡上一般不得随意改动。但是，一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址，那么IP-MAC捆绑技术就无能为力了。另外，对于一些MAC地址不能直接修改的网卡，用户还可以通过软件修改MAC地址，即通过修改底层网络软件达到欺骗上层软件的目的。 目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。 这些机制都有一定的局限性，比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。 目前IP地址盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。IP地址的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响，因此研究IP地址盗用的问题，找出有效的防范措施，是当前的一个紧迫课题。 IP地址盗用常用的方法及其防范机制 IP地址盗用是指盗用者使用未经授权的IP地址来配置网上的计算机。IP地址的盗用通常有以下两种方法: 一是单纯修改IP地址的盗用方法。如果用户在配置或修改配置时，使用的不是合法获得的IP地址，就形成了IP地址盗用。由于IP地址是一个协议逻辑地址，是一个需要用户设置并随时修改的值，因此无法限制用户修改本机的IP地址。 二是同时修改IP-MAC地址的方法。针对单纯修改IP地址的问题，很多单位都采用IP-MAC捆绑技术加以解决。但IP-MAC捆绑技术无法防止用户对IP-MAC的修改。MAC地址是网络设备的硬件地址，对于以太网来说，即俗称的网卡地址。每个网卡上的MAC地址在所有以太网设备中必须是惟一的，它由IEEE分配，固化在网卡上一般不得随意改动。但是，一些兼容网卡的MAC地址却可以通过配置程序来修改。如果将一台计算机的IP和MAC地址都修改为另一台合法主机对应的IP和MAC地址，那么IP-MAC捆绑技术就无能为力了。另外，对于一些MAC地址不能直接修改的网卡，用户还可以通过软件修改MAC地址，即通过修改底层网络软件达到欺骗上层软件的目的。 目前发现IP地址盗用比较常用的方法是定期扫描网络各路由器的ARP(address resolution protocol)表，获得当前正在使用的IP地址以及IP-MAC对照关系，与合法的IP地址表，IP-MAC表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告(盗用正在使用的IP地址会出现MAC地址冲突的提示)也可以发现IP地址的盗用行为。在此基础上，常用的防范机制有:IP-MAC捆绑技术、代理服务器技术、IP-MAC-USER认证授权以及透明网关技术等。 这些机制都有一定的局限性，比如IP-MAC捆绑技术用户管理十分困难;透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止IP地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于IP地址盗用者仍然具有IP子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用:另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。 利用端口定位及时阻断IP地址盗用 交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表，从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC地址，进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC成对盗用。 发现了地址盗用行为后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表，就可以立即定位到发生盗用行为的房间。 发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口，这样盗用IP地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。 端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7)，给ifAdminStatus赋不同的值，可以改变端口的管理状态，即“1”—开启端口，“2”—关闭端口，“3”—供测试用。 这样，通过管理站给交换机发送赋值信息(Set Request)，就可以关闭和开启相应的端口，比如要关闭某一交换机(192.168.1.1)的2号端口，可以向该交换机发出如下信息: set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2). 结合IP-MAC绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP地址的盗用行为，尤其是解决了IP-MAC成对盗用的问题，同时也不影响网络的运行效率。交换机是局域网的主要网络设备，它工作在数据链路层上，基于MAC地址来转发和过滤数据包。因此，每个交换机均维护着一个与端口对应的MAC地址表。任何与交换机直接相连或处于同一广播域的主机的MAC地址均会被保存到交换机的MAC地址表中。通过SNMP(Simple Network Management protocol)管理站与各个交换机的SNMP代理通信可以获取每个交换机保存的与端口对应的MAC地址表，从而形成一个实时的Switch-Port-MAC对应表。将实时获得的Switch-Port-MAC对应表与事先获得的合法的完整表格对照，就可以快速发现交换机端口是否出现非法MAC地址，进一步即可判定是否有IP地址盗用的发生。如果同一个MAC地址同时出现在不同的交换机的非级联端口上，则意味着IP-MAC成对盗用。 发现了地址盗用行为后，实际上也已经将盗用行为定位到了交换机的端口。再通过查询事先建立的完整的Switch-Port-MAC对应表，就可以立即定位到发生盗用行为的房间。 发生了地址盗用行为后，可以立即采取相应的方法来阻断盗用行为所产生的影响，技术上可以通过SNMP管理站向交换机代理发出一个SNMP消息来关断发生盗用行为的端口，这样盗用IP地址的机器无法与网络中其他机器发生任何联系，当然也无法影响其他机器的正常运行。 端口的关断可以通过改变其管理状态来实现。在MIB(Management Information Base)中有一个代表端口管理状态的可读写对象ifAdminStatus(对象标识符号为1.3.6.1.2.1.2.2.1.7)，给ifAdminStatus赋不同的值，可以改变端口的管理状态，即“1”—开启端口，“2”—关闭端口，“3”—供测试用。 这样，通过管理站给交换机发送赋值信息(Set Request)，就可以关闭和开启相应的端口，比如要关闭某一交换机(192.168.1.1)的2号端口，可以向该交换机发出如下信息: set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2). 结合IP-MAC绑定技术，通过交换机端口管理，可以在实际使用中迅速发现并阻断IP地址的盗用行为，尤其是解决了IP-MAC成对盗用的问题，同时也不影响网络的运行效率。设置电脑策略禁止被别人PING禁止别人ping自己的主机&&& 1、右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加：名称：描述：(勾选“使用添加向导”),---添加-下一步：指定源/目的ip ,协议类型(icmp),下一步直至完成，关闭此对话框。　　 2、管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选“使用添加向导”)-下一步：名称：描述:refuse--下一步：阻止-下一步直至完成。　　 3、右击ip安全策略-创建ip安全策略-下一步：名称：禁止ping；--下一步：取消激活默认响应规则-下一步：选中选中“编辑属性“-完成。然后再“禁止ping属性“上-添加(勾选“使用添加向导”)-下一步直至“身份验证方法”；选第三项，输入共享字串-下一步：在ip筛选器列表里选“ping"--下一步：选“refuse"-下一步到完成。　　 这是你在“本地安全设置“右侧会看到“禁止ping“这条规则，但是现在他还没有起作用。　　 4、右击“禁止ping“--指派。　　 这回一条禁止别人ping自己的机器的ip策略完成了。　　 赶快找个机器试试，自己的机器不行。会提示：请求超时（timeout).　　 以上只是一条小得的ip过滤。你可以自己制作其他的ip策略。
馆藏&13952
TA的推荐TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&
喜欢该文的人也喜欢十周年苹果发布会，不知道这一次在发布会上又会出现什么惊奇的演示APP。
随着 iPhone 8 的到来，我们也要开始进入面部识别时代了。新机所搭载的独特技术，据说...
当我们开始全方位接入网络，就会更在意手机安全指数，今后的手机安全 App 们发挥的作...
面对办事拖沓，出尔反尔的印度政府，加上食之无味，弃之可惜的印度市场，或许苹果真要...
在 iOS 11 系统中，后台应用刷新不再是一个简单的开关。
新的 Siri 听起来更加舒服，也能更好地理解用户的意图。
现在就让我们对今年的一些优秀机型进行回顾吧。
新 MacBook Pro 设备端口向 USB-C 过渡，iPhone 7 取消了 3.5mm 耳机接口，然而 Beats...
从 PC 端到移动端，我们最爱的三国志回来了。
在平面设计世界，汉字是人类社会有史以来最伟大最成功的设计。
已经改旗易帜的知名手机游戏厂商 Gameloft 最近又有了新的动作，他们在全球范围内推出...
原著小说千万销量，动漫班底声优献声，预约阶段场面火爆，网易游戏呕血自研！不得不说...
如今这个满眼都是“屠龙宝刀油腻师姐点击就送开局只有一条狗”的辣眼网络文案世界，《...
早就已经在 Steam 上闯出名堂的独立游戏《归家异途》在无数玩家期盼的目光当中，于今...
《Dungeon Time Turbo》这款游戏的主题便是在地牢中探索，游戏采用俯瞰的方式进行，玩...
新 MacBook Pro 设备端口向 USB-C 过渡，iPhone 7 取消了 3.5mm 耳机接口，然而 Beats...
好吧，它们可能看起来很奇怪，但无线耳机能否成为我们与电脑互动的关键方式呢？
DockCase 保护壳解决了 MacBook Pro 的最大难题。
这款产品让 iPhone 用户更容易备份文件以及扩大存储。
在某些情况下，通过无线进行文件传输的效率依然赶不上物理介质。
从规格来说，你觉得这款摄像头怎么样？
品胜起诉苹果 MFI 认证涉嫌垄断，已经获得了北京知识产权法院立案受理。
这个配件刚刚开启众筹就超额完成目标了~
本主题需要才能查看，如没有账号，戳我！
威锋旗下产品
Hi~我是威威！
沪公网安备 29号　|　沪ICP备号-1
新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!关于ip和mac地址盗用问题_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
关于ip和mac地址盗用问题
&&关于ip和mac地址盗用问题
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢经验2517 米
威望354 米
在线时间1856 小时
版本7.8.31
机型小米Note
签到次数167
MIUI版本7.8.31
[转自]小米社区
在局域网和校园网的网络中最方便的捣乱方法就是盗取别人的IP地址，被盗用的IP地址的用户经常不能正常使用网络，这让用户的安全和浏览带来极大的不方便，该用什么办法来解决能这样的麻烦呢？最好的办法就是IP地址和MAC地址进行绑定，这样有效的避免这种现象，让我们不再为不能正常使用网络而烦恼
IP地址与MAC地址绑定何为MAC地址& & 网卡在使用中有两类地址，一类是大家都熟悉的IP地址，另一类就是MAC地址，即网卡的物理地址，也称硬件地址或链路地址，这是网卡自身的惟一标识，就仿佛是我们的身份证一样，一般不能随意改变。它与网络无关，无论把这个网卡接入到网络的什么地方，MAC地址都是不变的。其长度为48位二进制数，由12个00 ~0FFH的16进制数组成，每个16进制数之间用“-”隔开，如“00-10-5C-AD-72-E3”。 了解完后该来了解怎么设置了
打开路由的界面，点击网络设置，再点击高级功能
点击高级功能会看到三个选项，点击IP与MAC地址绑定
来到IP与MAC地址绑定的界面，可以看到现在连接着的设备，名称，IP地址和MAC地址，如果需要绑定那部设备，直接点击绑定
绑定后会看到绑定列表你已绑定的设备，再点击保存
也可以手工添加，但是你得知道IP地址和MAC地址
点击手工添加后，会跳出一个小窗口，分别是IP地址和MAC地址，怎么知道设备的IP地址和MAC地址呢？下面我来说说本帖隐藏的内容PC端查询IP地址和MAC地址
我们就以WIN7为例，打开控制面板
找到网络共享中心，点击
打开会看到连接的界面，我直接点击本地连接
会看到本地连接的状态，点击详细信息
物理地址就是MAC地址，而IPV4地址就是IP地址，如果选择的手工天添加，可以从这里复制过去
XP系统和通用的方法：
XP的是，右击--我的电脑——控制面板——网络连接——本地连接——支持——详细信息——实际地址（就是mac地址）
通用的方法
点开始——运行——输入cmd——再在出现的黑框中输入ipconfig -all(主要ipconfig后面有个空格，没有空格输入也不行的——点回车键，就能找到了
手机端的IP地址和MAC地址查询看完了PC端的IP地址和MAC地址查询，该来了解下手机端的IP地址和MAC地址了，我就以我自己的手机为例
来到手机桌面，点击设置
再点击WLAN这里
点击后，再点击高级设置
在下面就看到了MAC地址和IP地址了，手机端查询是不是非常简单啊？
最后总结如果你在局域网或者校园网的话，我觉得有必要把IP地址和MAC地址绑定，这样有效的防止别人盗用你的IP地址来进行捣乱，绑定非常简单，小米路由都把这些功能简单化，无论你是多小的小白，这样简单而方便的操作，让你很容易就上手，就简单说到这里了，欢迎大家一起讨论讨论，最后麻烦各位看官动动你的小手，支持我一下，感谢大家！
分享到微信朋友圈
打开微信，点击底部的“发现”，使用 “扫一扫” 即可将网页分享到我的朋友圈。
经验3051 米
在线时间295 小时
版本7.1.20
积分 3744, 距离下一级还需 1256 积分
积分 3744, 距离下一级还需 1256 积分
机型小米手机2/2S
签到次数24
MIUI版本7.1.20
别人改个MAC，一样用你的IP，如果两人同时在线还会IP冲突，目前来说WEB认证和PPPOE拨号等来防止别人破解后捣乱
2017年小金鸡勋章
回复2016年度评选活动贴
MIUI 300周
MIUI 300周更新纪念勋章
MIUI 3000万
MIUI 3000万发烧友纪念勋章
MIUI 2000万
MIUI 2000万发烧友纪念勋章
1000万用户纪念勋章
MIUI1000万用户纪念勋章
MIUI 7纪念勋章
小米商城购买纪念勋章
论坛APP购买小米商品获得
MIUI五周年
MIUI五周年纪念勋章
小米手机3终身荣誉勋章
小米手机3终身荣誉勋章
MIUI三周年
MIUI三周年纪念勋章
百万壁纸评审纪念勋章
已关注微信
已关注极客秀微信
关注腾讯微博
已关注腾讯微博
关注新浪微博
已关注新浪微博
发烧友俱乐部
发烧友俱乐部
MIUI六周年
MIUI六周年纪念勋章
Copyright (C) 2017 MIUI
京ICP备号 | 京公网安备34号 | 京ICP证110507号}