ip地址与mac地址绑定的方法研究

《ip地址与mac地址绑定的方法研究》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

长沙理工大学《网络系统》课程设计报告学院XX专业计算机科学与技术班级XX学号XX学生姓名XX指导教师XX课程成绩完成日期XX 课程设计成绩评定学院—城南学院专业计算机科学与技术班级计算机1101学号201186250102学生姓名蔡瑶指导教师侯丽娟完成日期2013年6月28日指导教师对学生在课程设计中的评价评分项目优良中及格不及格课程设计中的创造性成果学生掌握课程内容的程度课程设计完成情况课程设计动手能力文字表达学习态度规范要求课程设计论文的质量指导教师对课程设计的评定意见综合成绩指导教师签字xx年xx月xxH 课程设计任务书XX学院计算机科学与技术专业课程名称网络系统课程设计时间XX学生姓名XX指导老师XX题冃IP地址与MAC地址绑定的方法研究主要内容：(1)了解IP地址、MAC地址和ARP协议的相关知识；(2)学会利用编程软件，分析网络中的IP地址和MAC地址的绑定策略与技术实现；(3)谈谈本次课程设计活动的体会和心得要求：(1)利用编程软件(2)通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。(3)学会文献检索的基本方法和综合运用文献的能力。(4)在老师的指导下，要求每个学生独立完成课程设计的全部内容。应当提交的文件：(1)课程设计报告。(2)课程设计附件(源程序、各类图纸、实验数据、运行截图等) IP地址与MAC地址绑定的方法研究学生姓名：XX指导老师:摘要本课程设计阐述了IP地址与MAC地址绑定的软硬件实现方法及其特点。针对校园网内部出现的IP地址管理混乱及盗用问题，开发了一种MAC绑定服务器。讨论了校园网使用MAC地址绑定服务器进行网络管理的方案，并针对该方案分析了使用集屮式和分布式管理的优缺点。1=1前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的TP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。关键词Internet；MAC地址；校园网；代理服务器目录1弓I言11.1课程设计目的21.2课程设计要求21.3课程设计的内容22设计原理32.1IP地址与MAC地址绑定简介32.2IP地址42.3MAC地址52.4地址解析协议ARP53设计步骤63.1基于防火墙的IP地址与MAC地址绑定63.2基于交换机的MAC地址与端口绑定8 2.3一个简单的路由器绑定实例133.3破解方案153.4破解成功的原因173.5解决MAC与IP地址绑定被破解的方法194结束语20致谢21参考文献22附录：源程序代码23 在单位内部网络使用中，时常会出现IP地址冲突的情况，一般情况下，网络管理员会让使用人随意更改一个当时未用的地址，解决了当时的问题。但是这种缺乏控制的管理，势必将使网络无法保持良好的秩序，在地址资源的分配和使用上出现混乱，在网络事故发生以后，也也利于追查相应地址快速排除故障如果有人故意更改具有特殊权限的IP地址，访问未授权的网络资源，那就给网络安全和企业利益造成不可估计的危害。随着网络病毒的不断演化，ARP病毒也人量出现，病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有屯脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络等局域网的止常运行。要解决上述问题，网络管理员必须加强网络管理，通过设置实施网络限制，经常用到的方法就是JLP地址和MAC地址绑定。方法一般有：在交换机上面实施MAC地址和端口的绑泄，在路由器上实施IP地址和MAC地址的绑泄以及基于防火墙的IP地址与MAC地址绑定等。1.1课程设计目的(1)了解IP地址、MAC地址和ARP协议的相关知识;(2)学会利用编程软件，分析网络屮的IP地址和MAC地址的绑定策略与技术实现；(3)阐述IP地址利MAC地址绑定策略屮的缺陷并寻求改进方向。 1.2课程设计要求过对IP地址、MAC地址、ARP协议的了解，分析在网络中进行IP地址与MAC地址绑定的必耍性。针对局域网介绍有关地IP地址与MAC地址绑泄策略。总结出这些绑定策略中所存在的缺陷并从理论上寻找绑定策略的改进方向。1.3课程设计的内容(1)按要求编写课程设计报告书，能正确阐述设计结果。(2)通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。(3)学会文献检索的基本方法和综合运用文献的能力。(4)分析在网络屮进行IP地址与MAC地址绑定的必要性(5)针对局域网介绍其绑定的策略，总结这些策略中的缺陷并从理论上寻找改进方法。(6)在老师的指导下，耍求每个学生独立完成课程设计的全部内容。 2设计原理2.1IP地址与MAC地址绑定简介目前企业网络建设一般采用TCP/IP协议组网，TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。IP地址是给每个连接在网络上的主机分配的一个32位地址，根据现在的IPv4标准指定，不受硬件限制比较容易记忆的地址，长度4个字节。而MAC（MediaAccessControl,介质访问控制）地址是烧录在网卡里的，也叫硬件地址，是由48比特长（6字节）,16进制的数字组成。ARP协议（AddressResolveProtocol,地址解析协议）丁作在TCP/IP协议的第二层一数据链路层，用于将1P地址转换为网络接口的硬件地址（媒体访问控制地址，即MAC地址）。无论是哪种高层协议的通讯，最终都将转换为数据链路层MAC地址的通讯。TP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实屮，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。盗用外部网络的IP地址比较怵I难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM屮，而月.网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一•确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP 地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。2.2IP地址整个的因特网就是一个单一的、抽彖的网络。ip地址就是给因特网上的每一个主机（或路由器）的每一个借口分配一个在全世界范围唯一的32位的标识符。IP地址的结构使我们可以在因特网上很方便地进行寻址。IP地址现在由因特网名字与号码指派公司ICANN（InternetCorporationforAssignedNamesandNumbers）进行分配。我国用户可以向亚太网络信息中心APNIC（Asia-PacificNetworkInformationCenter）申请IP地址（需要缴费）。IP地址的编址方法共经历了三个历史阶段。这三个阶段是：分类的IP地址、子网的划分、构成超网。所谓的“分类IP地址”就是将IP地址划分为若干个固定类，每一类地址都有两个固定长度的字段组成，其中第一个字段就是网络号（net-id）,它标志主机（或路由器）所连接到的网络。一个网络号在整个因特网范I韦I内是唯一的。第二个字段是主机号（host-id）,它标志该主机（或路出器）。一个主机号在它前面的网络号所指明的网络范围内必须是唯一的。由此可见，IP地址在整个因特网范围内是唯一的。IP地址可以分为A、B、C、D类地址，前三类是最常使用的单播地址，D类地址用于多播。按照TCP/IP协议规立，IP地址用二进制来表示，每个IP地址长32bit,比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是"00001010000000000000000000000001",这么长的地址，人们处理起來也相当麻烦。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号”分开不同的字节。于是，上面的IP地址可以表示为“1000.1”。IP地址的这种表示法叫做“点分十进制表示法”，显然比1和0容易记忆且方便。2.3MAC地址在局域网中，硬件地址乂称为物理地址或MAC地址（因为这种地址用在MAC层中）。在所有计算机系统的设计屮，标识系统都是一个核心问题。在标识系统中，地址就是为识别某个系统的一个分厂重要的标识符。IEEE802标准为局域网规定一种48 位的全球地址（一般都简称为“地址”），是指局域网上的每一台计算机中固化在适配器的ROM中的地址。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC位址。因此一个主机会有一个1P地址，而每个网络位置会有一个专属于它的MAC位址。2.4地址解析协议ARPARP（AddressResolutionProtocol,地址解析协议）是获取物理地址的一个TCP/IP协议。在局域网屮，网络屮实际传输的是“帧”，帧里面是有H标主机的MAC地址的。在以太网屮，一个主机要和另一个主机进行直接通信，必须要知道fl标主机的MAC地址。因IPv4和以太网的广泛应用，其主要作用是通过已知IP地址，获取对应物理地址的一种协议。但其也能在ATM（异步传输模式）和FDDIIP（FiberDistributedDataInterface光纤分布式数据接口）网络屮使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于0SI的第三层）地址解析为数据链路层（MAC层，也就是相当T0SI的第二层）的MAC地址。 3设计步骤3.1基于防火墙的IP地址与MAC地址绑定(1)做好整个局域网终端用户计算机的命名，指定ip地址。根据用户的类别统一命名计算机，并给立ip地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。(2)统计每个终端机器MAC地址，建立IP地址与MAC地址对应表。在MS-DOS方式下键入命令“ipconfig/all”就可以获得木机IP地址和MAC地址。如图3・1所示。■cC:ndoe・32c・(Lexe-hlC：DocunentsandSettingsXAdninistrator>ipconfig/all▲WindowsIPConfigurationHostNane■■503-302PrinaryDnsSuffix■■NodeType■■UnknownIPRoutingEnabled■■No—1WINSProxyEnabled•■NoEthernetadapter本地连接：Connection-specificDNSStiffix・■■Description■■RealtekRTL8139/810XFamilyFastEthernetNICPhysicalAddress■■00-19-21-F2-A4-BEDhcpEnabled■■NoIPAddress■■172.16.20.18SubnetMask■■255.255.255.0DefaultGateway■■172.16.20.254DNSServers•■222.246.129・8058.20.127.170C：DociifTientsandSettingsS^dministrator>图3-1用ipconfig/all命令查看IP地址与MAC地址说明：这里显示的uPhysicalAddress"所对应的00・19・21・F2・A4・B4就是物理地址，即本机的MAC地址。从这里述可以查看到本机的IP地址、网关、子网掩码以及DNS服务黠等信息。除以上方法外，网络管理员也可以利用Nbtstat命令来远程获得指立机器的MAC地址。在MS-DOS方式下键入命令uNbtstat-a远程计算机名”,即可获得指定机器的TP地址和MAC地址。如图3-2所示。 C：DocumentsandSettingsXAdninistrator>nbtstat-a172.16・20.1：1本地连接：NodeIpAddress:[172.16.20.181ScopeId：[]NetBIOSRemoteMachineNameTableNameTypeStatus503-203<00>UNIQUERegisSVZX503<00>GROUPRegistered503-203<20>UNIQUERegisteuedSVZX503<1E>GROUPRegisteuedSVZX503<1D>UNIQUERegisteyed•.—MSBROUSE__.<01>GROUPRegisteredMACAddress=00-19-21-F1-94-E9C：XDocumentsandSettingsX^dministrator^图3-2用nbtstat命令查看局域网内计算机IP地址与MAC地址说明：这里查看的地址为本局域网内IP地址为172.16.20.11的计算机的MAC地址。(1)将IP地址与MAC地址绑定。这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网，那就使用命令：ARP-sIP±也址MAC地址例：ARP-s172.16.20.1100-19-2I-F1-94-E9这样，就将静态IP地址172.16.20.11与网卡地址为00-19-21-F1-94-E9的计算机绑定在-•起了，即使别人盗用IP地址172.16.20.11,也无法通过代理服务器上网。如果是通过路由器直接接入互联网，最好通过硬件防火墙来实现IP与MAC地址的绑定。一般的硬件防火墙都具有这个功能，具休操作也非常简单。现在做简单的介绍。防火墙不同，操作具体顺序不同。大致步骤是：1、登录防火墙设置界面2、进入LAN设置页面，找到安全选项卜•的绑定TP地址选项页。3、输入需要绑定的IP地址，如果输入框没有分割住输入时注意那个点不要输错。4、通常在绑定IP地址选项下面就应该是MAC地址的输入框，将你的MAC 地址输入，注意不要输入那个横杠。5、输入完后点保存。一般情况下防火墙会重启，垂启后设置就生效了。设置生效后，只有绑定地址的电脑才能访问防火墙，请注意！！！例如：BIND192.168.0.2TO01-50-04-BB-71-A6BIND192.168.0.4TO01-50-04-BB-71-BC192.168.0.2与01-50-04-BB-71-A6,192.168.0.4与01-50-04-BB-71-BC进行了绑定，也就是说只有IP与MAC匹配一致才能正常使用网络资源。到这里似乎可以大功告成了，但事情并不是那么简单。花了很多精力构筑起来的防线不到一个月就又有冲突了。原来，有的终端用户通过修改注册表、卜•载专用小工具等方法，没费多少力气就更改了本机的MAC地址，甚至于将本机的MAC地址和IP地址改得和主服务器一模一样。3.2基于交换机的MAC地址与端口绑定为了进一步解决这个问题，可以采用基于交换机的MAC地址与端口绑定这一策略。这样一來，终端用户如果擅口改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，£1然也就不会对局域网造成干扰了。以思科3548交换机为例，登录进入交换机，输入管理口令进入配置模式，输入命令：(config)#mac_address_tablepermanentMAC地址以太网端口号这样逐一将每个端口与相应的计算机MAC地址绑定，保存并退出。其他品牌的交换机只要是可以网管的，大多可以仿此操作。为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。对于动态分配IP,做一个DHCP服务器來绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。对于静态IP,如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。我们现在针对静态TP地址的绑定讲解一个实例。 (1)查看网卡MAC地址双击“本地连接”，点击“支持一详细信息”，就可以查看到本机的IP地址以及MAC地址，如图3・3所示。图3-3查看本机的IP地址与MAC地址可见此方法获得的地址与前面方法屮获得的地址完全相同。记录后再到代理服务器端让网络管理员把上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是：ARP・s172.16.20.1100-19-21-F1-94-E9这样,就将上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址172.16.20.11也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，述要是静态IP地址，像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍：ARP-s-d-a・s——将相应的TP地址与物理地址的捆绑。・d一删除所给出的1P地址与物理地址的捆绑。■3——通过查询Arp协议表來显示IP地址和对应物理地址情况。作为一个网络管理人员,如果对MAC地址和IP的绑定能灵活熟练的运用,就会创建一个十分安全有利的环境，可以大大减小安全隐患。 (1)Cisco中IP地址和MAC地址的绑定IP地址与MAC地址的关系：IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。而MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，比较难于记忆，长度为6个字节。虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而,实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的冃的计算机的MAC地址。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。在Cisco中有以卜•三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址)，方案3是在具休的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。方案1——基于端口的MAC地址绑定以思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#configterminal#进入配置模式Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式Switch(config-if)#Switchportport-secruity井配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)#删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者具他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。以上功能适用于思科2950、3550、4500、6500系列交换机。 方案2——基于MAC地址的扩展访问列表Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10#清除名为MAC10的访问列表此功能与应用一人体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与冃的地址范|韦I。注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行増强的软件镜像(EnhancedImage)o方案3——IP地址的MAC地址绑定只有将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC绑定功能。Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(contig)Ipaccess-listextendedIP1O#定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)Permit192.168.0.10.0.0.0any井定义IP地址为192.168.0.1的主机可以访问任意主机Permitany192.168.0.10.0.0.0#定义所有主机可以访问IP地址为192.168.0.1的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in井在该端口上应用名为MAC10的访问列表(即前血我们定义的访问策略)Switch(config-if)Ipaccess-groupIP10in#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10井清除名为MAC10的访问列表Switch(config)noIpaccess-groupIP10in#清除名为IP10的访问列表上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如杲要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与TP访问控制列表结合起來使用以达到自己想要的效果。注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像(EnhancedImage)o 3.3一个简单的路由器绑定实例由于试验条件等方面因素的限制，现就学生宿舍通过无线路由黠上网的情况，对1P地址与MAC地址的绑定做一个简单的举例说明。图为学生宿舍的小型局域网的结构如图3-4所示。图3-4宿舍网络构成此网络通过无线路由器上网，在浏览器地址栏中输入192.168.1.1,进入路由器设置页面（以TP-LINK路由器为例）,如图3-5所示。TP-LINK*11NBI1L,輕话新迴|旦丙欢件簾心<1829恤北H0909U琢a“W昭；nr«is.ui.0ooaoooo♦nws?MAM»矽W）住XDZ;117tti：8动厲淞F6）«<：HVooi&ti列沁锻xJW：HKE4«C：40nstts：vaQKS图3-5路由器设置界面 单击左侧工具栏屮的“IP与MAC绑定一静态ARP绑定设置”，弹出如图3-6所示对话框。静态ARP绑定设蚤本页设置单机的MAC地址和店地址的匹醸规则庶绑定：0不启用◎启用|保存IDMAC地址IP地址绑定当前列表为空増加单个条目使所有条•目生效使所有条目失效刪除所有条目上一页|丨下一页|当前第1▼页|帮助|图3-6静态ARP绑定设置此时可以看到，由于并没有设置IP地址与MAC地址的绑定，因此，此功能未启jho从ARP映射表中导入连接在本路由器上的PC的IP地址和MAC地址，如图3-6所示。图3-6导入IP地址与MAC地址的设置图在上面的对话框中，选择绑定选项，并且启用绑定功能，即可实现连接在本路由器上面的计算机的IP地址与MAC地址的绑泄。试验过程中，若将其中一台计算机的IP地址更改为另一台的IP地址，会导致无法上网。通过这个简单的试验，浅显地说明并且验证了1P地址与MAC地址绑定的功能。 MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet报文时，并不从EEPROM中读取MAC地址，而是在内存中来建立一块缓存区，Ethernet报文从屮读取源MAC地址。而且，用户可以通过操作系统修改实际发送的Ethernet报文屮的源MAC地址。既然MAC地址可以修改，那么MAC地址与TP地址的绑定也就失去了它原有的意义。3.3破解方案下图3-7是破解试验的结构示意图。其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。主机2和内部服务器都是内部网络屮的合法机器;主机1是为了做实验而新加入的机器。安装的操作系统是winXPo」外部服务器外部网络r试验需耍修改主机1中网卡的MAC和IP地址为被盗用设备的MAC和IP地址。首先，在计算机的设备管理器中，找到在使用的网卡，选中，并点击鼠标右键，选择属性一高级，找到对应的网路卡位址，可以看到，此时“值”所对应的为本机目前正在使用的MAC地址，如图3・8所示。在“值”栏屮选屮输 入框，然后在输入框中输入被盗用设备的MAC地址，MAC地址就修改成功了。除此方法外，还可以使用修改MAC地址的软件，也能够更轻松、简单的实现改变MAC地址的操作。这里读者可以尝试，由于方法比较简单，故不在此一一进行赘述。图3-8更改MAC地址然后再将IP地址配置成被盗用设备的TP地址。盗用内部客户机IP地址：将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分別。而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。无论是主机2还是防火墙都察觉不到主机1的存在。主机1如杲访问内部服务器，根本无需通过防火墙，更是畅通无阻了。盗用内部服务器1P地址：将主机1的MAC地址和IP地址修改为内部服务器的MAC地址和IP地址。主机1也提供Web服务。为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。因为在实际的实验屮主机1与主机2连在同一个HUB上，曲L2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1 提供的内容。更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在后面的分析屮我们将进一步对此进行阐述。盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器;如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1來说则是一览无余了。3.4破解成功的原因上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。接下来，将从理论上对该缺陷进行详细的分析。缺陷存在的前提是网卡的混杂接收模式，所谓混杂接收模式是指网卡可以接收网络上传输的所有报文，无论其冃的MAC地址是否为该网卡的MAC地址。正是由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的修改成为可能;否则，就算修改了MAC地址，但是网卡根木无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC,而是在内存中建立一个MAC地址缓存区。网卡初始化的时候将EEPROM中的内容读入到该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是网卡只接收那些日的地址与&己的MAC地址相匹配的Ethernet报文。如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而口还会接收到冃的为另外一台同MAC主机的内容。按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了；但是，在实验中地址被盗用Z后，各台 实验设备都可以互不干扰的正常工作。这又是什么原因呢?答案应该归结于上层使用的协议。冃前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP或者UDP之上。例如，实验中Web服务器采用的HTTP协议就是基于TCP的。在TCP或者UDP屮，标志通信双方的不仅仅是IP地址，还包括端口号。在一般的应用屮，用户端的端口号并不是预先设置的，而是协议根据一定的规则生成的，具有随机性。像上血利用TE來访问Web服务器就是这样。UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的儿率非常小,恰好相等又谈何容易？两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的;所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是交给协议來随机的生成。那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常T：作了呢?其实不尽然。如果卜•层使用的是UDP协议，两个应用将互相干扰无法正常工作。如果使用的是TCP协议，结果就不一样了。因为TCP是面向连接的，为了实现重发机制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接收，否则，会被认为是过期报文而丢弃。TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的,以后每个报文的序列号依次加lo窗口的大小有16位，也就是说窗口最大可以是216,而序列号的范围是232,主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216,可谓小之又小。TCP的序列号本來是为了实现报文的正确传输，现在却成了地址盗用的帮凶。 3.5解决MAC与IP地址绑定被破解的方法解决MAC与IP地址绑定被破解的方法很多，主耍以下儿种。交换机端口、MAC地址和IP地址三者绑定的方法;代理服务与防火墙和结合的方法;用PPPoE协议进行用户认证的方法;基于日录服务策略的方法;统一身份认证与计费软件和结合的方法等。解决MAC与IP地址绑泄被破解的方法很多，主要以下几种：交换机端口、MAC地址和IP地址三者绑定的方法；代理服务与防火墙相结合的方法；用PPPoE协议进行用户认证的方法；基于目录服务策略的方法；统一身份认证与计费软件相结合的方法等，限于篇幅，这些方法的实现原理和过程在此就不再赘述了。但是推荐最后一种方法，这种方法是将校园网办公口动化系统和网络计费软件结合在一起而实现的，这在校园网信息化建设的今天具有很强的实用性。 4结束语为期两周的计算机课程设计虽然时间不算很多，但是使我仃了很深的感触。首先是最基础的学习，之后的具体设计与研究，加深了之前从计算机网络课程学到的理论知识。从中也感受到了自己实践能力方而的不足和欠缺。在课程设计Z前，我首先去图书馆借阅了一些与本设计有关的书籍，并且浏览了大概需要用到的内容，并做了一些记录。其次，由于我之前理论知识的学习不是很牢固，于是我又花了大量的课余时间积极复习了教材《计算机网络》,在复习有关我的课程设计内容的时候，仔细分析、揣摩，遇到了不太理解的问题就去找指导老师或者能力比较高的同学询问。经过白己的一番努力和老师、同学的帮助，我已经很熟悉了IP地址与MAC地址绑定的方法。在这个过程中也使我收获了一份成就感，增加了自信心。在之后的设计过程中，总的说来还是比较顺利的，期间也出现了一些问题，但是经过分析都得以解决。这个设计过程，才是真正的重更步骤。在我的课程设计过程中，值得一提的是我和同学一起讨论研究的过程，我们一起研究、探讨，最终终于解决了问题，这种喜悦感是任何时候都无法比拟的。在课程设计的过程中，有疑惑，有收获。但是最重要的是最后的那份收获与成就感。通过这次的课程设计，我体会到了，在平时一定要努力学好理论知识。与此同时，还要把理论知识与实际行动结合起来，这样才能更加深刻的理解并掌握所学的知识。此外，我也看到了自己的缺点与不足，应该锻炼并不断提高自己的实践能力，多多参加实践活动。我也感受到了耍提高自己独立思考的能力，不断的充实、完善自己 致谢经过了木次的计算机网络理课程设计，我又学会了很多知识。在本论文即将完成Z际，我由衷地感谢关怀、教诲、帮助、支持和鼓励我完成设计的老师和同学，正是有了老师的谆谆教诲和同学的细心回答才使我能够顺利完成课程设计。同时，我也体会到了这一句话——纸上觉来终觉浅，绝知此事耍躬行。课程设计不仅仅是简单的完成老师或者学校布置的任务，更是自己各方面素质得以提升的平台，所以，还要感谢给我这个锻炼平台的老师。这次课程设计使自己各方面能力得到很多的锻炼。 参考文献[1]谢希仁.《计算机网络（第5版）》・北京：电子工业岀版社，2008L3J周宗平，范晨《EDA技术实验与课程设计》•山东：山东科技大学出版社,2002[3]刘勇鹏，卢泽新.《MAC地址与IP地址绑定的缺陷》.长沙：国防科技大学出版社，2002[4]朱士明.《计算机网络及应用》.北京：北京理工大学出版社，2012[5]吴功宜.《计算机网络》.北京:清华大学出版社,2011 附录：源程序代码1•基于端口的MAC地址绑定Switch#configterminal井进入配置模式Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式Switch(config-if)#Switchportport-secruity#配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)#删除绑定主机的MAC地址 2.基于MAC地址的扩展访问列表Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10#清除名为MAC10的访问列表 2.IP地址的MAC地址绑定实现代码Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf井定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config)Ipaccess-listextendedIP10#定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)Permit192.168.0.10.0.0.0any#定义IP地址为192.168.0」的主机可以访问任意主机Permitany192.168.0.10.0.0.0#定义所有主机可以访问IP地址为192.16&0.1的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in井在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config-if)Ipaccess-groupIP10in#在该端口上应用名为IP10的访问列表(即前而我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10#清除名为MAC10的访问列表Switch(config)noIpaccess-groupIP10in#清除名为IP10的访问列表