《局域网隐藏自己的IP》由会员分享,可在线阅读,更多相关《局域网隐藏自己的IP(10页珍藏版)》请在金锄头文库上搜索。
1、局域网隐藏自己的IP可通过修改隐藏本机,相对来说安全一点在网上邻居上隐藏你的计算机有两种办法:A.编辑注册表:将HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters 下 Hidden 的值从 0 设置为 1,该值是 DWORD 类型B.运行如下命令:netconfig server/hidden:yes 这样用户可能连接到你的计算机但不能够在网络邻居中看到你。但对方如知道你的计算机名还是可通过计算机名访问本机net config server/hidden:yes 命令但是那些扫描的软件,一下就能扫描出来
2、.怎么隐藏自己的IP 地址首先说说隐藏真实IP 的方法,最简单的方法就是使用代理服务器。与直接连接到 Internet 相比,使用代理服务器能保护上网用户的IP 地址,从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP 地址而不是用户的IP 地址,这就实现了隐藏用户IP 地址的目的,保障了用户上网安全。而且,这样还有一个好处,那就是如果有许多用户共用一
3、个代理器时,当有人访问过某一站点后,所访问的内容便会保存在代理服务器的硬盘上,如果再有人访问该站点,这些内容便会直接从代理服务器中获取,而不必再次连接远端服务器,因此可以节约带宽,提高访问速度。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 10 页 -1.Win9x 用户在 Win9x 下如果你是个拨号上网用户,就完全不需要登录到NT 局域网络环境,只需要在“控制面板”“网络”,删除“Microsoft网络用户”,使用“Microsoft友好登录”,另外也不要去设置“文件打印共享”就可以了。2.WinNT 用户在 WinNT 下你可以取消NetBIOS 与 TCP/IP 协议的
4、绑定,方法是:“控制面板”“网络”“NetBIOS 接口”“WINS 客户(TCP/IP)”,选择“禁用”,确定后重启。3.Win2000或者 WinXP 用户先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”。双击“Internet 协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP 筛选”,在“只允许”中填入除了139 之外要用到的端口。注:如果你在局域网中,这样会影响局域网的使用。下面再介绍一个对Win9x/NT/2000/XP用户都有效地办法:自己定制防火墙规则。以天网个人防火墙为例
5、,选择一条空规则,规定如下规则:“数据包方向”选“接收”,“对方 IP 地址”选“任何”,“协议”选“TCP”,“本地端口”选“139 到 139”,“对方端口”选“0 到 0”,在“标志位”中选上“SYN标志”,“动作”选“拦截”,然后保存即可。防范网络剪刀手等工具的办法网络剪刀手等工具的原理就是利用了ARP 欺骗,所以,只要防止了ARP 欺骗也等于防止了网络剪刀手。解决办法:应该把你的网络安全信任关系建立在IP+MAC 地址基础上,设置静态的MAC-地址-IP 对应表,不要让主机刷新你设定好的转换表。具体步骤:编写一个批处理文件arp.bat 内容如下(假设 192.168.1.2的 ma
6、c 地址是 00-22-aa-00-22-aa):echo off arp-d arp-s 192.168.1.2 00-22-aa-00-22-aa.arp-s 192.168.1.254 00-99-cc-00-99-cc(所有的 IP 与相应 MAC 地址都按上面的格式写好)将文件中的IP 地址和 MAC 地址更改为您自己的网络IP 地址和 MAC 地址即可。将这个批处理软件拖到每一台主机的“windows-开始-程序-启动”中。这样每次开机时,都会刷新ARP 表。如果有人刷新了你的ARP 缓存表,你手动运行arp.bat 再次恢复即可。名师资料总结-精品资料欢迎下载-名师精心整理-第
7、2 页,共 10 页 -二、网吧防范措施1.建立 DHCP 服务器(建议建在网关上,因为DHCP 不占用多少CPU,而且 ARP 欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把 192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP 地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP 服务,但是要给每个网卡,绑定固定唯一IP 地址。一定要保持网内的机器IP/MAC 一一对应的关系。这样客户机虽然是DHCP 取地址,但每次开机的IP 地址都是一样的。2.建立 MAC 数
8、据库,把网吧内所有网卡的MAC 地址记录下来,每个MAC 和 IP、地理位置统统装入数据库,以便及时查询备案。3.网关机器关闭ARP 动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。网关建立静态IP/MAC 捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC 对应关系,格式如下:192.168.2.32 08:00:4E:B0:24:47 然后再/etc/rc.d/rc.local最后添加:arp-f 生效即可4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP 程序包,弄一个脚本分析软
9、件分析这些ARP 协议。ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP 数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。如何修改网卡的MAC(物理)地址 Win9x 的修改1、在 HKEY_LOCAL_MACHINEsystemCurrentcontrolsetservicesclassnet0000、0001、0002 等下,找
10、到DriverDesc字符串。2、在其下,添加一个字符串,名字为 NetworkAddress,其值设为你要的MAC 地址,注意要连续写。如:00E0DDE0E0E0。3、然后到其下Ndiparams中添加一项名为NetworkAddress的主键,在该主键下添加名为default 的字符串,其值写你要设的MAC 名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 10 页 -地址,注意要连续的写,如00E0DDE0E0E0。4、继续添加名为ParamDesc的字符串,其作用为指定NettworkAddress主键的描述,其值可自己命名,如“Network Address”,这样以后
11、打开网络邻居的属性,这样在网卡的高级属性中就会出现Network Address 选项,就是你刚在注册表中加的新项NetworkAddress,以后只要在此修改MAC 地址就可以了。继续添加名为Optional 的字符串,其值设为“1”,则以后当你在网卡的高级属性中选择 Network Address 项时,右边会出现“没有显示”选项。WinNT 下改网卡地址的方法:1、打开注册表,定位到HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services 2、找到网卡的键值,在Parameters 项里添加字串值NetworkAddress,其值设为你要修
12、改的MAC 地址,如:“00E0DDE0E0E0”。理论上讲,如果要预防网络剪刀手,唯一的办法就是在网关上设置IP-MAC 绑定,即静态ARP.这是就根本的办法。另外一种办法就是你也不停的发ARP 求请包(请求任意地址,但源要是自己就可以了),这样就看谁的速度快了。即使对方剪掉你,你通过这种方式又能恢复,这样你们就会反反复复拉锯。可怜的就属网关了,要不停的更新ARP 表。这里我提供一个工具:arpsender,这个工具本来是用来在交换环境下进行sniffer 的一个工具,不过你也可以利用这个工具来实现不停的发ARP 包的目的(PING 是不行的,一旦 ARP成功后 PING 就不再发 ARP
13、包了)。具体用法如下:1)在自己的电脑上,将网关的 MAC 地址和 IP 地址用 ARP-S 绑定(不做的话也应该可以,保险起见还是做一下)2)启动 arpsender,分别填入网关及本机的地址,然后在被监控的机器上也入本机的IP 地址,并按增加按纽3)点击开始,就可以了。这样arpsender会每三秒发一个ARP 到网关,告诉他你的IP 地址对应的是你的MAC 地址,这样就把网络剪刀手在网关上设的ARP 表项更正回来了。成功率取决于网络剪刀手的发包速率快还是ARPSENDER的快。你用SNIFFER 抓一下它的发包速率,如果 ARPSENDER 的快,那么你就成功了。相反,可能还是那种断断续
14、续的感觉。最根本的解决方法,就是做双向绑定了。1、从路由器绑定pc 的 mac 地址。2、从 pc 建批处理文件绑定路由器lan 口 ip 和 mac 地址。局域网控制技术名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 10 页 -局域网控制技术最近经常看到有朋友问道到如何限制局域网里用户上网的问题,我做了一下总结,以后大家看这个帖子就行了,有什么补充的在下面跟帖子吧。限制用户上网其实就是对局域网的一个控制问题,基本可以分为限制IP、限制用户和限制流量。1.限制 IP 是最常用的一种手段,适用范围也较广,在使用代理/路由服务器、宽带路由器/防火墙都可以使用。在代理/路由服务器软件
15、中一般都有关于控制IP 上网的设置,例如Sygate,ISA Server,具体设置方法这里就不写了,你可以参考软件的帮助文档,在网上也可以找到很多相关的文章。我要提一点的是,如果你使用了WIN2K/XP自带的 Internet 共享,可以安装一个防火墙软件,利用防火墙软件来限制该服务器与其它机器的通讯,也可以达到控制部分机器上网的目的。目前的很多宽带路由器/防火墙都带有基本的访问控制列表(ACL)功能,通过简单的设置就可以对流量进行过滤,对允许上网的IP 的数据包进行转发,而不允许上网的IP 的数据包则被丢弃。一般情况下,路由器都是按照顺序查找的原则,即当路由器接收到数据包后,先从第一条规则
16、开始匹配,如果符合条件则按照该规则设定的转发或者丢弃;如果不符合,则查找的二条规则,以此类推,知道最后一条。这里需要注意的是,有些路由器对于不符合任何规则的数据包按照转发处理,有的则是转发,而防火墙对于不符合规则的一律按丢弃处理。因此,在设置路由器时,一定要先加允许上网的规则,再加不允许的规则,最后根据具体情况,看是否需要加一个禁止所有IP 上网的规则,否则无法达到控制的目的。而防火墙则仅加入允许的规则就可以了。下面是一个例子,没有任何语句,只是打个比方:条目动作源地址/掩码目的地址1 允许192.168.2.22/255.255.255.255 0.0.0.0 2 禁止192.168.2.0/255.255.255.224 0.0.0.0 3 允许192.168.2.0/255.255.255.0 0.0.0.0 4 禁止0.0.0.0/0.0.0.0 0.0.0.0 上面的例子可以实现192.168.2.0-192.168.2.31都不可以上网,但其中的192.168.2.22又可以上网,其余的192.168.2.32-192.168.2.255都可以上网,除了这个子网,其余又都不
