巧妙謝絕危險訪問

引言：網(wǎng)絡(luò)環(huán)境紛繁復(fù)雜，在光鮮靚麗的外表下，有一些危險隱藏在黑暗之中。例如，在局域網(wǎng)甚至Internet網(wǎng)絡(luò)中，常常有些不安全的IP地址，沒有經(jīng)過管理員的允許或授權(quán)，偷偷進行一些不可告人的訪問，這種訪問輕則影響網(wǎng)絡(luò)傳輸性能，重則能帶來安全麻煩，甚至可以造成無法估量的經(jīng)濟損失。為了保障網(wǎng)絡(luò)訪問安全，我們可以自己動手，想方設(shè)法，巧妙謝絕不安全IP地址的訪問！

謝絕使用無線網(wǎng)絡(luò)

如果單位的無線網(wǎng)絡(luò)允許不安全IP地址使用，既會降低無線網(wǎng)絡(luò)的傳輸性能，又會給單位網(wǎng)絡(luò)帶來安全威脅。為了避免這種現(xiàn)象出現(xiàn)，我們不妨利用網(wǎng)卡MAC地址過濾方法，來謝絕不安全IP地址偷偷使用單位無線局域網(wǎng)。目前，很多品牌的無線路由設(shè)備都具有MAC地址過濾功能，巧妙借助這項功能，能有效地將不安全IP地址的終端計算機阻擋在單位無線網(wǎng)絡(luò)大門之外。

眾所周知，MAC地址其實是一種硬件地址，它由12位16進制數(shù)組成，一共長48比特，專門用來指定網(wǎng)絡(luò)設(shè)備位置的，前面24比特主要用來標識廠商的，后面24比特由廠商自行分派。所有上網(wǎng)的設(shè)備一般都有一個全球惟一靜態(tài)的MAC地址，將無線網(wǎng)絡(luò)中安全可信計算機的MAC地址，手工導(dǎo)入到無線路由器內(nèi)置的MAC地址過濾表中，日后只有擁有這些MAC地址的終端計算機，才會被無線路由器識別為安全可信計算機，從而有資格接入單位無線網(wǎng)絡(luò)中進行上網(wǎng)訪問，其他計算機都會被識別為不安全地址，它們是無法上網(wǎng)訪問的。

在謝絕不安全IP地址使用單位無線網(wǎng)絡(luò)時，首先以管理員權(quán)限登錄進入無線路由器后臺系統(tǒng)，將鼠標定位到左側(cè)列表中的“安全設(shè)置”、“防火墻設(shè)置”節(jié)點上，在指定節(jié)點的右側(cè)設(shè)置區(qū)域中，將“開啟MAC地址過濾”勾選起來，并且在“缺省過濾規(guī)則”設(shè)置項處，選中“僅允許已設(shè)MAC地址列表中已啟用的MAC地址訪問Internet”選項，按下“保存”按鈕退出設(shè)置保存區(qū)域。

之后將鼠標返回到無線路由器后臺系統(tǒng)頁面的“安全設(shè)置”、“MAC地址過濾”節(jié)點上，在指定節(jié)點下單擊“添加新條目”按鈕，彈出新條目添加設(shè)置框，正確輸入安全可信計算機系統(tǒng)的網(wǎng)卡MAC地址，按下“保存”按鈕退出。按照相同的操作方法，依次將單位無線網(wǎng)絡(luò)中其他安全IP地址對應(yīng)的MAC逐一導(dǎo)入進來，最后也要記得執(zhí)行保存操作。

完成上述設(shè)置任務(wù)后，日后只有安全的IP地址才能使用無線路由器，進行無線網(wǎng)絡(luò)訪問操作，而不安全IP地址在嘗試進行無線連接時，無線路由器因為無法正確識別它們的MAC地址，將會認為它們是不安全連接，并將他們拒之門外。

謝絕訪問重要網(wǎng)站

一些重要的網(wǎng)站，每天的訪問量可能很高，如果在某個時刻若干個不安全IP地址，同時訪問對應(yīng)網(wǎng)站上的內(nèi)容，將會給網(wǎng)站的運行穩(wěn)定性和安全性帶來很大的挑戰(zhàn)。為了保護重要網(wǎng)站的安全，想辦法謝絕那些不安全IP地址的訪問，是相當有必要的。

正常來說，那些不安全IP地址進行Web訪問時，都會在服務(wù)器的系統(tǒng)日志中留下痕跡，通過查看日志內(nèi)容，找出這些不安全IP地址究竟來源于什么位置。例如，筆者曾經(jīng)發(fā)現(xiàn)某個網(wǎng)站頁面，在遭遇短時間內(nèi)高強度訪問后，通過查看相關(guān)日志信息，看到不安全地址大多來源于61.157.100.*、60.155.82.*這兩個網(wǎng)段?？紤]到這些不安全IP地址在Web訪問時，都需要經(jīng)過域名解析環(huán)節(jié)，筆者決定取消這些網(wǎng)段的域名解析服務(wù)，這樣它們的Web訪問請求就到不了指定的重要站點服務(wù)器。

在Apache服務(wù)器環(huán)境下，通過編輯.htaccess文件，就能很輕易地謝絕不安全IP地址訪問重要網(wǎng)站。從特定網(wǎng)站的根目錄下面找到.htaccess文件，借助文本編輯器打開該文件，在其中添加如下代碼即可：

經(jīng)過實際測試，來源于61.157.100.*、60.155.82.*這兩個網(wǎng)段的不安全IP地址，果然被Web服務(wù)器拒絕訪問了。

當然，要是大家不知道哪些IP地址是不安全的，也可以嘗試到特定站點的日志文件中去尋找，不安全IP地址進行Web訪問時，往往都有十分明顯的特征，例如說在特定的時間內(nèi)進行訪問，僅對站點下的某一個特定頁面內(nèi)容進行訪問并多次來訪，使用的終端系統(tǒng)分辨率是一樣的，上網(wǎng)的瀏覽器版本也是一樣的，只要不安全IP地址具有這幾個特征，建議大家謝絕它們的訪問。

謝絕隨意更改地址

單位局域網(wǎng)環(huán)境下，有些不安全IP地址為了躲避上網(wǎng)限制，常常會私自更改地址，這容易造成整個局域網(wǎng)的管理混亂。有鑒于此，我們可以使用“easy網(wǎng)管”這款外力工具，來限制不安全IP地址用戶隨意更改上網(wǎng)地址。

圖1 主操作界面

在進行該操作時，大家不妨先從Internet網(wǎng)絡(luò)中下載獲得最新版本的“easy網(wǎng)管”程序，之后在單位網(wǎng)管計算機中安裝好該工具的服務(wù)端程序，在局域網(wǎng)其他普通計算機中安裝好該工具的客戶端程序。

下面在網(wǎng)管計算機中啟動運行“easy網(wǎng)管”程序，彈出如圖1所示的主操作界面，在該界面中大家就可以直觀看到單位網(wǎng)絡(luò)中所有終端計算機的網(wǎng)絡(luò)連接狀態(tài)（當然所有終端計算機都需要事先安裝好“easy網(wǎng)管”的客戶端程序）。“easy網(wǎng)管”程序在缺省狀態(tài)下，是禁止所有IP地址用戶隨意更改上網(wǎng)地址的，要是他們自行調(diào)整了自己計算機的IP地址時，該管理工具將自動強制特定計算機斷開網(wǎng)絡(luò)連接，如果希望重新上網(wǎng)訪問，一定要請網(wǎng)絡(luò)管理員幫忙才能解決問題。這種管理措施控制效果還是相當好的，任何不安全IP地址用戶，甚至是安全IP地址用戶，都無權(quán)利修改上網(wǎng)IP地址；只是該方法操作起來有點麻煩，需要在單位局域網(wǎng)的服務(wù)器和普通計算機中依次安裝好相關(guān)控制程序才行。

謝絕使用有線網(wǎng)絡(luò)

要想謝絕不安全IP地址使用有線網(wǎng)絡(luò)，可以使用可管理交換機的端口綁定功能，僅允許那些管理員認為合法的終端計算機訪問網(wǎng)絡(luò)，其他終端用戶即使搶用了別人的安全IP地址，也不會引起網(wǎng)絡(luò)運行混亂。

例如，單位網(wǎng)絡(luò)中有一臺Web服務(wù)器，使用了“10.172.11.20”的IP地址，為了防止不安全IP地址用戶搶用該地址，造成Web服務(wù)器不能正常訪問，管理員不妨在單位網(wǎng)絡(luò)的核心三層交換機后臺系統(tǒng)，將Web服務(wù)器的“10.172.11.20”地址與網(wǎng)卡MAC地址相互綁定在一起。這時，即使有不安全用戶搶用了該IP地址，他們也不能使用該地址接入單位局域網(wǎng)，那么單位網(wǎng)絡(luò)的運行就不會輕易受到干擾。下面就是詳細的操作操作步驟：

首先獲取Web服務(wù)器的網(wǎng)卡MAC地址，以管理員權(quán)限登錄進入Web服務(wù)器所在主機系統(tǒng)，逐一點選“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“cmd”命令進入MS-DOS工作窗口。在該窗口命令提示符下，輸入“ipconfig /all”命令，從返回的如圖2所示結(jié)果信息中，不難看出Web服務(wù)器所在主機的網(wǎng)卡MAC地址為“d4be.d98e.a847”。

其次執(zhí)行地址綁定操作。登錄單位局域網(wǎng)交換機后臺系統(tǒng)，進入系統(tǒng)全局視圖模式，執(zhí)行“address-bind 10.172.11.20 d4be.d98e.a847”命令，就能將Web服務(wù)器IP與MAC地址綁定在一起了。之后使用“arp 10.172.11.20 d4be.d98e.a847 arpa gigabitEthernet 1/3”命令，將Web服務(wù)器地址綁定到其所連的交換機光口上。如此一來，單位網(wǎng)絡(luò)中的不安全IP地址，將無線通過交換機使用有線網(wǎng)絡(luò)，即使他們搶用了Web服務(wù)器IP地址，也不會造成Web服務(wù)器上網(wǎng)不穩(wěn)定現(xiàn)象，這是因為其他不安全IP地址用戶無法使用“10.172.11.20”這個IP地址進行網(wǎng)絡(luò)接入操作。

圖2 結(jié)果信息

此外，如果單位網(wǎng)絡(luò)是通過路由器來組網(wǎng)的，管理員也可以使用路由器自帶的“IP與MAC綁定”功能，實現(xiàn)不安全地址的謝絕訪問操作。例如，在通過TP-LINK R480T寬帶路由器組網(wǎng)環(huán)境中，管理員可以使用IE瀏覽器窗口，遠程打開路由器后臺系統(tǒng)管理頁面，將鼠標定位到“IP與MAC綁定”、“靜態(tài)ARP綁定設(shè)置”節(jié)點上，在對應(yīng)節(jié)點設(shè)置區(qū)域，將“ARP綁定”修改為“啟用”，單擊“保存”按鈕后退出設(shè)置頁面，再按下“增加單個條目”按鈕，將先前獲取到的Web服務(wù)器IP地址與MAC地址綁定起來就OK了。

謝絕進行Ping攻擊

大 家 知 道，通 過Windows系統(tǒng)內(nèi)置的Ping命令，能夠測試出特定計算機的在線狀態(tài)。但是，經(jīng)常有一些惡意用戶會通過該命令，頻繁地向單位網(wǎng)絡(luò)中的服務(wù)器發(fā)送Ping測試包，例如，在MS-DOS命令行窗口中，使用“ping-1 65500-t xx.xx.xx.xx”命 令（這里的“xx.xx.xx.xx”為單位網(wǎng)絡(luò)中的服務(wù)器主機IP地址），就能向特定服務(wù)器主機發(fā)送大量的ping測試包數(shù)據(jù)；如果不安全IP地址用戶在局域網(wǎng)的多臺終端系統(tǒng)中同時使用“ping-1 65500-t xx.xx.xx.xx”命 令，那么特定服務(wù)器主機的寶貴系統(tǒng)資源將會很快被消耗殆盡，最終會造成服務(wù)器系統(tǒng)發(fā)生癱瘓現(xiàn)象。

要想防止不安全IP地址的Ping命令攻擊，管理員可以在單位網(wǎng)絡(luò)特定服務(wù)器主機中使用類似天網(wǎng)防火墻這樣的安全保護工具，同時打開對應(yīng)防火墻的安全配置窗口，勾選“不允許別人用Ping命令探測本機”功能選項即可。當然，如果管理員身邊暫時沒有專業(yè)防火墻工具時，也能通過Windows服務(wù)器系統(tǒng)內(nèi)置的防火墻程序，謝絕不安全IP地址用戶發(fā)起的Ping命令攻擊。例如，在Windows Server 2008服務(wù)器系統(tǒng)環(huán)境下，巧妙使用系統(tǒng)內(nèi)置防火墻，就能輕松謝絕不安全IP地址用戶進行Ping攻擊，下面就是具體的操作步驟：

首先逐一單擊“開始”、“所有程序”、“管理工具”命令，用鼠標雙擊管理工具列表中的“高級安全Windows防火墻”圖標，打開服務(wù)器系統(tǒng)高級安全Windows防火墻程序界面。點擊左側(cè)顯示區(qū)域中的“入站規(guī)則”選項，選擇“新規(guī)則”標簽，展開新建入站規(guī)則向?qū)гO(shè)置框。按照向?qū)гO(shè)置框的提示，先將新建防火墻的規(guī)則類型設(shè)置為“自定義”，配置好與該防火墻規(guī)則保持匹配的應(yīng)用程序詳細路徑，選中“所有程序”項目，將防火墻規(guī)則協(xié)議類型設(shè)置為“ICMPv4”，再從端口下拉列表以及遠程端口下拉列表選中“所有端口”，同時將防火墻規(guī)則選擇為匹配所有不安全的IP地址，最后勾選“阻止連接”選項，確認后退出設(shè)置對話框。這樣一來，服務(wù)器系統(tǒng)就會自動謝絕所有不安全IP地址用戶發(fā)動的Ping命令攻擊。