基于Windows需求 调教TCP/IP设置

lima668

TCP/IP是网络的基础，对于Windows系统来说，其所谓的TCP/IP设置主要是与网卡相关的网络参数设置部分。其实，这部分内容是需要管理员深入挖掘的。下面笔者列举几个于此相关的典型应用案例，希望对遇到类似问题的朋友有所帮助。

　　1.修改MAC，你管不着我

　　策划部的员工上班时间不务正业终于让领导忍无可忍，于是责令网管小张坚决杜绝这种情况。小张选择了在路由器上进行MAC和IP的绑定，并且将企划部的主机全部列入“黑名单”——禁止Internet连接。

　　这可难不倒“高手”小林，他找到了销售部的小马，获取了她的网卡的MAC地址和IP地址(取MAC地址、IP地址的方法是，在命令提示符下输入ipconfig /all即可)。然后在自己的电脑上如是操作。首先，修改网卡的MAC地址，操作步骤如下：在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人获取的MAC地址。(图1)



     然后，修改IP地址，操作步骤如下：在此前的网卡属性页的“常规”页下选中“Internet 协议(TCP/IP)”点击其下的“属性”按钮，然后将IP地址、子网掩码等设置为刚才获取的对应值。如上设置完成后，小林又可以网际畅游了。


2.端口操作，拒绝扫描

　　小胡的电脑经常遭到别人的攻击，并且攻击者时常会在桌面上留下挑衅留言。是可忍孰不可忍他找小林求助，经过一番诊断小林确诊小胡的电脑开放的端口太多，需要关闭或者屏蔽某些端口。

　　(1).关闭端口

　　在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”(黑名单)和“只开放允许端口的方式”(白名单)进行设置。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。

　　进入“控制面板”→“管理工具”→“服务”项内，关闭掉计算机的一些没有使用的服务，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现。“本地连接”右键选择“属性”，选中“Internet 协议(TCP/IP)”点击“属性”按钮，然后点击“高级”按钮，在“选项”标签页下选中“TCP/IP筛选”点击“属性”打开筛选设置窗口。设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。除了运用上面的方法外，还可以通过IPsec来禁用某些端口。(图2)




    (2).愚弄欺骗

　　以其人之道还治其人之身，小林觉得帮小胡出口恶气，愚弄愚弄攻击者，将小胡的电脑打造成了一个蜜罐，等待攻击者上钩。Defnet HoneyPot是个比较著名的蜜罐系统，通过其虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱欺骗恶意攻击者，能够记录他都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。利用该工具部署一个蜜罐系统非常简单，打开软件，输入相应的参数即可。然后它会随机启动，如果有恶意的扫描它都会记录下来。

3.善用备用，一劳永逸

　　移动办公是小马工作的主要特色，你会看见她提着笔记本频繁地奔波与单位和家之间。在单位的局域网，有DHCP服务器，小马不用进行IP设置就可马上投入工作。但是家里的网络连接的是小区宽带，需要设置固定的IP地址。为此，她需要频繁地更改网卡的TCP/IP设置，小林帮她找到了一劳永逸的办法。

　　打开“本地连接”属性，在“常规”页下选中“Internet 协议(TCP/IP)”点击其下的“属性”按钮，点选“自动获得IP地址”和“自动获得DNS服务器地址”，以适用于单位的网络环境。然后在“备用配置”页下点选“用户配置”，将IP地址、子网掩码、默认网关等设置为小区宽带分配给自己的数值即可。这样小马不再需要重复的网络配置，连入网络即可在单位和家之家进行移动办公了。(图3)




4.巧用虚拟网卡，屏蔽恶意网站

　　小李是个标准的网虫，但是常在网上逛，那能不中招?被恶意网站所伤，几乎成了家常便饭。他尝试了IE7/8以及修改hosts等也无济于事。他找到小林，小林教他一个妙招，且看。

　　(1).创建虚拟网卡

　　点击“开始→设置→控制面板→添加/删除硬件”，在“添加/删除硬件向导”中选择“下一步→点选‘是，我已经连接了此硬件’→下一步”。然后选择“添加新设备”，点击“下一步”，在“要让Windows搜索新硬件吗?”中选择“否”，点击“下一步”。　在“硬件类型”中选择“网卡”，点击“下一步”。在“制造商”中选择“Microsoft”，在“网卡”中选择“Microsoft Loopback Adapter”。最后，点击“下一步”，一路默认，完成后在“网络连接”窗口中就可以看到刚才创建的虚拟网卡了。(图4)




   (2).配置屏蔽

　　首先通过Ping命令获取恶意网站的IP地址，然后在“网络连接”窗口右键点击虚拟网卡对于的网络连接(比如“本地连接2”)选择属性，在“常规”页面中点选“使用下面的IP地址”。以屏蔽某网站为例，假如其IP地址为60.195.*.*，子网掩码设置为255.255.255.0，默认网管设置为60.195.*.1，这样就不能从本机打开该网站了。(图5)




    　如果需要屏蔽多个网站，可以点击“高级”然后在“IP设置”页中添加。特别需要说明的是，我们可以通过调整子网掩码来屏蔽某个网段。

　　总结：上面的例子只是些典型的特例，其实个人用户与网络相关的应用需求不一而足，但不管怎样，只要对这部分深入挖掘一下总会有所收获的。

looey81

现在我想关闭一些端口，但是不知道应该关闭哪些。有什么好的解决办法没？

lima668

原帖由 looey81 于 2009-1-13 17:04 发表
现在我想关闭一些端口，但是不知道应该关闭哪些。有什么好的解决办法没？

参考下 http://www.safee.net/html/17/t-7517.html

makeha

高手啊，学习了

lyljj

好高的高手啊


1.修改MAC和IP，不知道IP冲突好玩吗？上层的路由设备就能那么智能能识别你们两台机器谁发送的网络请求再反馈回来给你让你们两个都顺利上网吗？再一个大点部门稍多点的企业，一般也要划个VLAN吧，一个部门一个VLAN，在交换机上限制你部门的VLAN你能怎么样？


2.端口操作，拒绝扫描。看你这个故事编的，公司内部的机器，外面的黑客怎么能扫描到你机器的端口呢？如果你是说公司内部的同事攻击，那我就无语了，如此的公司，如此的同事……

3.善用备用，一劳永逸。假如公司也是固定IP呢？假如要是三地、四地、甚至五地都有不同的IP呢？笔记本装个笔记本网络IP切换器更方便点。

4.巧用虚拟网卡，屏蔽恶意网站。这个我就更佩服了。你一个“假如其IP地址为60.195.*.*，子网掩码设置为255.255.255.0，默认网管设置为60.195.*.1，这样就不能从本机打开该网站了”，因为你的网关60.195.*.1，因为子网掩码255.255.255.0，整个60.195.*的IP你都打不开了。再说想限制访问IP至于这么麻烦吗？组策略、防火墙什么的都可以用啊。

[ 本帖最后由 lyljj 于 2009-1-13 23:00 编辑 ]