活用“身份證” 玩轉MAC功能
一直以來,IP和MAC地址等問題都是困擾新手快速步入LAN之門的障礙。與IP地址不同,網(wǎng)絡設備的MAC地址是其固有的地址,并且由于MAC地址的唯一性,讓其在各種網(wǎng)絡應用中扮演著越來越重要的作用。但對于很多初接觸網(wǎng)絡的讀者來說,他們還是不禁會問——究竟什么是MAC地址呢?該如何玩轉與MAC地址相關的功能呢?
一、什么是MAC地址
在網(wǎng)絡設備的應用中,常會用到兩種地址,一種是大家耳熟能詳?shù)腎P地址,另一種就是MAC地址。
與“零時工”IP地址不同,MAC(MediaAccessControl,介質訪問控制)地址是網(wǎng)絡設備固有的物理地址,是識別LAN(局域網(wǎng))電腦的“身份證”。其長度為48位二進制數(shù),由12個00~0FFH的16進制數(shù)組成,如某網(wǎng)卡的MAC地址“00-19-7E-29-14-55”。
每個網(wǎng)絡設備都具備一個MAC地址
每個16進制數(shù)之間用“-”或“:”隔開,前6位16進制數(shù)00-19-7E代表網(wǎng)絡硬件制造商的編號,它由IEEE(電氣與電子工程師協(xié)會)分配(根據(jù)MAC地址查詢部分網(wǎng)絡設備生產廠商http://www.wenzk.net/mac/)。而后6位16進制數(shù)29-14-55代表該制造商所制造的某個網(wǎng)絡產品(如網(wǎng)卡)的編號,叫做組織唯一標志符,是識別LAN(局域網(wǎng))節(jié)點的標識,廠家在具體生產時逐個將唯一地址賦予網(wǎng)絡設備。
在網(wǎng)絡底層的物理傳輸過程中,是通過MAC物理地址來識別主機,所以每個網(wǎng)絡設備的MAC地址在全球是唯一的,其就好比網(wǎng)絡設備的“身份證”一樣。一些初接觸網(wǎng)絡的讀者認為只有有線網(wǎng)卡產品才具有MAC地址,這種認識肯定是錯誤的,無論是有線網(wǎng)卡、無線網(wǎng)卡、交換機、路由器,幾乎所有的網(wǎng)絡設備都具備完整的獨立MAC地址。
讀者要想獲知本機網(wǎng)卡的MAC地址,可從以下途徑來查看——在Windows98/Me系統(tǒng)中中,點擊“開始→運行”,輸入“winipcfg”回車,即可看到網(wǎng)卡的MAC地址;在Windows2000/XP/Vista系統(tǒng)中,依次打開“開始→所有程序→附件→命令提示符”,輸入“ipconfig/all”,回車即可。#p#
二、MAC地址克隆
正是由于MAC地址就如同我們的身份證一樣是網(wǎng)卡的唯一標識,所以ISP寬帶接入商可以根據(jù)MAC地址而判斷出局域網(wǎng)電腦的接入數(shù)量,從而可封殺多機共享上網(wǎng)。其基本原理是,在進行寬帶安裝時,將單臺接入電腦的網(wǎng)卡的MAC地址列入服務器端網(wǎng)管設備的MAC地址允許通過列表中,而其它地址則設為禁止通過,這樣其它電腦則不能同時接入寬帶。
對于想上網(wǎng)的其它電腦可通過修改網(wǎng)卡的MAC地址的方法來實現(xiàn),方法是打開網(wǎng)卡“屬性”,選擇“配置”,在網(wǎng)卡的屬性對話框中找到類似“NetworkAddress”選項,在右邊框中輸入獲得授權的網(wǎng)卡MAC地址即可。
MAC地址克隆是多機共享上網(wǎng)的必備功能
當然,這并非萬全的解決辦法,通過寬帶路由器都具備的“克隆MAC地址”功能進行破解更方便。該功能的原理就是只將ISP認證的那一臺電腦的網(wǎng)卡MAC地址“暴露”給服務器端網(wǎng)管設備,讓其只“看到”只有一臺電腦在上網(wǎng),從而讓局域網(wǎng)多臺電腦能順利共享上網(wǎng)。
在具體應用時,在ISP通過認證的那臺電腦上,將ISP提供的那個有效的MAC地址給輸入到“MAC地址”欄。然后,單擊“克隆MAC地址”按鈕,便可將當前管理電腦的MAC地址克隆到“MAC地址”欄內,從而能讓多機共享上網(wǎng)。 #p#
三、MAC地址過濾
ISP是如何進行MAC地址限制的呢?那就是使用網(wǎng)絡設備具備的MAC地址過濾功能。其實,很多時候,在我們的LAN應用中,也需要用到類似的功能,這樣可限制或杜絕本網(wǎng)內的一些電腦或其它非本網(wǎng)內的電腦接入該網(wǎng)絡或訪問廣域網(wǎng),從而有效的控制有線或無線網(wǎng)絡內用戶的接入權限。
MAC地址過濾對無線安全很有用
目前主流的寬帶路由器或無線路由器都具備該設置選項。其設置使用并不復雜,比如你只想讓“00-19-7E-29-14-55”等MAC地址的電腦訪問有線或無線網(wǎng)絡及Internet,可在“啟用過濾”中選擇“禁止列表中生效規(guī)則之外的MAC地址訪問本網(wǎng)絡”,然后“添加新條目”將“00-19-7E-29-14-55”的MAC地址設為“生效”,“保存”即可;而如果想禁止“00-19-7E-29-14-55”等MAC地址的電腦訪問網(wǎng)絡及Internet,則可在“啟用過濾”中選擇“允許列表中生效規(guī)則之外的MAC地址訪問本網(wǎng)絡”。#p#
四、IP和MAC綁定
為了更好的阻止非授權電腦訪問網(wǎng)絡,將IP地址和MAC地址進行綁定是個好辦法。其原理是通過ARP(AddressResolutionProtocol:地址解析協(xié)議)功能來是實現(xiàn),ARP是在僅知道主機的IP地址時確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應用,其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址。從IP地址到MAC物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層(IP層,也就是相當于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。
在相關軟件應用時,要想限制某臺機器上網(wǎng),只要選擇網(wǎng)卡“權限”設為禁止,即可阻止所有未知的網(wǎng)卡上線。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關IP地址對應的MAC,使其找不到網(wǎng)關真正的MAC地址,這樣就可以禁止其上網(wǎng)。
捆綁是獲得局網(wǎng)安全的好辦法之一
而目前主流的寬帶路由器或無線路由器都具備IP與MAC綁定(ARP綁定)功能,其可將主機的IP地址與相應的MAC地址進行綁定,是防止ARP欺騙的有效方法。在路由器中設置靜態(tài)ARP綁定條目,可以維護內網(wǎng)用戶的上網(wǎng)安全。當主機向路由器發(fā)送ARP請求時,路由器會根據(jù)主機的IP地址去查看ARP靜態(tài)綁定列表,若列表中的MAC地址與主機的MAC地址相同,則路由器會允許該ARP請求,否則將不允許該請求。例如你希望將某臺主機的IP地址和MAC地址進行綁定,其IP地址為192.168.1.168,MAC地址為00-11-22-44-33-55,你只需將這兩項地址填入,然后“保存”即可。
此外,也可通過ARP命令來實現(xiàn)IP和MAC地址綁定,方法是依次點開“開始”→“運行”→輸入“CMD”→回車。在“命令提示符”窗口中輸入命令:ARP-s192.168.1.16800-11-22-44-33-55,即可實現(xiàn)IP和MAC地址綁定,從而讓采用其它MAC地址的網(wǎng)絡設備不能接入網(wǎng)絡。#p#
五、實現(xiàn)無線橋接
通過AP或無線路由器的無線橋接,可擴大無線網(wǎng)絡覆蓋面積。無線橋接的使用并不復雜,只需將無線橋接設備設為同一信道(Channel),SSID也設為一樣,在WDS設置中互寫入MAC地址,就可完成設置。而在這之中,MAC地址是無線設備間必不可少的識別地址。
當然,說起簡單,在具體應用時,要實現(xiàn)無線橋接乃至中繼功能,其具體設置仍需注意:
① 首先,橋接或中繼設備間的IP地址需設為同一網(wǎng)段,且每臺設備間的IP地址需不同,不可沖突。
MAC實現(xiàn)橋接
② 要實現(xiàn)“點對點橋接”,可打開AP或無線路由器的相應設置選項,選擇“點對點橋接(WirelessPoint-to-PointBridge)”,在“對方的MAC地址(RemoteMACaddress)”選項中填入要連接的對端的AP的MAC地址,同樣,對端的AP也需需依法填寫本端AP的MAC地址。這樣,兩臺具備無線橋接功能的設備間就能實現(xiàn)“點對點橋接”。當然,在設置時一般還會有打開無線客戶端的選項,區(qū)別是開啟該選項在實現(xiàn)橋接的同時可允許無線網(wǎng)卡接入,反之則不行。
③ 要實現(xiàn)“點對多點橋接(好比一個無線橋接星型網(wǎng)絡)”,打開主AP“點對多點橋接(WirelessPointtoMulti-PointBridge)”選項,在主AP上依次填寫上各分AP的MAC地址,而各分AP還是選擇“點對點橋接”,填寫好主AP的MAC地址即可。
④ 要實現(xiàn)“無線中繼(Repeater,最多中繼點為4個)”,延長無線網(wǎng)絡的傳輸距離。需按以下方法進行設置——第一款AP的“起始MAC地址(ParentAPMACAddress)”為本機的MAC地址,“子MAC地址(ChildAPMACAddress)”為第二款AP的MAC地址;第二款AP的“起始MAC地址”為第一款AP的MAC地址,“子MAC地址”為第三款AP的MAC地址;第三款AP的“起始MAC地址”為第二款AP的MAC地址,“子MAC地址”為第四款AP的MAC地址;第四款AP的“起始MAC地址”為第三款AP的MAC地址,“子MAC地址”為自身的MAC地址。
【編輯推薦】
