一种基于Windows操作系统的IP地址管理方法
技术领域
本发明属于计算机网络安全管理技术领域,特别是涉及一种针对大规模网络高效的基于Windows操作系统的IP地址管理方法。
背景技术
在网络管理中,终端计算机的网络配置是日常管理中的重要组成部分,对IP地址的集中统一管理是确保计算机网络正常运行的基础性工作,对于大规模网络,终端计算机私自修改IP地址的行为会造成IP冲突、断网、冒用IP施以非法操作等严重后果。另外,由于网络规模庞大且终端计算机分布分散,日常维护手工记录、手工重新设置、手工恢复网络配置信息成了占用网管中心时间最多、耗费人力最大的工作,极大地降低了工作效率,增加了运营维护成本。综上所述,需要一种基于Windows操作系统的IP地址管理方法来解决上述问题。
发明内容
本发明的主要目的在于提供一种基于Windows操作系统的IP地址管理方法,该方法从根本上杜绝了终端计算机用户私自修改IP地址,并且服务端能够通过网络远程更新或批量修改终端计算机的网络配置信息。
为了达到上述目的,本发明所采用的技术方案如下:
一种基于Windows操作系统的IP地址管理方法,包含以下步骤:
a.服务端生成合法网络配置信息列表:
服务端将获取的所有终端计算机的网络配置信息远程进行统一规划,并在服务端上存储所有终端计算机的网络配置信息和硬件信息,依据所存储的网络配置信息和硬件信息生成合法网络配置信息列表;
所述合法网络配置信息列表包括IP地址与MAC地址、计算机名、备注;
b.服务端绑定终端计算机的网络配置信息:
服务端在服务端上设定需要绑定的终端计算机的IP地址和MAC地址对应列表不可更改;
c.已绑定的终端计算机实时监测其终端计算机的ARP发送和接收报文:
已绑定的终端计算机利用NDIS中间层过滤驱动技术,实时监测其终端计算机的ARP发送和接收报文;
d.服务端依据所述需要绑定的终端计算机的IP地址和MAC地址对应列表实时监测所有终端计算机的IP地址和MAC地址配置信息的变更:
服务端设定网卡为混杂模式,利用ARP监听技术,实时监测所有终端计算机的IP上线的ARP广播报文。
在所述步骤c中,已绑定的终端计算机利用NDIS中间层过滤驱动技术,实时监测其终端计算机的ARP发送和接收报文,包括:
已绑定的终端计算机利用NDIS中间层过滤驱动技术,实时监测其终端计算机的ARP发送和接收报文;
如果监测到已绑定的终端计算机发送的ARP报文,则判断发送的ARP报文是否需要加固,依据发送的ARP报文中的源IP字段是否为0进行判定,如果发送的ARP报文中的源IP字段为0,则判定为IP申请报文,在发送的ARP报文上增加padding字段,并将padding字段头部设置为合法标识;如果发送的ARP报文中的源IP字段不为0,则已绑定的终端计算机继续监测其终端计算机的ARP发送和接收报文;
如果监测到已绑定的终端计算机接收的ARP报文,则已绑定的终端计算机依据ARP报文中的接收源IP地址等于本地IP地址,并且接收的目的IP地址等于0判断监测到的ARP接收报文是ARP应答报文,过滤非法请求,将非法请求包内容清零,并将这次请求的结果标记为失败,返回上层驱动,之后已绑定的终端计算机继续监测其终端计算机的ARP发送和接收报文。
在所述步骤d中,服务端依据所述需要绑定的终端计算机的IP地址和MAC地址对应列表实时监测所有终端计算机的IP地址和MAC地址配置信息的变更,包括以下步骤:
d1.服务端监听接收所有ARP报文;
d2.服务端判断接收到的ARP报文是否为IP申请报文:
如果服务端接收到的ARP报文中的源IP为0,则判断为IP申请报文,继续执行步骤d3,如果服务端接收到的ARP报文中的源IP不为0,则判断不是IP申请报文,执行步骤d1;
d3.服务端依据合法网络配置信息列表,判定源MAC地址和目的IP地址配对信息是否在合法网络配置信息列表中,如果在合法网络配置信息列表中,则继续执行步骤d4,如果不在合法网络配置信息列表中,则将目的IP字段值、源MAC字段值保存为非法配置信息,执行步骤d6;
d4.服务端检查是否为已绑定终端计算机发出的ARP报文:
服务端获取ARP报文,检查ARP报文中是否存在padding字段,如果padding字段不存在,则判断为非法,执行步骤d6;如果padding字段存在,则判断为合法,继续执行步骤d5,继续校验padding字段合法性;
d5.服务端校验ARP报文中padding字段的合法性:
如果padding字段头部有合法标识,则校验为合法,执行步骤d1;如果padding字段头部没有合法标识,则校验为非法,将目的IP字段值、源MAC字段值保存为非法配置信息,继续执行步骤d6;
d6.服务端发送拦截应答:
服务端将源MAC地址设定为服务端MAC地址,源IP地址设定为非法配置信息中保存的目的IP字段值,并组包发送IP已占用的ARP应答报文给终端计算机。
本发明的有益效果是:
本发明的基于Windows操作系统的IP地址管理方法,在已绑定的终端计算机发出ARP请求时,将padding字段修改为合法标识,服务端通过设定网卡为混杂模式,监听所有ARP请求,依据已绑定终端计算机发出的ARP请求中的padding字段是否合法标识、IP地址和MAC地址是否在合法网络配置信息列表两个条件有效保护已绑定终端计算机的IP地址,解决了IP地址集中统一管理工作量大、效率低、不能自动维护的问题,极大地提高了工作效率,减少了运营维护成本。
附图说明
图1是本发明的基于Windows操作系统的IP地址管理方法的流程图;
图2是本发明的基于Windows操作系统的IP地址管理方法的步骤d的流程图;
图3是本发明的实施例的应用环境的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的基于Windows操作系统的IP地址管理方法做进一步详细描述。
对IP地址的集中统一管理是确保计算机网络正常运行的基础性工作。
本发明的基于Windows操作系统的IP地址管理方法不受网络内终端计算机的数量和网络情况的限制,能够绑定终端计算机的IP地址和MAC地址,服务端可以实时监测终端计算机IP地址和MAC地址的变更情况,终端计算机可以实时监测其网络配置的变更报文,因此,能够实现日常IP地址的安全性管理需求,提高了工作效率。
实施例
例如,一个局域网内有400台终端计算机,终端计算机PC1,PC2,…,PC400,一台服务端计算机(SERVER),对此400台终端计算机进行IP地址和MAC地址的变更情况进行监测并管理,本发明的基于Windows操作系统的IP地址管理方法,具体包括如下步骤:
a.服务端生成合法网络配置信息列表:
服务端计算机获取局域网内所有400台终端计算机的网络配置信息和硬件信息远程进行统一规划,将终端计算机PC1至PC200的IP地址段规划为192.168.3.1至192.168.3.200,将终端计算机PC201至PC400的IP地址段规划为192.168.5.1至192.168.5.200,并在服务端计算机上存储所有400台终端计算机的网络配置信息和和硬件信息,依据所存储的网络配置信息和硬件信息生成合法网络配置信息列表;
所述合法网络配置信息列表包括IP地址与MAC地址、计算机名、备注;
其中:合法网络配置信息列表中的终端计算机PC6的网络配置信息为IP地址:192.168.3.16与MAC地址:74-D0-2B-7C-5A-88、计算机名:Name6、备注:张处长办公机;
b.服务端绑定终端计算机的网络配置信息:
服务端计算机在服务端计算机上设定所有400台终端计算机的IP地址和MAC地址对应列表不可更改;
c.已绑定的终端计算机实时监测其终端计算机的ARP发送和接收报文:
已绑定的400台终端计算机利用NDIS中间层过滤驱动技术,实时监测本终端计算机的ARP发送和接收报文,具体工作步骤如下:
本实施例中,终端计算机PC6发送ARP报文(报文信息包括源MAC字段:74-D0-2B-7C-5A-88、源IP字段:0.0.0.0、目的MAC地址:00-00-00-00-00-00、目的IP地址:192.168.3.16),请求配置IP地址为192.168.3.16,因此终端计算机PC6能够监测到本终端计算机上的ARP报文;
因为终端计算机PC6监测到的ARP报文中的源IP字段为0,所以判定终端计算机PC6监测到的ARP请求报文为IP申请报文,需要进行IP申请报文的安全加固,终端计算机PC6需在监测到的ARP发送报文中增加padding字段,并将padding字段的头部设置为0x67,0x73,0x63,此标识为合法标识,之后终端计算机PC6继续监测本机的ARP发送和接收报文;
d.服务端依据所述需要绑定的终端计算机的IP地址和MAC地址对应列表实时监测所有终端计算机的IP地址和MAC地址配置信息的变更:
服务端计算机设定网卡为混杂模式,利用ARP监听技术,实时监测所有400台终端计算机的IP上线的ARP广播报文,具体工作步骤如下:
d1.服务端计算机监听接收所有400台终端计算机的ARP报文;
d2.本实施例中,终端计算机PC6发送了ARP报文(报文信息包括源MAC字段:74-D0-2B-7C-5A-88、源IP字段:0.0.0.0、目的MAC地址:00-00-00-00-00-00、目的IP地址:192.168.3.16、padding字段:0x67,0x73,0x63),请求配置本机IP地址为192.168.3.16;
服务端计算机接收到终端计算机PC6的ARP报文,因为终端计算机PC6发送的ARP报文中的源IP字段为0,所以判断终端计算机PC6发送的ARP报文为IP申请报文,继续执行步骤d3;(如果终端计算机PC发送的ARP报文中的源IP字段不为0,则判断终端计算机PC6发送的ARP报文不是IP申请报文,执行步骤d1;)
d3.依据所述合法网络配置信息列表,服务端计算机判定终端计算机PC6的MAC地址:74-D0-2B-7C-5A-88和目的IP地址:192.168.3.16在合法网络配置信息列表中,所以继续执行步骤d4;(如果终端计算机PC6的目的IP地址和源MAC地址不在服务端计算机存储的合法网络配置信息列表中,则保存目的IP字段值,执行步骤d6;)
d4.因为终端计算机PC6发送的ARP报文中有padding字段,并且padding字段值为0x67,0x73,0x63。所以服务端计算机能够判断终端计算机PC6为已绑定的终端计算机,继续执行步骤d5;
d5.因为终端计算机PC6发送的ARP报文中的padding字段的值为0x67,0x73,0x63,所以服务端计算机能够判断终端计算机PC6为合法的终端计算机,继续执行步骤d1;(如果终端计算机PC6发送的ARP报文中的padding字段的值不为0x67,0x73,0x63,则执行步骤d6;)
d6.服务端计算机判定终端计算机PC6的IP申请请求非法,使用保存的目的IP字段值,构造ARP包,源MAC地址为服务器MAC地址:23-45-67-89-90-11,源IP地址为保存的目的IP字段值,目的MAC地址为保存的源MAC字段值,目的IP字段值为0发送IP已占用的ARP应答报文给终端计算机PC6,继续执行步骤d1。
本发明所涉及的监测方法包括服务端实时监测已绑定终端计算机的IP地址和MAC地址配置信息的变更、已绑定终端计算机实时监测其终端计算机的ARP发送和接收报文,对比传统的IP地址合法性监测方法,杜绝了IP地址和MAC地址被仿冒、无法识别、无法阻断的问题。
本发明的方法通过服务端和已绑定终端计算机双端配合的合法性监测,实现了当终端计算机仿冒ARP请求时,服务端能够精确识别并拦截ARP仿冒应答请求,对已绑定终端计算机进行保护并过滤非法请求,保证合法的终端计算机能够正常入网。