一、引言

　　随着Internet网络的普及与发展，大专院校、集团公司和事业单位等都已组建自己的内联网，再用专线方式或光纤接入互联网。集团内的网络管理部门在规划自己的内部网段时，为用户分配并制定了相应的网络IP地址资源，以保证通信数据的正常传输。 
网络管理员在配置IP地址资源时，应满足下面两个方面：

　　（1）分配的地址应在规划的子网网段范围内；
　　（2）分配的IP地址对任何联网的主机必须是惟一的；

　　内联网上若有两台主机的IP地址相同，则两台主机将相互报警，且无法上网，造成网络混乱。在内联网上任何用户使用未经授权的IP地址都应视为IP盗用，因此，IP盗用成了网管人员最头疼的问题。当几百台、甚至上千台主机同时上网，如何防止IP地址盗用问题是很重要的，是维护网络正常运转的必要技术手段。

　　内联网在实际运行中，网络管理员负责管理用户IP地址的分配，通过正确地注册后才认为合法用户。但由于Windows系统决定终端用户可以自由修改IP地址的设置。改动后的IP地址在内联网中运行时可导致以下结果：（1）非法的IP地址；即IP地址不在规划的内联网范围之内，（2）重复的IP地址；与已经分配且正在内联网运行的合法的IP地址发生资源冲突，使合法用户无法上网；（3）盗用合法用户的IP地址；如果不对网络采取各种防范措施，将涉及到网络的正常运行及用户的合法权益受到侵害。

　　二、IP地址盗用方法分析

　　Internet是一个建立在TCP/IP协议上的互联网络。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址。IP地址是在网际范围标识主机的一种逻辑地址。在局域网中使用MAC（物理地址）作为寻址方式，为了让报文在物理网上传输，必须知道彼此之间的物理地址。ARP协议是完成IP地址转换成MAC地址的协议。在局域网上通过每个站点的网络接口卡发送和接受数据。网络接口卡（NIC）的物理地址由MAC决定。每个NIC厂家的MAC都必须严格遵守IEEE组织的规定，保证世界上任何NIC的MAC都是少有的。因此，MAC固化在每个NIC中，不可更改。

　　在以太网网络数据传输中，每个数据帧的头部含有MAC地址，以太网交换设备依据数据帧头中的MAC源地址和MAC目的地址实现数据帧的交换和传输。在实际应用中，用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时，将直接影响网络IP地址的管理。为了有效地防止和杜绝这类问题的发生，保证IP地址的惟一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址（MAC）登记表，并且做到相关信息备案。

　　盗用IP地址是一个经常存在的问题，不需要编程，只要在主机上作适当的配置即可。当一台主机使用不是分配给自己的IP地址时，就有盗用IP地址的嫌疑了。盗用IP地址一般只能在本网段内。因为一个网段有一个路由器作为出口，在路由器的配置中，要指定网段的网络地址和掩码。 
如果这个网段的主机使用了其它网段的IP地址，路由器不认为这个IP是属于它的，所以不给转发。如果在一个子网中，具有合法IP地址的主机未开机，盗用者就可以使用这个IP，唯一留下的痕迹是物理地址。IP地址的盗用方法多种多样，其常用方法主要有以下几种：

　　1、静态修改IP地址配置

　　对于一个网络用户来说，IP地址是用户配置的必选项。如果用户在配置TCP/IP选项时，使用的不是管理员分配的IP地址，就形成了IP地址的盗用。由于IP地址是一个逻辑地址，因此无法限制用户对于IP地址的静态修改。

　　2、同时修改MAC地址和IP地址

　　对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那么静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

　　3、IP电子欺骗

　　所谓IP电子欺骗，就是伪造某台主机的IP地址的技术。IP欺骗通常需要用编程来实现。通过使用SOCKET编程，发送带有假冒的源IP地址的IP数据包。对于网络黑客高手来说，绕过上层网络软件，动态修改自己的IP地址，达到IP欺骗并不是一件很困难的事。

　　三、防范IP盗用的技术方法

　　1、静态ARP表的绑定

　　根据接入互联网的IP地址管理是通过IP地址分配和路由器的配置来实现的原理，可以通过设置路由器的静态ARP表，解决IP地址和MAC地址的绑定，保证合法IP地址的惟一性。

　　这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际之间寻址使用的。因此在网段的路由器上有IP和MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行处理。以CISCO7609路由器为例，设置的方法是：

　　Telnet 192.164.1.34 ；路由器的IP地址
　　User Access Verification
　　Password:＊＊＊＊＊＊＊＊
　　cy7609>en
　　Password:＊＊＊＊＊＊＊＊
　　cy7609#config t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　cy7609(config)#arp 202.198.153.146 00E0.4C39.D81C arpa
　　cy7609(config)#arp 202.198.155.197 00E0.4C39.1C47 arpa
　　cy7609(config)#arp 202.198.156.146 00E0.4C6B.7FCC arpa
　　cy7609(config)#arp 202.198.149.120 5254.4CB9.D16B arpa
　　……
　　cy7609(config)#exit
　　cy7609#write
　　Building configuration...
　　[OK]
　　cy7609#

　　因此在路由器上建立了一个静态的ARP表，合法的IP 地址和MAC建立了一一对应的关系，使未经授权的IP无法通过路由器转发数据。经过IP地址和MAC地址的绑定，解决了内联网IP地址的盗用问题。

2、交换机端口绑定

　　尽管采取了IP地址与MAC地址的绑定措施，但如果对Windows98或Windows2000有点了解的人知道，在系统的“控制面板\网络\网卡\属性\高级\Network Address\设置”中，用户可以随意修改主机的MAC地址。 
这意味着用户可以同时盗用合法用户的IP及MAC地址。

　　如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

　　如何来解决这个问题呢？我们可以借助交换机的端口-MAC地址绑定功能。即在TCP/IP第二层进行控制。在各种可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问将被拒绝。以CISCO2950交换机为例，其设置的方法是：

　　User Access Verification
　　Password:＊＊＊＊＊＊＊＊
　　switch153>en
　　Password:＊＊＊＊＊＊＊＊
　　switch153#config t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　switch153(config)#int f0/1
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#int f0/2
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#int f0/3
　　switch153(config-if)#port secu max 99
　　switch153(config-if)#shutdown
　　switch153(config-if)#exit
　　switch153(config)#exit
　　switch153#clear mac secu
　　switch153#config t
　　Enter configuration commands, one per line. End with CNTL/Z.
　　switch153(config)#mac secure 5254.AB2C.3845 f0/1
　　switch153(config)#mac secure 00E0.4C6B.7F05 f0/2
　　switch153(config)#mac secure 0000.E8B1.4AC2 f0/2
　　switch153(config)#mac secure 5254.4CBD.1D71 f0/3
　　switch153(config)#mac secure 5254.AB3A.4D9B f0/3
　　switch153(config)#mac secure 5254.AB4C.9603 f0/3
　　switch153(config)#int f0/1
　　switch153(config-if)#port secu max 1
　　switch153(config-if)#no shutdown
　　switch153(config-if)#int f0/2
　　switch153(config-if)#port secu max 2
　　switch153(config-if)#no shutdown
　　switch153(config-if)#int f0/3
　　switch153(config-if)#port secu max 3
　　switch153(config-if)#no shutdown
　　switch153(config-if)#exit
　　switch153(config)#exit
　　switch153#write
　　Building configuration...
　　[OK]
　　switch153#

　　本例中仅以端口1、2、3为例。即端口1允许的MAC地址是5254.AB2C.3845；端口2允许的MAC地址是：00E0.4C6B.7F05和0000.E8B1.4AC2。

　　3、防火墙与代理服务器

　　使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题。这是一种在应用层上解决IP盗用的办法。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。任何上网用户需要到网络管理部门申请帐户和口令，IP地址的使用可以是无偿的，即变IP管理为用户身份和口令的管理。因为用户对于网络的使用归根结底是要使用网络的应用。合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无帐户的用户即使盗用IP，也没有用户名和密码，不能使用外部网络。

　　4、路由器隔离

　　检测和保护网络免受IP欺骗的最好办法是安装过滤路由器。对于来自网络外部的IP欺骗，阻止的方法很简单，在局域网对外的路由器上加一个限制条件，只要在路由器上设置不允许声称来自内部的网络的外来包通过就行了。

　　四、总结

　　通过IP -MAC地址的绑定及端口-MAC地址的绑定，内联网的IP地址盗用问题在很大程度上可以得到解决。但仍然有可能存在未经授权的用户使用未经授权的IP地址而造成IP冲突，侵犯合法用户的权益。尽管盗用者无法使用该IP，但给网络带来了混乱。我们可以利用网络交换设备的网络管理功能，完善检测手段，提高网络故障的检测能力。目前有多种网络交换机内置了网络管理软件，具备寻找IP地址设置冲突对应交换机端口的功能，可以迅速准确地定位和查找故障主机点。

　　随着网络设备功能的日趋完善和网络管理人员的管理水平的提高，会有更多更好的防止IP盗用的方法。同时更要培养我们的学生具备良好的道德素质，营造一个良好的网络环境。让我们的校园网络更健康的发展。