如何解决局域网内盗用IP地址的问题？

来源：作者：出处：巧巧读书 2007-10-06 进入讨论组

IP地址盗用方法多种多样，其常用方法主要有以下几种:第一，静态修改IP地址;第二，成对修改IP-MAC地址。每一个网卡的MAC地址在所有以太网设备中必须是惟一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是现在有一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。
对于那些MAC地址不能直接修改的网卡来说，还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。
方法一，交换机控制。解决IP地址盗用最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制，使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其他地址的主机的访问被拒绝。
方法二，路由器隔离。采用路由器隔离的主要依据是MAC地址作为以太网卡地址在全球具有惟一性，而且不能改变。其实现方法为通过SNMP协议定期扫描各路由器的ARP表，获得当前IP地址和MAC的对照关系，和事先合法的IP地址和MAC地址比较，如不一致，则视为非法访问。
对于非法访问，有几种办法可以制止，如:使用正确的IP地址与MAC地址映射覆盖非法的IP-MAC表项;向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送;修改路由器的存取控制列表，禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，就无能为力了。
方法三，防火墙与代理服务器。使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用的问题。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP地址防盗放到应用层来解决，变IP地址管理为用户身份和口令的管理。
这样实现的好处是，合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源。而无权用户即使盗用了IP地址，也没有身份和密码，不能使用外部网络，失去了盗用的意义。
使用防火墙和代理服务器的缺点也是明显的，由于访问外部网络对用户不是透明的，增加了用户操作的麻烦。图文结合：http://www.qqread.com/network/f17/s356759.html