由于IP地址可由用户自行在计算机上进行设置，当某些用户将自己计算机的IP地址设置为授权机构已分配给其他用户或还未分配的IP地址时，就产生IP地址的盗用。校园网中IP地址的盗用已经成为非常严重和普遍的事情，而当前并没有现成的管理平台和管理工具可以完成这一功能。可见，校园网管理中对IP地址的授权管理存在的主要问题是不能主动、及时地解决IP地址的盗用问题。

　　常见IP盗用方法

　　IP地址盗用的方法多种多样，常见的有以下几种。

　　（1）IP地址的静态盗用。由于IP地址的设置可由用户自行在计算机上设置，如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，而是已分配给其他合法用户或还未分配的IP地址，就形成IP地址的盗用。IP地址的静态盗用是IP地址盗用中最简单、最直接的方式。

　　（２）成对修改IP-MAC地址。由于IP地址的静态盗用问题，可以采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。如果针对静态路由技术的工作原理，将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址，静态路由技术就无能为力了。

　　（３）动态修改MAC地址。对于一些黑客高手来说，可直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗的目的。

　　常用IP防盗方案盘点

　　针对IP盗用技术问题，比较常用的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。

　　（1）交换机控制。解决IP地址盗用的最彻底的办法是使用交换机进行控制，即802.1x协议,使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其他地址的主机访问都被拒绝。但是在现实的网络中，一个端口出现两台主机或多台主机的现象是不可避免的，所以这种方案实际不可行。

　　（２）采用静态路由技术(IP-MAC绑定)。采用静态路由的办法主要是在交换机上人为设置静态ARP表项，这样路由器不会动态更新ARP表，对不存在静态ARP中的IP-MAC数据包不转发，从而防止IP地址冲突的问题。但对于大规模的网络，收集、维护合法的IP-MAC信息对网管员是件麻烦事，容易出错，并且效率不高。所以这种方案不灵活，效率不高。

　　IP-MAC-PORT管理方案揭密

　　这里讲一种基于SNMP原理的IP防盗与管理技术。

　　由于现有网络设备大多数都支持SNMP协议，而且同时支持标准的常用MIB库，如MIBII(RFC11213),SMI(RFC1155)。通过分析发现：(1) MIBII库中的IP组中的MIB变量ipNetToMediaTable表，可以实时读出设备的ARP信息，即IP-MAC对应信息。

　　(2) BRIGDGE-MIB库中的MIB变量dot1dTpFdbTable表，可以实时读出二层交换机MAC-PORT的信息。

　　由于现在大多数网络是按照核心层、汇聚层、接入层来构建的，显然，用户管理信息库在汇聚层上(路由器或者三层交换机)上读出ARP(IP-MAC)信息，然后再在接入层上读出MAC-PORT信息。那么通过比较两者的MAC可以确定IP-MAC-PORT信息。然后把实时的IP-MAC-PORT信息与合法的用户数据库中的IP-MAC-PORT对比，如果两者不一致，则可以确定发生盗用，并且可以根据盗用者的MAC信息，定位出盗用者接入层(二层交换机)的端口。然后通过SNMP协议的SET命令把盗用者的端口关掉。从而有效阻止IP地址的盗用与冲突。

　　方案设计

　　IP-MAC-PORT管理方案以IP-MAC-PORT三者的映射信息为依据，将在线用户的IP-MAC-PORT映射信息是否与合法用户的一致作为判断IP盗用发生的条件。

　　IP-MAC-PORT管理方案首先对IP-MAC映射信息进行核对，根据在线用户的IP-MAC信息与用户管理信息库中的信息是否一致来判断是否产生IP盗用。如果两者不一致，则IP盗用发生，根据在线用户的MAC-PORT信息定位出盗用者的具体位置，封锁其端口，再根据用户管理信息库中的USER-PORT信息得到IP盗用者的详细用户信息。若在线用户的IP-MAC映射信息与用户管理信息库中合法用户的信息一致，再接着进行IP-PORT信息的核对。根据在线用户的IP-MAC映射信息和MAC-PORT信息得到在线用户的IP-PORT信息，根据其与用户管理信息库中合法用户的IP-PORT信息是否一致来判断是否产生IP盗用。若没有产生IP盗用，则结束当前操作;若发生了IP盗用，则同在进行IP-MAC信息核对中发现的IP盗用一样，定位出IP盗用者的具体位置，封锁其端口，并得到IP盗用者的详细用户信息。

　　方案的局限性

　　IP监控与管理系统的管理方案能对IP盗用进行较有效的管理，但系统本身存在一定的局限性，它的实现对网络交换设备有较强的依赖性，具体表现在:

　　（1）系统要求各交换机支持SNMP简单网络管理协议。

　　（2）系统要求中心交换机和各分中心交换机提供IP-MAC的映射表。

　　（3）系统要求各用户级交换机提供MAC-PORT信息表，能够提供网络用户具体的位置来源。

　　（4）系统要求各用户级交换机提供对端口的管理功能，才能通过网络对交换机的端口进行管理，达到隔离IP盗用地址的功能。

　　系统的运行对网络会产生一定的影响，主要表现在两方面:

　　（1）系统的数据采集对网络交换设备的影响。系统采集完数据后，进行数据的分析，数据的分析是一个大量的工作过程，要求运行系统的服务器有较高的性能。就系统运行的时间间隔的设置而言，时间间隔的设置越小，数据采集和数据处理越频繁，对网络和服务器产生的影响越大。

　　（2）系统运行的时间间隔对网络的影响。IP盗用的监控与管理并不等同于网络计费，要求精确地采集到每一个数据包，只要在用户进行盗用的过程中能够检测到盗用的产生即可，并不要求从盗用一开始就检测到盗用的存在。这主要取决于盗用用户进行盗用时间的长短，对时间间隔的设置取决于网络管理员的工作经验和日常管理工作中盗用的平均时间。

本文选自：《中国教育网络》