2012-07-13################2012-07-13#######2#012-07-13########郑彦东（天津市信息中心天津300450）摘要：分析IP地址冲突及IP地址被盗用的现象及产生原因，并提出动态分配IP地址、MAC地址绑定等针对性的解决方案。关键词：IP地址盗用；MAC地址绑定；DHCP中图分类号：TP393文献标识码：A文章编号：1671－7597（2011）0520021－01TCP/IP协议作为Internet网络协议，已经被广泛应用于各种类型的局域网络。而IP地址作为网络中的主要寻址方式，也已经被各种操作系统广泛采用。因此，IP地址就成为网络管理中一个非常重要的方面。然而，令人遗憾的是，IP地址冲突，尤其是由盗用而导致的IP地址冲突成为困扰网络正常运行痼疾。1IP地址盗用概述IP地址是TCP/IP网络中发现并定位计算机的唯一手段。也就是说，IP地址就犹如居民的身份证号码一样，用于标识某一个特定的个人，号码不应该重复也不能重复，否则，将无法再确认其真实身份，从而带来一系列严重的问题。然而，不幸的是，IP地址冲突的问题几乎在每一个网络中都发生过并正发生着。1.1IP地址冲突与IP地址盗用IP地址冲突是IP地址盗用的最直接后果。所谓IP地址冲突，是指网络内两台或两台以上的计算机同时使用同一IP地址，从而导致网络通讯的失败。如图1所示为Windows2000发生IP地址冲突，如图2所示为Windows98发生IP地址冲突。IP地址冲突的原因是多方面的，仅仅从主观方面来看，可以简单地将其划分为善意和恶意两种。前两种情况可被网络系统自行识别而屏蔽，导致运行中断，第三种情况操作系统则不能有效判别。如果系统管理员未采取防范措施，第三种情况将涉及到注册用户的合法权益，危害很大。1.2IP地址盗用的方式IP地址的盗用方法多种多样，其常用方法主要有以下几种：1）静态修改IP地址任何能够接触到计算机的用户都可以任意修改自己的IP地址。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此，无法限制用户对于IP地址的静态修改，除非采用相应的组策略对用户权限作必要的限制。2）成对修改IP-MAC地址采用IP地址与MAC地址绑定的方式，以静态路由技术加以解决，可以在某种程度上解决IP地址盗用的问题（详细内容请参见下文）。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。3）动态修改IP地址对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址（或IP-MAC地址对），达到IP欺骗并不是一件很困难的事。2IP地址盗用解决方案在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。有没有什么措施能最大限度地避免此类现象的发生呢？2.1动态分配IP地址动态分配IP地址是有效解决IP地址盗用的有效手段。在设置DHCP服务时，除了为普通用户提供动态IP地址外，还可以借助于绑定用户网卡MAC地址和IP地址的方式，为某些特殊用户或服务器保留IP地址，并根据不同IP设定权限。这样，既简便了IP地址的设置，避免了IP地址冲突，又保证了特殊用户对固定IP地址需求。另外，为了避免恶意用户盗用特殊用户的IP地址，不妨定期更换IP地址池的范围，从而减少可能造成的损害。该方案适用于计算机数量较多的网络或子网。否则，采用DHCP服务器将造成投资的浪费。当然，DHCP服务也可以与其他服务共用一台服务器。2.2MAC地址绑定在路由器或第三层交换机上，将拥有特殊权限的IP地址与其网卡的图1图2善意的IP地