局域网IP地址非法使用问题的解决方法知识.pdf

局域网 IP 地址非法使用问题的解决方法在大多数局域网的运行管理工作中，网络管理员负责管理用户IP 地址的分配， 用户通过正确地注册后才被认为是合法用户在局域网上任何用户使用未经授权的IP 地址都应视为IP 非法使用但在Windows操作系统中， 终端用户可以自由修改IP 地址的设置，从而产生了IP 地址非法使用的问题改动后的 IP 地址在局域网中运行时可能出现的情况如下a. 非法的 IP 地址即 IP 地址不在规划的局域网范围内b. 重复的 IP 地址与已经分配且正在局域网运行的合法的IP 地址发生资源冲突，使合法用户无法上网c. 冒用合法用户的IP 地址当合法用户不时，冒用其IP 地址联网，使合法用户的权益受到侵害1 、IP 地址非法使用的动机? IP 地址的非法使用问题，不是普通的技术问题，而是一个管理问题只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生分析非法使用者的动机有以下几种情况：a. 干扰、破坏网络服务器和网络设备的正常运行b. 企图拥有被非法使用的IP 地址所拥有的特权最典型的，就是因特网访问权限c. 因机器重新安装、临时部署等原因，无意中造成的非法使用。

2、 非法使用方法2.1 静态修改 IP 地址配置用户在配置 TCP/IP 选项时， 使用的不是管理员分配的IP 地址，就形成了 IP 地址的非法使用2.2 同时修改 MAC 地址和 IP 地址非法用户还有可能将一台计算机的IP 地址和 MAC 地址都改为另一台合法主机的IP 地址和 MAC 地址他们可以使用允许自定义MAC 地址的网卡或使用软件修改MAC 地址2.3 IP电子欺骗IP 电子欺骗是伪造某台主机IP 地址的技术它通常需要编程来实现通过使用SOCKET 编程，发送带有假冒的源 IP 地址的 IP 数据包3、 管理员的技术手段3.1 静态 ARP表的绑定对于静态修改IP 地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定因为在一个网段内的网络寻址不是依靠IP 地址而是物理地址IP 地址只是在网际之间寻址使用的因此作为网关的路由器上有 IP-MAC的动态对应表，这是由ARP协议生成并维护的配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发该方法可以阻止非法用户在不修改MAC 地址的情况下，冒用IP 地址进行跨网段的访问。

3.2 交换机端口绑定借助交换机的端口MAC 地址绑定功能可以解决非法用户修改MAC 地址以适应静态ARP 表的问题可管理的交换机中都有端口MAC 地址绑定功能使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC 地址的主机通过该端口访问网络，任何来自其它MAC 地址的主机的访问将被拒绝3.3 VLAN 划分严格来说， VLAN划分不属于技术手段，而是管理与技术结合的手段将具有相近权限的IP 地址划分到同一个 VLAN ，设置路由策略，可以有效阻止非法用户冒用其他网段的IP 地址的企图3.4 与应用层的身份认证相结合避免采用针对IP 地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低IP 地址非法使用所带来的危害4、 管理建议a. 普通用户明白非法使用IP 地址所产生的危害和处罚措施，制定并实施严格的IP 地址管理制度，包括：IP 地址申请和发放流程，IP 地址变更流程，临时IP 地址分配流程，机器MAC 地址登记管理， IP 地址非法使用的处罚制度b. 非法使用 IP 的行为，总是内部网络少数人的行为。

因此，对于已经建成的网络，管理员要根据当前存在的问题，有针对性的运用技术措施，重点阻止个别用户的非法行为c. 划分 VLAN时，兼顾可管理性和易用性在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将权限相近的用户划分到同一个VLAN内，弱化非法使用同网段IP 地址所带来的利益d. 部署网络管理系统 网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动 网络管理软件的日常监视和日志功能，可以及时有效的发现网络中的IP 地址变化、 MAC 地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源同时，网络管理员还可以借助网管系统，很方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC 地址e. 与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP 地址在身份认证体系中的重要性 与 IP 地址非法使用的问题类似，用户名和口令也属于容易盗用的资源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度5、 结束语内部人员非法使用IP 地址，并不是为了进行侵入和破坏，而是为了谋取某些特定的权限和利益。

网络管理员除有法律手段和技术手段，还拥有各种内部管理手段如果单纯使用技术手段来防范IP 地址的非法使用，必然产生高昂的系统投资成本和人员开支因此，只有综合运用管理手段和技术手段，来处理 IP 地址非法使用问题，才能实现高可靠性的系统运行与低成本的管理维护的统一。