安全知识：如何防止 IP 被盗用 保护网络正常运行

　　ip被盗用是指盗用者使用未经授权的ip来配置网上的计算机。目前ip盗用行为非常常见，许多“不法之徒”用盗用地址的行为来逃避追踪、隐藏自己的身份。ip的盗用行为侵害了网络正常用户的权益，并且给网络安全、网络的正常运行带来了巨大的负面影响。ip的盗用方法多种多样，其常用方法主要有以下几种：

　　1、静态修改ip

　　对于任何一个tcp/ip实现来说，ip都是其用户配置的必选项。如果用户在配置tcp/ip或修改tcp/ip配置时，使用的不是授权机构分配的ip地址，就形成了ip盗用。由于ip是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于ip地址的静态修改，除非使用dhcp服务器分配ip地址，但又会带来其它管理问题。

　　2、成对修改ip-mac地址

　　对于静态修改ip地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，ip盗用技术又有了新的发展，即成对修改ip-mac地址。mac地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的mac地址在所有以太网设备中必须是唯一的，它由ieee分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其mac地址可以使用网卡配置程序进行修改。如果将一台计算机的ip地址和mac地址都改为另外一台合法主机的ip地址和mac地址，那静态路由技术就无能为力了。另外，对于那些mac地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改mac地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

　　3、动态修改ip地址

　　对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的ip地址（或ip-mac地址对），达到ip欺骗并不是一件很困难的事。

　　目前发现ip地址盗用比较常用的方法是定期扫描网络各路由器的arp（address resolution protocol）表，获得当前正在使用的ip地址以及ip-mac对照关系，与合法的ip地址表，ip-mac表对照，如果不一致则有非法访问行为发生。另外，从用户的故障报告（盗用正在使用的ip地址会出现mac地址冲突的提示）也可以发现ip地址的盗用行为。在此基础上，常用的防范机制有：ip-mac捆绑技术、代理服务器技术、ip-mac-user认证授权以及透明网关技术等。

　　这些机制都有一定的局限性，比如ip-mac捆绑技术用户管理十分困难；透明网关技术需要专门的机器进行数据转发，该机器容易成为瓶颈。更重要的是，这些机制都没有完全从根本上防止ip地址盗用行为所产生的危害，只是防止地址盗用者直接访问外部网络资源。事实上，由于ip地址盗用者仍然具有ip子网内完全活动的自由，因此一方面这种行为会干扰合法用户的使用：另一方面可能被不良企图者用来攻击子网内的其他机器和网络设备。如果子网内有代理服务器，盗用者还可以通过种种手段获得网外资源。