圖1

　　此外，對于一些熟悉攻擊技術(shù)的非法用戶來說，他們常常會利用IP地址電子欺騙技術(shù)來偽造某臺工作站的IP地址，不過這個電子欺騙技術(shù)通常需要借助編程手段來實現(xiàn)。例如，非法攻擊者可以通過SOCKET編程，向局域網(wǎng)網(wǎng)絡(luò)發(fā)送帶有虛假的源IP地址的通信數(shù)據(jù)包，從而達到欺騙攻擊的目的。

　　阻止IP地址沖突的手段

　　了解了制造IP地址沖突的幾種方法后，我們就能根據(jù)不同的制造方法采取不同的阻止手段了。

　　在使用靜態(tài)IP地址的局域網(wǎng)工作環(huán)境中，網(wǎng)絡(luò)管理員可以使用IP-MAC地址綁定方法，也就是使用靜態(tài)路由技術(shù)的方法來阻止普通工作站用戶隨意進入TCP/IP屬性設(shè)置窗口，胡亂修改本地系統(tǒng)的IP地址?？紤]到在相同的局域網(wǎng)網(wǎng)段中，普通工作站的網(wǎng)絡(luò)尋徑不是根據(jù)主機的IP地址而是根據(jù)主機的物理地址來進行的，在不同網(wǎng)段之間通信時才會根據(jù)主機的IP地址進行網(wǎng)絡(luò)尋徑，所以作為局域網(wǎng)網(wǎng)關(guān)的路由器設(shè)備上通常保存有IP-MAC的動態(tài)對應(yīng)表，這是由ARP通信協(xié)議自動生成并維護的。我們可以進入局域網(wǎng)路由器的后臺管理界面，從中找到配置ARP表的設(shè)置選項，對靜態(tài)的ARP路由表進行個性化指定，日后局域網(wǎng)路由器設(shè)備會自動依照靜態(tài)的ARP表檢查通信數(shù)據(jù)包，要是無法對應(yīng)，那么就不會進行數(shù)據(jù)轉(zhuǎn)發(fā)操作。使用這種手段，網(wǎng)絡(luò)管理員能夠輕松地阻止非法攻擊者在不修改網(wǎng)卡設(shè)備MAC地址的情況下，冒用合法工作站IP地址進行非法網(wǎng)絡(luò)訪問。

　　為了防止非法用戶通過修改網(wǎng)卡MAC地址的方法來制造IP地址沖突故障現(xiàn)象，我們可以利用局域網(wǎng)交換機的端口綁定功能，來有效化解非法用戶通過修改網(wǎng)卡MAC地址的方法來適應(yīng)靜態(tài)ARP表的問題。大家知道，常見的可管理交換機都支持端口綁定功能，我們可以利用該功能提供的端口地址過濾模式，來實現(xiàn)阻止IP地址沖突的目的，因為交換機的端口地址過濾模式往往會允許每一個交換機連接端口僅允許具有合法MAC地址的工作站訪問網(wǎng)絡(luò) ，任何具有不合法MAC地址的工作站都將被交換機拒絕訪問網(wǎng)絡(luò)。

　　在組網(wǎng)規(guī)模較大的工作環(huán)境中，我們還可以通過劃分虛擬子網(wǎng)的方法，來阻止IP地址沖突現(xiàn)象的發(fā)生。從嚴格意義上來說，劃分虛擬工作子網(wǎng)其實并不屬于技術(shù)措施，而是管理措施與技術(shù)措施結(jié)合在一起的手段。將那些具有相同訪問行為的IP地址統(tǒng)一劃分到相同的虛擬工作子網(wǎng)中，并正確設(shè)置好相關(guān)的路由策略，這樣一來我們就能有效拒絕非法攻擊者盜用其他工作子網(wǎng)IP地址現(xiàn)象的發(fā)生。

　　此外，我們在管理、維護局域網(wǎng)的過程中，盡量少用那些直接針對IP地址授權(quán)的管理模式，而應(yīng)該綜合運用加密、口令、VPN連接或其他身份認證機制，建立多層次的嚴密的安全體系，那樣一來就能有效降低IP地址沖突所帶來的安全威脅了。

　　防范IP地址沖突的管理

　　前面，本文也曾提到局域網(wǎng)中發(fā)生IP地址沖突故障現(xiàn)象，不僅僅是簡單的技術(shù)問題，同時還是一個網(wǎng)絡(luò)管理員必須要認真面對的管理問題。為此，在采用了各種技術(shù)措施防范IP地址沖突現(xiàn)象發(fā)生外，我們還應(yīng)該更加重視局域網(wǎng)的網(wǎng)絡(luò)管理問題。

　　首先應(yīng)該加大宣傳力度，讓普通工作站用戶都明白隨意更改IP地址所帶來的危害以及處罰措施，同時應(yīng)該制定合適的IP地址管理制度，并要求每一位局域網(wǎng)用戶都要嚴格遵守，例如建立的IP地址管理制度可以包括：IP地址申請分配制度，IP地址更改制度，IP地址臨時分配制度，工作站網(wǎng)卡MAC地址登記管理制度，非法更改IP地址的處罰制度等。

　　其次綜合運行各種技術(shù)措施，對那些經(jīng)常犯規(guī)的局域網(wǎng)上網(wǎng)用戶進行嚴格限制。由于非法盜用IP地址的行為，總是局域網(wǎng)網(wǎng)絡(luò)中極少數(shù)非法用戶的行為。所以，對于已經(jīng)投入使用的局域網(wǎng)網(wǎng)絡(luò)來說，網(wǎng)絡(luò)管理員一定要仔細篩查當前存在的各種問題，然后有針對性地采取各種技術(shù)手段，對那些頻繁違反IP地址管理制度的少數(shù)非法用戶進行重點防范。

　　第三在為規(guī)模較大的局域網(wǎng)網(wǎng)絡(luò)劃分虛擬工作子網(wǎng)時，我們一定要同時兼顧網(wǎng)絡(luò)訪問的簡易性和可管理性。在盡量不增加網(wǎng)絡(luò)建設(shè)成本和管理成本的前提下，應(yīng)該善于使用劃分虛擬工作子網(wǎng)的手段，來將那些網(wǎng)絡(luò)訪問權(quán)限比較接近的工作站劃分到相同的工作子網(wǎng)中，這樣一來就會盡可能地弱化非法盜用IP地址所造成的安全威脅了。

　　第四應(yīng)該注重對局域網(wǎng)管理系統(tǒng)的部署。使用專業(yè)的網(wǎng)絡(luò)管理工具，能夠輕松實現(xiàn)靜態(tài)ARP路由表綁定的初始化操作，可以減輕網(wǎng)絡(luò)管理員大量的重復性操作，從而達到提升局域網(wǎng)管理效率的目的。善于使用各類專業(yè)網(wǎng)絡(luò)管理工具的日志記錄功能以及日常監(jiān)視功能，網(wǎng)絡(luò)管理員就能夠在第一時間有效地發(fā)現(xiàn)局域網(wǎng)中的IP地址、網(wǎng)卡MAC地址以及重要網(wǎng)絡(luò)端口等異常變化情況，這樣有利于提高網(wǎng)絡(luò)管理員查找、解決網(wǎng)絡(luò)故 障的效率。

　　小提示

　　對于普通的工作站用戶來說，他們究竟該采取什么措施，才能避免自己的IP地址被非法用戶隨意修改呢?其實，普通工作站用戶可以有多種選擇，來有效保護本地系統(tǒng)的IP地址不會被非法用戶修改;現(xiàn)在，本文就為各位朋友貢獻幾則保護方法：

　　第一可以修改本地系統(tǒng)組策略，禁止非法用戶隨意訪問網(wǎng)絡(luò)連接屬性。在使用該方法保護IP地址時，我們可以用鼠標逐一單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令，打開組策略編輯界面，依次點選該界面左側(cè)顯示區(qū)域中的“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”節(jié)點選項，之后用鼠標雙擊該節(jié)點選項下面的“禁止訪問lan連接組件的屬性”組策略選項，打開目標組策略的屬性設(shè)置窗口(如圖2所示)，選中其中的“已啟用”選項，再單擊“確定”按鈕，如此一來非法用戶日后就不能隨意打開TCP/IP屬性設(shè)置窗口，去胡亂修改本地工作站的網(wǎng)卡IP地址了。

圖2

　　第二可以“安撫”系統(tǒng)服務(wù)，來巧妙地將本地連接圖標隱藏起來，那樣的話非法用戶也不容易進入TCP/IP屬性設(shè)置窗口來亂改IP地址了。在使用該方法保護本地系統(tǒng)的IP地址時，我們可以依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“services.msc”字符串命令，單擊回車鍵后打開系統(tǒng)的服務(wù)列表窗口，從中找到“Plug and play”服務(wù)選項，并用鼠標雙擊該服務(wù)選項，打開該服務(wù)的屬性設(shè)置窗口，在該設(shè)置窗口的“常規(guī)”標簽頁面中單擊“停止”按鈕，再將它的啟動類型設(shè)置為“禁止”，那樣一來本地工作站系統(tǒng)的本地連接圖標就會被隱藏起來。日后，非法攻擊者一旦找不到本地連接圖標，他們也就進不了TCP/IP屬性設(shè)置窗口，這樣他們也就會放棄修改本地工作站IP地址的念頭了。

　　不過上面的方法僅能防范一些初級的局域網(wǎng)用戶，而一些高級用戶則會很容易地將它們破解掉。其實，我們還可以采用反注冊網(wǎng)絡(luò)連接圖標的方法，來達到隱藏本地連接圖標的目的，這種隱藏方法通常具有一定的隱蔽性。在使用該方法保護IP地址時，我們可以依次點選系統(tǒng)桌面中的“開始”、“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“regsvr32 Netcfgx.dll/u”字符串命令，再單擊“確定”按鈕;同樣地再依次執(zhí)行“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”字符串命令，最后再重新啟動一下本地工作站系統(tǒng)，如此一來本地連接圖標就會被自動隱藏起來了，非法用戶自然也就沒有辦法進入網(wǎng)絡(luò)參數(shù)設(shè)置窗口，進行胡亂更改IP地址操作了。

yajing