教你技巧不让IP地址冲突干扰你的网络局域网(2)

 为了保护本地工作站的IP地址不被非法用户随意盗用，有一些熟悉网络的朋友往往会采取地址绑定的方法，将网络管理员事先分配给本地工作站的IP地址绑定到对应工作站的网卡设备上，那样一来即使非法用户盗用了本地工作站的IP地址，也不会干扰本地工作站的正常上网访问。对于采取了绑定措施的IP地址来说，非法用户同样也找到了盗用办法，那就是同时盗用合法工作站的IP地址与网卡设备的MAC地址，然后冒用
     合法主机的身份进行恶意破坏。例如，非法用户在盗用了合法工作站的IP地址后，发现盗用后的IP地址不能正常连接到局域网网络中时，他们会认为该 IP地址很可能被绑定了，于是他们会尝试使用MAC地址扫描器之类的工作来查看、盗用合法工作站的网卡MAC地址，在盗取合法工作站的网卡MAC地址后，非法用户再将自己工作站的IP地址修改成合法MAC地址就可以了。修改网卡MAC地址的方法很简单，用户只要依次单击本地工作站系统桌面中的“开始”/“ 设置”/“网络连接”命令，在弹出的网络连接列表窗口中，用鼠标右键单击本地连接图标，从弹出的快捷菜单中执行“属性”命令，打开本地连接属性设置对话框;单击该对话框中的“常规”选项卡，并在对应选项设置页面中单击“配置”按钮，进入本地工作站的目标网卡属性设置对话框;继续单击该设置对话框中的“高级”选项卡，打开如图1所示的高级选项设置页面，选中该设置页面左侧“属性”列表框中的“Network Address”选项，并将该选项的数值设置成盗用得来的网卡MAC地址，最后单击“确定”按钮就可以完成网卡物理地址的修改任务了。
      此外，对于一些熟悉攻击技术的非法用户来说，他们常常会利用IP地址电子欺骗技术来伪造某台工作站的IP地址，不过这个电子欺骗技术通常需要借助编程手段来实现。例如，非法攻击者可以通过SOCKET编程，向局域网网络发送带有虚假的源IP地址的通信数据包，从而达到欺骗攻击的目的。阻止IP地址冲突的手段
了解了制造IP地址冲突的几种方法后，我们就能根据不同的制造方法采取不同的阻止手段了。
       在使用静态IP地址的局域网工作环境中，网络管理员可以使用IP-MAC地址绑定方法，也就是使用静态路由技术的方法来阻止普通工作站用户随意进入 TCP/IP属性设置窗口，胡乱修改本地系统的IP地址。考虑到在相同的局域网网段中，普通工作站的网络寻径不是根据主机的IP地址而是根据主机的物理地址来进行的，在不同网段之间通信时才会根据主机的IP地址进行网络寻径，所以作为局域网网关的路由器设备上通常保存有IP-MAC的动态对应表，这是由 ARP通信协议自动生成并维护的。我们可以进入局域网路由器的后台管理界面，从中找到配置ARP表的设置选项，对静态的ARP路由表进行个性化指定，日后局域网路由器设备会自动依照静态的ARP表检查通信数据包，要是无法对应，那么就不会进行数据转发操作。使用这种手段，网络管理员能够轻松地阻止非法攻击者在不修改网卡设备MAC地址的情况下，冒用合法工作站IP地址进行非法网络访问。
      为了防止非法用户通过修改网卡MAC地址的方法来制造IP地址冲突故障现象，我们可以利用局域网交换机的端口绑定功能，来有效化解非法用户通过修改网卡MAC地址的方法来适应静态ARP表的问题。大家知道，常见的可管理交换机都支持端口绑定功能，我们可以利用该功能提供的端口地址过滤模式，来实现阻止IP地址冲突的目的，因为交换机的端口地址过滤模式往往会允许每一个交换机连接端口仅允许具有合法MAC地址的工作站访问网络，任何具有不合法MAC地址的工作站都将被交换机拒绝访问网络。
       在组网规模较大的工作环境中，我们还可以通过划分虚拟子网的方法，来阻止IP地址冲突现象的发生。从严格意义上来说，划分虚拟工作子网其实并不属于技术措施，而是管理措施与技术措施结合在一起的手段。将那些具有相同访问行为的IP地址统一划分到相同的虚拟工作子网中，并正确设置好相关的路由策略，这样一来我们就能有效拒绝非法攻击者盗用其他工作子网IP地址现象的发生。
     此外，我们在管理、维护局域网的过程中，尽量少用那些直接针对IP地址授权的管理模式，而应该综合运用加密、口令、VPN连接或其他身份认证机制，建立多层次的严密的安全体系，那样一来就能有效降低IP地址冲突所带来的安全威胁了。防范IP地址冲突的管理
     前面，本文也曾提到局域网中发生IP地址冲突故障现象，不仅仅是简单的技术问题，同时还是一个网络管理员必须要认真面对的管理问题。为此，在采用了各种技术措施防范IP地址冲突现象发生外，我们还应该更加重视局域网的网络管理问题。