為了保護(hù)本地工作站的IP地址不被非法用戶隨意盜用，有一些熟悉網(wǎng)絡(luò)的朋友往往會(huì)采取地址綁定的方法，將網(wǎng)絡(luò)管理員事先分配給本地工作站的IP地址綁定到對(duì)應(yīng)工作站的網(wǎng)卡設(shè)備上，那樣一來(lái)即使非法用戶盜用了本地工作站的IP地址，也不會(huì)干擾本地工作站的正常上網(wǎng)訪問(wèn)。對(duì)于采取了綁定措施的IP地址來(lái)說(shuō)，非法用戶同樣也找到了盜用辦法，那就是同時(shí)盜用合法工作站的IP地址與網(wǎng)卡設(shè)備的MAC地址，然后冒用
     合法主機(jī)的身份進(jìn)行惡意破壞。例如，非法用戶在盜用了合法工作站的IP地址后，發(fā)現(xiàn)盜用后的IP地址不能正常連接到局域網(wǎng)網(wǎng)絡(luò)中時(shí)，他們會(huì)認(rèn)為該 IP地址很可能被綁定了，于是他們會(huì)嘗試使用MAC地址掃描器之類的工作來(lái)查看、盜用合法工作站的網(wǎng)卡MAC地址，在盜取合法工作站的網(wǎng)卡MAC地址后，非法用戶再將自己工作站的IP地址修改成合法MAC地址就可以了。修改網(wǎng)卡MAC地址的方法很簡(jiǎn)單，用戶只要依次單擊本地工作站系統(tǒng)桌面中的“開始”/“ 設(shè)置”/“網(wǎng)絡(luò)連接”命令，在彈出的網(wǎng)絡(luò)連接列表窗口中，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開本地連接屬性設(shè)置對(duì)話框;單擊該對(duì)話框中的“常規(guī)”選項(xiàng)卡，并在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中單擊“配置”按鈕，進(jìn)入本地工作站的目標(biāo)網(wǎng)卡屬性設(shè)置對(duì)話框;繼續(xù)單擊該設(shè)置對(duì)話框中的“高級(jí)”選項(xiàng)卡，打開如圖1所示的高級(jí)選項(xiàng)設(shè)置頁(yè)面，選中該設(shè)置頁(yè)面左側(cè)“屬性”列表框中的“Network Address”選項(xiàng)，并將該選項(xiàng)的數(shù)值設(shè)置成盜用得來(lái)的網(wǎng)卡MAC地址，最后單擊“確定”按鈕就可以完成網(wǎng)卡物理地址的修改任務(wù)了。
      此外，對(duì)于一些熟悉攻擊技術(shù)的非法用戶來(lái)說(shuō)，他們常常會(huì)利用IP地址電子欺騙技術(shù)來(lái)偽造某臺(tái)工作站的IP地址，不過(guò)這個(gè)電子欺騙技術(shù)通常需要借助編程手段來(lái)實(shí)現(xiàn)。例如，非法攻擊者可以通過(guò)SOCKET編程，向局域網(wǎng)網(wǎng)絡(luò)發(fā)送帶有虛假的源IP地址的通信數(shù)據(jù)包，從而達(dá)到欺騙攻擊的目的。阻止IP地址沖突的手段
了解了制造IP地址沖突的幾種方法后，我們就能根據(jù)不同的制造方法采取不同的阻止手段了。
       在使用靜態(tài)IP地址的局域網(wǎng)工作環(huán)境中，網(wǎng)絡(luò)管理員可以使用IP-MAC地址綁定方法，也就是使用靜態(tài)路由技術(shù)的方法來(lái)阻止普通工作站用戶隨意進(jìn)入 TCP/IP屬性設(shè)置窗口，胡亂修改本地系統(tǒng)的IP地址?？紤]到在相同的局域網(wǎng)網(wǎng)段中，普通工作站的網(wǎng)絡(luò)尋徑不是根據(jù)主機(jī)的IP地址而是根據(jù)主機(jī)的物理地址來(lái)進(jìn)行的，在不同網(wǎng)段之間通信時(shí)才會(huì)根據(jù)主機(jī)的IP地址進(jìn)行網(wǎng)絡(luò)尋徑，所以作為局域網(wǎng)網(wǎng)關(guān)的路由器設(shè)備上通常保存有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表，這是由 ARP通信協(xié)議自動(dòng)生成并維護(hù)的。我們可以進(jìn)入局域網(wǎng)路由器的后臺(tái)管理界面，從中找到配置ARP表的設(shè)置選項(xiàng)，對(duì)靜態(tài)的ARP路由表進(jìn)行個(gè)性化指定，日后局域網(wǎng)路由器設(shè)備會(huì)自動(dòng)依照靜態(tài)的ARP表檢查通信數(shù)據(jù)包，要是無(wú)法對(duì)應(yīng)，那么就不會(huì)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)操作。使用這種手段，網(wǎng)絡(luò)管理員能夠輕松地阻止非法攻擊者在不修改網(wǎng)卡設(shè)備MAC地址的情況下，冒用合法工作站IP地址進(jìn)行非法網(wǎng)絡(luò)訪問(wèn)。
      為了防止非法用戶通過(guò)修改網(wǎng)卡MAC地址的方法來(lái)制造IP地址沖突故障現(xiàn)象，我們可以利用局域網(wǎng)交換機(jī)的端口綁定功能，來(lái)有效化解非法用戶通過(guò)修改網(wǎng)卡MAC地址的方法來(lái)適應(yīng)靜態(tài)ARP表的問(wèn)題。大家知道，常見的可管理交換機(jī)都支持端口綁定功能，我們可以利用該功能提供的端口地址過(guò)濾模式，來(lái)實(shí)現(xiàn)阻止IP地址沖突的目的，因?yàn)榻粨Q機(jī)的端口地址過(guò)濾模式往往會(huì)允許每一個(gè)交換機(jī)連接端口僅允許具有合法MAC地址的工作站訪問(wèn)網(wǎng)絡(luò)，任何具有不合法MAC地址的工作站都將被交換機(jī)拒絕訪問(wèn)網(wǎng)絡(luò)。
       在組網(wǎng)規(guī)模較大的工作環(huán)境中，我們還可以通過(guò)劃分虛擬子網(wǎng)的方法，來(lái)阻止IP地址沖突現(xiàn)象的發(fā)生。從嚴(yán)格意義上來(lái)說(shuō)，劃分虛擬工作子網(wǎng)其實(shí)并不屬于技術(shù)措施，而是管理措施與技術(shù)措施結(jié)合在一起的手段。將那些具有相同訪問(wèn)行為的IP地址統(tǒng)一劃分到相同的虛擬工作子網(wǎng)中，并正確設(shè)置好相關(guān)的路由策略，這樣一來(lái)我們就能有效拒絕非法攻擊者盜用其他工作子網(wǎng)IP地址現(xiàn)象的發(fā)生。
     此外，我們?cè)诠芾?、維護(hù)局域網(wǎng)的過(guò)程中，盡量少用那些直接針對(duì)IP地址授權(quán)的管理模式，而應(yīng)該綜合運(yùn)用加密、口令、VPN連接或其他身份認(rèn)證機(jī)制，建立多層次的嚴(yán)密的安全體系，那樣一來(lái)就能有效降低IP地址沖突所帶來(lái)的安全威脅了。防范IP地址沖突的管理
     前面，本文也曾提到局域網(wǎng)中發(fā)生IP地址沖突故障現(xiàn)象，不僅僅是簡(jiǎn)單的技術(shù)問(wèn)題，同時(shí)還是一個(gè)網(wǎng)絡(luò)管理員必須要認(rèn)真面對(duì)的管理問(wèn)題。為此，在采用了各種技術(shù)措施防范IP地址沖突現(xiàn)象發(fā)生外，我們還應(yīng)該更加重視局域網(wǎng)的網(wǎng)絡(luò)管理問(wèn)題。