非法IP（ARP系列）

在大多數局域網的運行管理工做中，網絡管理員負責管理用戶IP地址的分配，用戶經過正確地註冊後才被認爲是合法用戶。在局域網上任何用戶使用未經受權的IP地址都應視爲IP非法使用。但在Windows操做系統中，終端用戶能夠自由修改IP地址的設置，從而產生了IP地址非法使用的問題，改動後的IP地址在局域網中運行時可能出現種種狀況。

　　1）非法的IP地址即IP地址不在規劃的局域網範圍內。

　　2）重複的IP地址與已經分配且正在局域網運行的合法的IP地址發生資源衝突，使合法用戶沒法上網。

　　3）冒用合法用戶的IP地址。當合法用戶不在線時，冒用其IP地址聯網，使合法用戶的權益受到侵害。

　　實際上，IP地址的非法使用問題，不是普通的技術問題，而是一個管理問題。只有找到其存在的理由，根除其存在的基礎，纔可能從根本上杜絕其發生。分析非法使用者的動機有如下幾種狀況：首先是干擾、破壞網絡服務器和網絡設備的正常運行；其次是企圖擁有被非法使用的IP地址所擁有的特權。最典型的，就是因特網訪問權限。最後是因機器從新安裝、臨時部署等緣由，無心中形成的非法使用。

非法使用方法

　　靜態修改IP地址配置時，用戶在配置TCP/IP選項時，使用的不是管理員分配的IP地址，就造成了IP地址的非法使用。而修改MAC地址和IP地址時，非法用戶還有可能將一臺計算機的IP地址和MAC地址都改成另外一臺合法主機的IP地址和MAC地址。他們能夠使用容許自定義MAC地址的網卡或使用軟件修改MAC地址。固然也有比較惡劣的使用，是IP電子欺騙。其經過編程來僞造某臺主機IP地址，從而躲避相關機關的調查。
解決方法　　

靜態ARP表的綁定

　　對於靜態修改IP地址的問題，能夠採用靜態路由技術加以解決，即IP-MAC地址綁定。由於在一個網段內的網絡尋址不是依靠IP地址而是物理地址。IP地址只是在網際之間尋址使用的。所以做爲網關的路由器上有IP-MAC的動態對應表，這是由ARP協議生成並維護的。配置路由器時，能夠指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，若是不能對應，則不進行數據轉發。該方法能夠阻止非法用戶在不修改MAC地址的狀況下，冒用IP地址進行跨網段的訪問。

交換機端口綁定

　　藉助交換機的端口，MAC地址綁定功能能夠解決非法用戶修改MAC地址以適應靜態ARP表的問題。可管理的交換機中都有端口-MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每個端口只具備容許合法MAC地址的主機經過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。

VLAN劃分

　　嚴格來講，VLAN劃分不屬於技術手段，而是管理與技術結合的手段。將具備相近權限的IP地址劃分到同一個VLAN，設置路由策略，能夠有效阻止非法用戶冒用其餘網段的IP地址的企圖。

結合身份認證

　　避免採用針對IP地址的直接受權的管理模式，綜合運用用戶名、口令、加密、×××及其餘應用層的身份認證機制，構成多層次的嚴密的安全體系，能夠有效下降IP地址非法使用所帶來的危害。

管理建議

　　在網絡管理員完成上述堵截非法IP地址設置以後，還須要從管理觀念上進行新的培訓。好比要使普通用戶明白非法使用IP地址所產生的危害和處罰措施，制定並實施嚴格的IP地址管理制度，包括：IP地址申請和發放流程，IP地址變動流程，臨時IP地址分配流程，機器MAC地址登記管理，IP地址非法使用的處罰制度。

　　此外，還要儘可能使用簡單、易於管理的網絡肝利系統，不只能夠完成平常監視和日誌功能，同時還要及時有效的發現網絡中的IP地址變化、MAC地址變化、交換機端口改變等異常行爲，幫助網絡管理員查找網絡故障的根源。這樣，網絡管理員還能夠藉助網管系統，很方便的管理網絡交換機，針對個別問題突出的用戶，進行交換機端口綁定操做，禁止其修改MAC地址。

　　總之，若是單純應用技術手段來防範IP地址的非法使用，系統投資成本和人員開支相對較大，因此在技術+管理，才能實現高可靠性的系統運行與低成本的管理維護的統一。