我們?nèi)绾畏乐笽P地址的盜用？

1.交換機控制技術

①交換機端口綁定

指將交換機的端口配置成單地址工作模式，就是把交換機端口和該端口上的計算機MAC地址綁定，這種方法可以有效地防范IP地址靜態(tài)盜用，但不能完全防范成對修改IP—MAC地址方式盜用。

②VLAN劃分法

利用交換機的VLAN技術，合理劃分IP地址段，使每個IP只能在指定的VLAN（虛擬局域網(wǎng)）中使用，在其他 VLAN中則無效 。此方法可以防范不同VLAN中的IP地址盜用，但不能防范同一個VLAN中的IP盜用。

2.路由器隔離技術

①靜態(tài)ARP表技術

在路由器中靜態(tài)設置ARP表，當有盜用IP地址上網(wǎng)時，仍然按靜態(tài)設置ARP表來轉(zhuǎn)發(fā)數(shù)據(jù)包，數(shù)據(jù)包將不能到達目的地，從而阻止盜用IP繼續(xù)使用網(wǎng)絡，這種屬于被動防范。

②路由器動態(tài)隔離技術

在路由器中使用SNMP協(xié)議動態(tài)獲取當前的ARP表并與實現(xiàn)存儲的合法的IP—MAC映射表比較，如果不一致，則認為發(fā)生了IP地址盜用。我們可以采取下列行為來主動阻止非法訪問。

一是向盜用IP的主機發(fā)送ICMP不可達的欺騙包，阻止其繼續(xù)發(fā)送數(shù)據(jù)；二是修改路由器的存取控制列表，禁止其非法訪問；三是用合法的IP—MAC 地址映射覆蓋動態(tài)ARP表中非法的IP—MAC映射表項。但是，該方法仍然不能防范成對修改IP—MAC地址這種方式的IP地址盜用。

3.透明網(wǎng)關過濾技術

該透明網(wǎng)關作為內(nèi)網(wǎng)和外網(wǎng)通信的橋梁，在內(nèi)部主機訪問外網(wǎng)時使用ARP協(xié)議來解析和應答，在與外部主機訪問內(nèi)網(wǎng)時則使用靜態(tài)路由表來響應，最終實現(xiàn)防范IP地址盜用。該技術方案對透明網(wǎng)關的性能要求較高，容易產(chǎn)生瓶頸，且無法控制盜用IP地址訪問內(nèi)網(wǎng)。

4.基于 802.1X的用戶認證方案

802.1X是一種基于端 口(包括物理和邏輯 )的認證協(xié)議,因此也被稱為“端口級別的鑒權”。它采用RADIUS(遠程認證撥號用戶服務)方法，并將其劃分為三個不同小組：請求方(客戶端 )、認證方和授權服務器。在用戶沒有認證前，交換機端口處于封閉的狀態(tài)，只允許認證數(shù)據(jù)包(802.1x格式 )通過該端口,認證通過后,端口對用戶開放,允許正常的網(wǎng)絡訪問,而且 IP地址是由接入服務器動態(tài)分配,因此不存在 IP地址盜用問題.該方案的缺點一是由于認證流與業(yè)務流的分離,如果用戶用自定義的數(shù)據(jù)報文代替EAP認證報文就可以不需認證進行局域網(wǎng)訪問，如果用戶偽造認證流數(shù)據(jù)包就可以完全實現(xiàn)整個網(wǎng)絡訪問；二是 802.1x的優(yōu)勢和安全性很大程度上依賴于私有撥號客戶端,一旦客戶端被破解或者被仿造,那么這些都將形如虛設;三是認證基于端口，一旦認證通過則端口處于開放狀態(tài),此時其它用戶通過該端口接入時,不需再次認證即可訪問全部網(wǎng)絡資源。

5.防火墻與代理服務器

使用防火墻與代理服務器相結(jié)合，也能較好地解決IP地址盜用問題：防火墻用來隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡,用戶訪問外部網(wǎng)絡通過代理服務器進行。這樣可以把IP防盜放到應用層來解決，變IP管理為用戶身份和口令的管理，因為用戶對于網(wǎng)絡的使用歸根結(jié)底是網(wǎng)絡應用。這樣的話，盜用IP地址只能在子網(wǎng)內(nèi)使用，失去盜用的意義；合法用戶可以選擇任意一臺IP主機使用，通過代理服務器訪問外部網(wǎng)絡資源，而無權用戶即使盜用IP，也沒有身份和密碼，不能使用外部網(wǎng)絡。

IP地址作為我們上網(wǎng)的必要條件之一，每一個都有不可替代的價值。尤其是互聯(lián)網(wǎng)時代下，IP地址已包含了多方面的信息，我們要謹慎對待。

比如前幾年發(fā)生在非洲IP地址盜竊案。從2016年開始，加利福尼亞的獨立安全研究員Ron Guilmette 便一直跟蹤觀察非洲的IP地址塊。他發(fā)現(xiàn)留給非洲的IP地址塊以某種方式流轉(zhuǎn)到了基于互聯(lián)網(wǎng)的營銷公司的手中，IP地址對垃圾郵件發(fā)送者和網(wǎng)絡罪犯的運營至關重要，這些犯罪分子需要不斷地更換大量IP地址維持運營。此次案件共涉及被盜 IP地址超過五千萬美元。

尤其是在IPV4枯竭的情況下，雖然IPV6正在快速發(fā)展，但是鋪設IPV6的價格不菲，也需要一定時間，并不是所有國家都能夠負擔。

屏蔽風險IP，幫助企業(yè)提升網(wǎng)絡安全防御能力。點擊免費測試~https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088