标本兼治，应对不同IP地址抢用现象(1)

标本兼治，应对不同IP地址抢用现象(1)

51CTO.com独家特稿】在局域网工作环境中，我们时常会遭遇IP地址被非法抢用的现象，这样的现象不但会影响局域网的运行稳定性，而且还会加大网络管理员的维护工作量。那么我们该如何有效避免IP地址被非法抢用呢？其实这是一个很复杂的问题，引起IP地址被非法抢用的原因有很多，我们必须针对不同的原因，从IP地址被非法抢用的源头出发，对症下药，以便标本兼治，彻底解决IP地址被频遭抢用现象！

1、人为设置引起的抢用   

由人为设置因素引起的IP地址抢用现象最为常见，这种现象出现的主要动机通常包含以下几个方面：一是计算机系统在长时间运行之后，由于频繁地进行杀毒软件或应用程序的安装、卸载操作，或者由于上网用户自己操作不当，最终造成了本地计算机系统发生了瘫痪现象，不得已在重新安装计算机系统、设置上网参数的过程中，无意中引发了IP地址抢用现象，这种情形比较普遍，我们只要加强网络管理，就可以很轻松地避免由这种因素引起的IP地址抢用现象；第二个方面是局域网或Internet中的非法破坏者，带有明显的攻击性，有意制造IP地址抢用现象，以便破坏局域网或目标计算机的上网稳定性，比方说非法破坏者只要将自己的计算机IP地址设置成局域网网关的地址或其他核心设备的IP地址，那么整个局域网可能就不能正常上网了；第三个方面就是一些别有用心的用户为了窃取某台特殊计算机的操作权限，而人为偷用该计算机的IP地址，从而引发地址抢用现象。   

为了彻底解决由这种因素引起的IP地址抢用现象，许多网络管理员常常会采用将计算机IP地址与网卡物理地址相互绑定在一起的方法，那样一来指定的IP地址只能用于指定的网卡设备，即使非法破坏者偷偷抢用了指定IP地址，但他无法准确获得指定网卡设备的物理地址，那么他就不能使用指定的IP地址进行上网访问，那么指定IP地址自然也就不会受到非法抢用了，但是该方法也并不是解决该问题最好的办法，这是为什么呢？   

笔者认为，将目标计算机的指定IP地址与网卡物理地址绑定在交换机上，虽然该IP地址日后就不能被非法用户抢用了，但是目标计算机的主人除了使用这个指定的IP地址能上网访问外，他同样还可以随意使用其他没有绑定过的IP地址进行上网访问，甚至可以使用局域网中任意一个处于空闲状态的IP地址进行上网访问，这与目标计算机的主人有没有随之修改网卡物理地址没有任何关系，这也是说采用IP地址与网卡物理地址绑定的方法，只能防止非法用户抢用IP地址，但是并不能防止合法用户无意之中抢用局域网空闲IP地址，这种简单的地址绑定方法并不能彻底解决局域网中IP地址被频繁抢用的现象。   

为了能够彻底地解决IP地址被频繁抢用的现象，我们需要在单位局域网的核心交换机上同时采取两种地址绑定操作，一种是将所有合法上网用户使用的IP地址与各自的网卡物理地址绑定在一起，另外就是将局域网中其他处于空闲状态的IP地址集中绑定到一个虚拟网卡设备的物理地址上，经过这样的设置操作，局域网中的任何一位上网用户只能在自己的计算机系统中使用自己的IP地址，而无法使用其他的IP地址进行上网访问。日后，局域网中要是有新用户需要上网时，必须向网络管理员申请IP地址，网络管理员只要在核心交换机中释放一个空闲的IP地址给新增用户就可以了。笔者经过反复实践，发现这种控制方法非常有效，而且如果对局域网中的网关地址也进行绑定的话，还能有效防止ARP病毒的袭击。   

从理论上来说，还有一种情况会造成局域网IP地址被他人抢用：那就是非法破坏者要是同时窃取获得了合法计算机的IP地址与网卡物理地址，然后他通过修改自己计算机的网卡物理地址与IP地址，并且在合法计算机没有连接网络的情况下，就能成功抢用合法地址进行上网访问，不过这种抢用的机率实在太低，因为非法破坏者偷窃合法计算机的网卡物理地址与IP地址的对照清单太难，即使得到了网卡物理地址与IP地址的对照清单也不一定能够上网访问，要是合法计算机一直在线的话，非法破坏者还是不能进行上网访问。   

在将目标计算机的IP地址与网卡物理地址绑定在一起时，我们可以先在目标计算机系统桌面中，依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“cmd”，单击回车键后，进入对应系统的DOS命令行工作窗口；在该窗口的命令行提示符下，执行字符串命令“ipconfig /all”，从其后返回的结果界面中如图1所示），

图1

我们将目标计算机的IP地址与网卡物理地址记录下来；下面以系统管理员身份远程登录到单位局域网的核心交换机后台管理界面，切换到全局配置状态，并执行字符串命令“arp aa.aa.aa.aa bb.bb.bb arpa”其中aa.aa.aa.aa为指定的IP地址，bb.bb.bb为对应网卡设备的物理地址），这样一来就能将目标计算机的IP地址与网卡物理地址绑定在单位局域网的核心交换机上了。   

小提示：   

如果想防止他人在自己的计算机中随意修改IP地址时，我们可以有多种方法可以选用，现在本文就为大家提供几种简单的实现方法：   

一是组策略编辑法。依次点选“开始”/“运行”命令，在系统运行文本框中执行组策略编辑命令“gpedit.msc”，打开组策略控制台窗口，从该窗口的左侧位置处依次选中“用户配置”/“管理模板”/“网络”/“网络连接”选项，并在目标分支选项下面打开“禁止访问lan连接组件的属性”组策略的属性设置窗口，选中“已启用”选项，同时单击“确定”按钮，这样的话任何人就不能进入本地计算机的TCP/IP属性设置界面，随意修改IP地址了。   

二是系统服务修改法。依次点选“开始”/“运行”命令，在弹出的系统运行文本框中，执行“services.msc”命令，进入本地计算机系统的服务列表界面，打开目标系统服务“Plug and play”，在该服务属性界面的“常规”设置页面中，单击“停止”按钮，同时再修改它的启动类型为“禁止”，这样的话本地计算机系统的本地连接图标就找不到了，那么非法破坏者也无法修改TCP/IP属性参数了。   

三是图标反注册法。依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，依次执行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”，这样一来本地连接图标也会从计算机系统中消失掉，找不到本地连接图标，任何用户也不能随意打开网络参数设置界面去更改IP地址了。