什么是 IP 地址盗用？又要如何预防？

IP 地址是由互联网编号分配机构（IANA，Internet AssignedNumbersAuthority）先把IP地址分给各大洲的机构，然后各大洲的机构把 IP 地址分给运营商，再由运营商把固定的 IP 地址分配给用户。

假如出现分配的 IP 地址和设备不匹配的话，就有可能出现 IP 地址盗用的情况。

首先我们要先了解几种不同的 IP 地址盗用类型。

1.IP 地址静态盗用

该方法是指用户配置或者修改计算机 IP 设置时，使用他人合法 IP 地址或者未经合法分配的 IP 地址，典型的例子是在用户非法入网和恶意隐藏自己的身份，还有一部分用户是 IP 设置信息因故丢失后没有记住原有的合法信息，随意配置。

2.成对修改 IP—MAC 地址

MAC 地址是网卡的物理地址，也就是我们常说的网卡地址，使用网卡自带的配置程序或者修改注册表即可使网卡配置程序支持修改 MAC 地址，成对修改 IP—MAC 地址后就可使非法用户的主机完全冒充所盗用 IP—MAC 主机。这种盗用方式比较隐蔽，如果没有发生 IP 冲突的话则很难发现，危害极大。

3.IP 地址动态盗用

这种方法主要利用 Socket 编程，绕过上层网络软件，直接发送伪造源 IP 地址的 IP 数据包，从而实现动态修改自己对外通信的 IP 地址 ，也被称为 IP 地址电子欺骗。

在网络管理中，IP 地址盗用经常发生，不仅对网络的正常使用造成影响，也会互联网的潜在安全隐患，比如 IP 地址盗用也是黑客常用的方法之一，主要用来隐藏自己的身份，隐匿自己的网络行踪。那么我们又要如何防止 IP 地址的盗用？

1.交换机控制技术

①交换机端口绑定

指将交换机的端口配置成单地址工作模式，就是把交换机端口和该端口上的计算机 MAC 地址绑定，这种方法可以有效地防范 IP 地址静态盗用，但不能完全防范成对修改 IP—MAC 地址方式盗用。

②VLAN 划分法

利用交换机的 VLAN 技术，合理划分 IP 地址段，使每个 IP 只能在指定的 VLAN（虚拟局域网）中使用，在其他 VLAN 中则无效 。此方法可以防范不同 VLAN 中的 IP 地址盗用，但不能防范同一个 VLAN 中的 IP 盗用。

2.路由器隔离技术

①静态 ARP 表技术

在路由器中静态设置 ARP 表，当有盗用 IP 地址上网时，仍然按静态设置 ARP 表来转发数据包，数据包将不能到达目的地，从而阻止盗用 IP 继续使用网络，这种属于被动防范。

②路由器动态隔离技术

在路由器中使用 SNMP 协议动态获取当前的 ARP 表并与实现存储的合法的 IP—MAC 映射表比较，如果不一致，则认为发生了 IP 地址盗用。我们可以采取下列行为来主动阻止非法访问。

一是向盗用 IP 的主机发送 ICMP 不可达的欺骗包，阻止其继续发送数据；二是修改路由器的存取控制列表，禁止其非法访问；三是用合法的 IP—MAC 地址映射覆盖动态 ARP 表中非法的 IP—MAC 映射表项。但是，该方法仍然不能防范成对修改 IP—MAC 地址这种方式的 IP 地址盗用。

3.透明网关过滤技术

该透明网关作为内网和外网通信的桥梁，在内部主机访问外网时使用 ARP 协议来解析和应答，在与外部主机访问内网时则使用静态路由表来响应，最终实现防范 IP 地址盗用。该技术方案对透明网关的性能要求较高，容易产生瓶颈，且无法控制盗用 IP 地址访问内网。

4.基于 802.1X 的用户认证方案

802.1X 是一种基于端 口(包括物理和逻辑)的认证协议,因此也被称为“端口级别的鉴权”。它采用 RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组：请求方(客户端)、认证方和授权服务器。

在用户没有认证前，交换机端口处于封闭的状态，只允许认证数据包(802.1x 格式)通过该端口,认证通过后,端口对用户开放,允许正常的网络访问,而且 IP 地址是由接入服务器动态分配,因此不存在 IP 地址盗用问题。

该方案的缺点一是由于认证流与业务流的分离,如果用户用自定义的数据报文代替 EAP 认证报文就可以不需认证进行局域网访问，如果用户伪造认证流数据包就可以完全实现整个网络访问；二是 802.1x 的优势和安全性很大程度上依赖于私有拨号客户端,一旦客户端被破解或者被仿造,那么这些都将形同虚设;

三是认证基于端口，一旦认证通过则端口处于开放状态,此时其它用户通过该端口接入时,不需再次认证即可访问全部网络资源。

5.防火墙与代理服务器

使用防火墙与代理服务器相结合，也能较好地解决 IP 地址盗用问题：防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。

这样可以把 IP 防盗放到应用层来解决，变 IP 管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是网络应用。

这样的话，盗用 IP 地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台 IP 主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用 IP，也没有身份和密码，不能使用外部网络。

IP 地址作为我们上网的必要条件之一，每一个都有不可替代的价值。尤其是互联网时代下，IP 地址已包含了多方面的信息，我们要谨慎对待。

比如前几年发生在非洲 IP 地址盗窃案。从 2016 年开始，加利福尼亚的独立安全研究员 Ron Guilmette 便一直跟踪观察非洲的 IP 地址块。

他发现留给非洲的 IP 地址块以某种方式流转到了基于互联网的营销公司的手中，IP 地址对垃圾邮件发送者和网络罪犯的运营至关重要，这些犯罪分子需要不断地更换大量 IP 地址维持运营。此次案件共涉及被盗 IP 地址超过五千万美元。

尤其是在 IPV4 枯竭的情况下，虽然 IPV6 正在快速发展，但是铺设 IPV6 的价格不菲，也需要一定时间，并不是所有国家都能够负担。