如何防止IP地址盗用网络技术

如果两个主机在局域网上具有相同的IP地址，两个主机互相报警，造成应用程序混乱，因此IP地址盗用已成为网络管理员最棘手的问题，如何在数百台甚至数千台主机同时上网时控制IP地址盗用。
引入问题
集团用户，他们中的大多数都是连接到Internet的专用线。计划中的网络部分，网络管理部门分配，建立了相应的网络IP地址资源的注册用户，为了保证通信数据的正常传输。在这里，静态IP地址的一个必要的配置项，并享有网络通信身份证的特权。当配置IP地址资源，网络管理员有其正确性的特殊要求。它们表现在以下两个方面：分配的地址应该在计划的子网段内，所分配的IP地址必须是任何网络主机唯一的，也就是说，没有两个意义。
在实践中，网络管理员分配给网络用户的IP地址，只有在客户正确注册。这提供了最终用户直接接触的IP地址的一种方式。由于最终用户的介入，为网络中修改IP地址的用户可以自由变化。IP地址可以使网络中的三种结果：1。非法IP地址，修改IP地址不在网络规划中，网络调用中断；2。重复IP地址，与配电网操作和已经发生的合法IP地址资源冲突，无法连接3。非法的；分配的资源占用，其他注册用户的合法IP地址的盗用（和登记本机的IP地址是不供电）网络通信。前两种情况下，可以通过网络系统自动识别屏蔽，导致运行中断，和第三操作系统不能有效歧视。如果系统管理员不采取预防措施，第三种情况都会涉及到注册用户的合法权益，这是非常有害的。
工作原理
TCP / IP协议模型由四层组成：网络接口层位于网络层和物理层之间，它是由NIC设备驱动程序。该层的数据可以被发送和接受的通过一个单一的、具体的网络。这种单一的特异性是由NIC，MAC物理地址确定。每个以太网网卡制造商的MAC必须严格遵守IEEE组织规则确保在世界任何网卡MAC是独一无二的，没有两个意义。因此，在每一个网卡MAC是固化和授予访问。
在以太网中，每个以太网包的头部都有MAC地址。以太网交换设备实现了基于包头MAC源地址和mac目的地址的数据分组交换和传输。
当网络层将高层协议通过以太网，FDDI使用地址的网络地址，令牌环和其他协议，IP地址应该映射到实现通信节点之间的物理接口。实现这种映射，TCP / IP协议族提供地址解析协议（ARP）在网络接口层将IP地址到硬件地址。在网络通信中，该机的硬件地址解析请求，请求发送广播消息到其他网络设备的网络。本机匹配目标IP地址将返回硬件地址到源机响应地址解析请求。网络中的其他机器不响应这一要求，但他们听的请求报文和存款的IP地址和源机器的硬件地址的记录，它应该是注意，ARP运行机制的动态特性。当IP地址和硬件地址随时间变化时，可以及时更正。
在实践中，用户有理由改变客户和不断变化的网络适配器的IP地址的可能性。这种变化有时是任意的，尤其是当这种变化是不是由网络管理员监测，它将直接影响到网络资源和环境，如网络IP地址管理的安全运行，交通流量计算等等。为了有效地防止和消除问题，保证IP地址的唯一性，网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址（MAC）登记表，并完成备案。
解决方案
通过三种途径，制定相应的IP地址管理措施和对策，以期对IP地址的变化进行监控和预防，提高网络管理的科学性和安全性。
方法1：利用UNIX和Windows系统提供的ARP功能，定期收集信息，输出定向输出到数据库或文件，对应的网卡的硬件地址形式的实时IP地址。并结合查询程序和历史记录自动调查编制，确定问题点及原因。
方法2：利用网络交换设备的网络管理功能，完善的检测手段，提高网络故障的检测能力。有许多网络切换内置的网络管理功能，如3COM SuperStack II系列开关，具有找到IP地址对应的交换机端口冲突的设置功能，可以查找和定位故障主机快速准确。
方法3：根据IP地址管理的互联网接入是通过互联网原理实现IP地址分配和路由器配置，可以设置静态路由表，严格对应完成IP地址和硬件地址，保证IP地址分配的唯一性。
三种方法的比较
方法1不需要额外的网络设备。测试结果需要手动解释，这对处理非冲突和未分配的IP地址有滞后的影响。
方法2效果监测快速准确，开关与网络管理功能的设备是必要的，并自动切换跟踪IP地址冲突，冲突和监控需要手工完成的。非冲突和未分配IP地址的故障处理具有一定的滞后性。
方法3已接入互联网的IP地址管理效果明显。它可以自动锁定任何非法IP地址的路由出口，所以它只能访问内部IP地址，运行于局域网，并处理非冲突、非分配IP地址的故障处理的实时性。它也有效地阻止了非法IP地址用户的访问空间，保证了注册用户的合法权益，并为系统的维护提供了极大的便利。