把IP和MAC绑定：
ARP   -S   IP   MAC             把IP和MAC绑定  
ARP   -D   IP   MAC             解除绑定
ARP   -A   IP                     查看IP对应MAC

获取网卡的MAC地址后，你就可以在DOS窗口中输入Arp命令，具体的
命令行为“arp -s IP地址 MAC地址”，这样就完成了IP地址的绑定。此
时你可以利用“arp -a”来查看详细的绑定信息，如果IP地址后面的Type项所对

应的为Static（静态），就表示绑定成功。如果你需要删除这个绑定也很简单，

直接输入“arp -d IP地址”即可

解决局域网中IP盗用问题的三种技术手段
解决途径

　　可以通过下面三种方法制定相应的IP地址管理措施和对策，来监测和防止IP

地址的随意改动问题，提高网络管理的科学性和安全性。

　　方法1：利用UNIX、Windows系统提供的ARP功能，定时收集信息，定向输出存

入数据库或文档文件，形成实时的IP地址与网卡硬件地址的对应表。并结合编写

查询程序实现与历史纪录自动排查，确定问题的发生点及原因。

　　方法2：利用网络交换设备的网络管理功能，完善检测手段，提高网络故障的

清查能力。目前有许多种网络交换机内置网络管理功能。如3Com SUPERSTACK II

系列交换机，具备寻找IP地址设置冲突对应交换机端口的功能，可以迅速准确地

定位和查找故障主机点。

　　方法3：根据接入互联网Internet的IP地址管理是通过IP地址分配和路由器的

配置来实现的原理，可以通过设置静态路由表，完成IP地址和硬件地址的严格对

应，保证已分配IP地址的xx惟一性。

　　三种方法比较

　　方法1 无需借助额外的网络设备，检测结果需人工判读，对非冲突、非分配

IP地址的故障处理具有一定的滞后性。

　　方法2 监测效果快速准确。需要具有网络管理功能的交换设备，交换机自动

跟踪IP冲突地址，监测冲突需要人工完成。对非冲突、非分配IP地址的故障处理

具有一定的滞后性。

　　方法3 对接入Internet的IP地址管理效果明显。它能自动锁定任何非法IP地

址的路由出口，使之仅能访问内部IP地址，运行于局域网内，并对非冲突、非分

配IP地址的故障处理具有实时性。它还有效制止了非法IP地址用户的访问空间，

保证了注册用户的合法权益，也给系统维护提供了更多的便利。
如何解决局域网内盗用IP的问题

　　1 IP地址盗用方法分析
IP地址的盗用方法多种多样，其常用方法主要有以下几种：
1) 静态修改IP地址
对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配

置TCP/IP
或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用

。由于IP地
址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的

静态修改，
除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。
2) 成对修改IP-MAC地址
对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对

静态路由技
术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件

地址，对
于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所

有以太网
设备中必须是{wy}的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。

但是，现在
的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机

的IP地址和
MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为

力了。
　　另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办

法来修改MAC地址，
即通过修改底层网络软件达到欺骗上层网络软件的目的。
3) 动态修改IP地址
对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件

，动态修改自
己的IP地址（或IP-MAC地址对），达到IP欺骗并不是一件很困难的事。

2 防范技术研究
针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要

是根据TCP/IP的层
次结构，在不同的层次采用不同的方法来防止IP地址的盗用。

2.1 交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制

：使用交换机提供的
端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问

网络，任何其它地址
的主机的访问被拒绝[1]。但此方案的{zd0}缺点在于它需要网络上全部采用交换机

提供用户接入，这
在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

2.2 路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球{wy}不能改变

。其实现方法为通
过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和

事先合法的IP和
MAC地址比较，如不一致，则为非法访问[2]。对于非法访问，有几种办法可以制

止，如：
使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；
向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；
修改路由器的存取控制列表，禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映

射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不

一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理

论依据进行破坏， 成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。

2.3 防火墙与代理服务器
使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来

隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行[3]。使用这样

的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为

用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地

址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用

， 通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密

码，不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络

对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群（如高

校的学生）来说，用户管理也是一个问题。