前言：尋找寫作靈感？中文期刊網用心挑選的議校園網中網絡資源盜用及防范措施，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

一、ARP攻擊的防范

說到ARP攻擊，那肯定要說一下如何對ARP攻擊進行防范。對ARP攻擊完全的防范是比較困難的,如果要通過修改ARP協議的方式也不大可能。但可以對本機進行一些設置，將被ARP病毒入侵的幾率降到最小。這里簡單介紹兩種方法。

1）安裝ARP防火墻

目前比較流行的就是360ARP防火墻，360ARP防火墻解決ARP攻擊問題采用的方案是：主要是通過在系統內核層攔截ARP攻擊數據包，采取措施保證網關的MAC地址不被修改，保證數據正確流向，通訊數據不被第三者控制。

2）也就是最原始的辦法，即“雙向綁定”＋“ARP廣播”

在路由器上綁定客戶機的IP和MAC地址，在客戶機上綁定路由器的IP和MAC地址，同時開啟路由上的ARP廣播，不停地廣播正確網關的ARP信息。步驟如下：在客戶機上綁定路由的IP和MAC地址，可以通過DOS命令，如arp-s172.31.24.2390013-026F-CF06來實現綁定；在路由上綁定客戶機的IP和MAC地址：進入路由的Web控制→“防火墻”→“訪問控制(ACL)”→“MAC與IP綁定”，開啟MAC與IP綁定，并將內網所有主機的IP和對應MAC地址加入到綁定列表中即可。我們學校目前使用的即是雙向綁定，特別是針對學生網，為每個合法的學生用戶都分配了一個IP地址，并在核心交換上進行IP-MAC的綁定。這種方法固然能對ARP攻擊進行一定防范，但對一些通過非法軟件掃描他人網絡資源，進而盜用的“非法用戶”，就無法進行防范。下面我來介紹一些校園網中常見的IP地址的盜用。

二、網絡資源的盜用

網絡管理員解決網絡資源被盜用問題，是保證網絡安全的眾多工作中的一項非常重要而又棘手的工作。ARP協議是將網際互連中的IP地址與網絡接口卡的物理地址(MAC)相關聯起來的協議。前幾年IP地址綁定MAC地址即可解決IP地址被盜用的問題，然而隨著計算機網絡技術的不斷進步，全球唯一的MAC地址，同樣可以隨意進行修改，這樣通過IP地址與MAC地址綁定已無法湊效。目前在校園網中，特別是學生公寓，盜用IP地址的現象非常的多，很多學生用戶通過盜用別人地址的方法來隱藏自己的身份。IP地址的盜用行為嚴重擾亂了校園網絡的正常運行，侵害了網絡用戶的利益，給網絡管理人員帶了很大的麻煩，因此解決IP地址盜用問題成為校園網絡安全建設的一個重要課題。

1.兩種常見的盜取IP地址的方法

第一種方法：人為修改機器的IP地址。用戶電腦終端配置IP地址時不是自動獲取，也沒有設置網絡管理人員制定的IP地址，而是人為修改本機的IP地址，產生IP地址盜用。第二種方法：同時修改IP地址和MAC地址的方法。針對第一種方法可以通過IP+MAC綁定技術進行解決。然而現在一些兼容型網卡的MAC地址可以通過配置程序和第三方軟件進行修改，非法用戶通過將自己的電腦終端的IP和MAC地址同時修改成另一臺合法終端對應的IP和MAC地址，則IP+MAC捆綁失效。我們學校學生公寓網發生的數起盜用網絡資源事件，就是通過這種方法進行盜用的。

2.防范IP地址盜用的方法

2.1定期掃描及防范機制

定期掃描網絡中路由器的ARP表，將掃描到的IP-MAC的對照關系與合法的IP-MAC表進行比對，如果發現有的信息不一樣，則說明IP地址有可能被盜用。也可以通過用戶投訴的故障現象來判斷是否出現IP地址盜用的行為。常用的幾種防范機制有：服務器技術、IP+MAC綁定技術，IP-MAC-USER認證授權技術以及透明網關技術等等。但這幾種防范技術都存在一定的局限性。例如IP-MAC綁定技術，很難對用戶進行管理；透明網關技術需要專用的機器轉發數據，所有數據都通過此節點，造成這個專用機器的性能很大程度上可能成為網絡運行的瓶頸。最重要的局限在于，這些防范技術只是阻止了盜用IP地址的終端直接訪問外部的網絡資源，沒有從本質上規避和解決盜用IP地址而產生危害的風險。盜用了IP地址的終端仍然可以在此IP所在的子網中進行網絡訪問，干擾了其他正常用戶的使用，同時也可能造成子網中的其他終端和網絡設備被IP地址盜用者攻擊，帶來危害。

2.2利用端口定位技術及時終止IP地址盜用

很多情況下需要利用端口技術來阻止IP地址盜用行為，此技術是根據交換機的工作原理而采取的策略。一般的二層交換機都是通過MAC地址來過濾和轉發數據包，在數據鏈路層上工作。根據交換機的設計，工作中的交換機需要自動創建一個與端口對應的MAC地址表，此表存儲的信息就是與其有信息交換的并處于同一個子網中的所有主機MAC地址。交換機通過SNMP協議與其他交換機進行信息交換，獲取其他交換機存儲MAC地址信息，生成一個實時的Switch-Port-MAC對應表，將此表與原來合法的完整表進行比對，可以找出與之連接的不合法MAC地址，通過深入一步工作后，即可判定是否存在IP地址盜用的情況發生。如果在不同的交換機非級聯端口上都有一個相同的MAC地址，則存在IP-MAC的成對盜用。通過以上的工作確定了網絡中有人盜用IP地址，可以直接鎖定到交換機的端口，再檢索Switch-Port-MAC對應表，就可以確定發生盜用行為的物理地點。確定IP地址盜用后，應立即采取預案響應，將此行為的影響和損失降到最低。從技術層面上，可以通過SNMP管理站向交換機發送SNMP消息，切斷有IP地址盜用情況的端口，從而使得盜用IP地址的終端不能與網絡中其他設備產生信息的互通，保證整個網絡正常運行。

三、結束語

以上介紹了校園網中常見的兩種比較嚴重的問題。其中對ARP攻擊的防范，使用目前比較流行的IP-MAC雙向綁定較為普遍，當然安裝ARP防火墻更是必不可少。網絡資源的盜用可以通過IP-MAC綁定+交換機端口管理進行防治，效果是非常顯著的。校園網的穩定與和諧要靠大家共同來維護，了解掌握一些網絡安全的知識，會給大家在使用網絡資源工作的過程中減少一些不必要的麻煩，更大地提高工作效率。

作者：解明慧 單位：合肥鐵路工程學校