要是这样的话，盗IP者可能把他的网卡地址或者路由地址（网络的老师所说的物理地址）修改成了你的网卡地址，导致他的物理地址和你的相同了，所以IP地址也和你的相同了。

提纲:
1.何谓盗号?
2.如何盗号.
3.如何防止盗号:
3.1 实时查询IP地址和MAC地址的方法
3.2 ip地址与mac地址捆绑的方法
3.3 缩小盗号范围的方法
3.4 认证系统方法
3.5 采用ipv6的身份认证
3.6 采用VLAN(虚拟局域网)技术
4.结束语
---------------------

第一部分:何谓盗号
盗号就是一些用户用不属于自己 ip上网,之所以不属于这些用户是因为网络中心
已将这些ip地址分配给其他人使用.这些人盗号可能是经济原因,盗用IP可以省下一大
比开支.但也不排除有人新奇而干这些事情,甚至于有人可能是莫名其妙的干这些事.网
络是虚幻的社会,上面同样有着形形色色的人们.因此网络社会安全也是比较重要的,可
能盗号是网络安全涉及的一个极小的一个方面,但就是这个课题,也是很难解决的.

第二部分:如何盗号
在网络社会,我们经常听人这么说:我想害你很容易.的确是这样,网络看起来象一个
摩天大厦,但却是建在沙堆上的,或者说它根本就是小孩子手中的积木,它很脆弱,根本竟
不起大风大浪.如果你一不小心,可能有黑客闯进来:删掉你所有的文件,让你欲哭无泪.
或者仁慈一点,仅仅把你的机密文件拷走,让你为此很是难堪.还有可能就是盗号了不花银
子就上网的事,是不是大家都想干呀!
在谈盗号以前,先说说mac地址和ip地址.很多人不明白,有了IP地址不就可以访问
INTERNET上的任何机器了,为什么还要知道MAC地址呢?因此我们先说说这个问题.我们考
虑一下同一个网段中路由器和某一个主机通信的情况.假如路由器收到了目的地是本网段
的主机A的数据包且仅仅知道A的IP地址(如202.117.48.100)是无法将数据包送到正确的
目的地.因为在局域网中网卡接受和发送都是基于48位的以太网地址的帧,它们根本不能
识别32位的IP地址.因此路由器就会用ARP向网段广播:谁的IP是202.117.48.100,然后主
机A会发出回应:我的IP是202.117.48.**,我的MAC地址是00-AE-29-55-C2-17然后路由器
会把数据包装载到目的地是A的MAC地址的帧中送到主机A.
话归正题了,下面就讲讲如何盗号的问题,大家要防患于未然呀!
盗用IP是只能盗用本网段的IP.即那些通过同一路由器和外界交换信息的ip.在路由
器的配置中，要指定这个网段的网络地址和掩码,为了路由使用.如果这个网段的机器使
用了其他网段的IP，则路由器不认为这个IP属于他的网段，所以不给转发。
最初的盗号很是简单,只要将我本机的ip地址设为本局域网中任何一个ip地址就可以
了.只要小心不和这个ip的真正主人上网冲突呀,否则就会发生冲突.如果一开机,对方不
在线,你的机器会把你的mac地址广播送给路由器,这样就形成了ip地址到mac地址的转换.
然后你就可以随意漫游万维网了.
不过现在盗号已经不那么容易了,基本原因是许多路由器已经将ip地址和mac地址捆
绑在一起了,他们设置了arp表,预置了用户的ip地址及对应的mac地址.但是俗话说的好:
道高一尺,魔高一丈.现在就连mac地址也可以改了.mac地址的获得还是比较容易的,
windows下面有几个dos程序就是干这个的,下面就是其中一种方法:
ping *.*.*.*
arp -a
首先ping的是同一网段的IP地址的话,在ARP缓冲记录中会记录下该IP地址对应的MAC地址
,用ARP -a就可以显示出来缓存中的所有存在项.不过注意的是每个ARP缓存记录的生命周
期只有10分钟,每一项被添加后就开始记时,如果2分钟还没有再用的话,就会被删除,否则
10分钟后删除.所以用这两个命令将列出对方的mac地址以及经过的路由器的mac地址. 不
过只是本局域网的ip地址可以,其他的就不行的说.得到了MAC地址.然后可以考虑如何修
改MAC地址的问题.
有两种方法可以改mac地址,简单介绍如下:
1. 网卡发出的包的源 MAC 地址不是网卡本身写上去的,而是应用程序提供的,只
是在通常的实现中,应用程序先从网卡上得到了MAC地址,每次发送包的时候用这个MAC地
址作为源MAC地址而已,所以完全可以不用网卡带的配置程序修改MAC仅仅靠修改网络的驱
动程序就可以改MAC.win95 下利用 NDIS就可以的.
2.网卡真正的MAC地址是在EPROM中的,可以通过专门的程序修改,不少网卡的厂商都
能提供.比如PCI-RTL8029,便可到realtek公司的主页上下载一个修改EPROM的小程序.
哇,mac地址都能改,还能有人不盗号!
现在不用怕那个破破的路由器的静态 ARP 表了,它也奈何不了你.并且事实上,路由
器对发出的包是不检查的，即使网卡MAC 是不合理的，也可以向外发数据包，而且可以
用伪造的IP，但是如果你的mac地址不是静态ARP表上ip对应的mac地址的话,你是接受不
了别人送给你的数据包的.

第三部分 如何防止盗号
防止盗号的方法有很多种,但是基本的原理都是相同的:一般是采用分级管理结构,从
网络底层开始进行控制,第一级为MAC层控制,对各网络用户单位只允许登记的合法主机上
网;第二级为IP层控制,在路由层对不同网段的IP地址进行不同的路由选择,避免不同网
段IP地址的盗用,减少网络间广播信息流量,但加大了静态路由的复杂程度;第三层设置访
问控制,对某些信息资源的访问设置指定的上网主机拥有访问权限,摒弃无权访问主机的
访问请求.
具体的下面我就一一道来,不过好象这些方法和我们普通网虫没什么关系,不过大家
了解也是很好的,说不定以后用的上.
3.1 实时查询IP地址和MAC地址的方法
采用基于SNMP的简单网管程序,轮询网络设备(如路由器等),查找网络设备所支持
的MIB数据,实时地得到网络当前使用者的IP及MAC地址,根据所登记的合法IP与MAC的对应
表,统计非法使用信息,累计非法盗用次数,记录最近盗用时间。网络管理员通过定期查询
数据库,对盗用次数超过一定数量的用户给予罚款等惩罚性措施.这是一种被动的查询方
式,仅对于登记过的用户有约束力,无法查处非法使用者.
3.2 ip地址与mac地址捆绑的方法
这应当是最简单的一种方法了,还是比较有效的.现在大部分的局域网都有了静态ARP
表(这个表通常在路由器中),在表中预置了合法用户的ip地址及对应的MAC地址.这样通过
检查包中的ip地址和MAC地址,并与ARP表中对应项比较以判断是否盗用ip.
从根本上说,采用 IP-MAC 来防止IP 盗用是不行的，所有的网卡 MAC 都可以修改而
且更重要的是网卡发出的包的源 MAC 地址并不是网卡本身写上去的, 而是应用程序提
供的,只是在通常的实现中，应用程序先从网卡上得到了MAC地址,每次发送包的时候用
这个MAC 地址作为源MAC地址而已,所以完全可以不用网卡带的配置程序修改MAC仅仅靠修
改网络的驱动程序就可以改MAC .而且在实际中,经常是只对收到的包进行检查,对发出去
的数据包是不检查的.
3.3 缩小盗号范围的方法
我们从前面的内容可以看出来盗号只能发生在一个局域网内部,确切的说是连同一个
路由器的所有机器都可以盗号.因此如果我们把网络划分的小一点的话,盗号的可能性就
大大降低了.
不过我们应当明白,当我们把网络划小是以降低资源的利用率和增加网络费用为代价
的.我们可以利用子网淹膜把一个C类或B类的IP网分成多个物理网络,但在每个网络中至
少有一个ip地址不能使用(用于广播).另外还可能由于网络划分不合理.浪费ip资源使某
些ip地址无法使用.很明显,增加路由器是需要增加投资的.
另外,这种方法不能从根本上杜绝盗号.
3.4 认证系统方法
这个系统是基于用户认证的模式.
该系统是有4个部分组成:认证服务器,认证前端,网关,记费数据库.基本工作原理如
下:当用户希望使用网络前,先激活认证前端,认证前端就会定期与认证服务器进行通信,
告诉服务器当前的用户名及对应ip地址及网卡地址等信息,认证服务器经过认证后将用户
信息存储下来.当数据包流经网关时,网关向认证服务器查询数据包的ip地址和MAC地址的
合法性,以决定允许或禁止该数据包的通过.若通过则根据记费规则记录流量信息并定期
写入记费数据库.当认证前端向服务器发出退出命令或服务器在一定时间内没有收到该前
端的认证信息(如用户计算机的非正常关机).则服务器会注销该用户,这样盗用者的唯一
机会就是从用户的非正常关机到认证服务器超时这段时间内,这段时间设的非常短,使盗
用者根本没有机会盗用.
由于这个系统的密钥既不在网上传递,又不在用户端或服务器上保存,完全是服务器
随机产生的(一部分的内容),且密钥生存期很短,盗用者根本没有机会破译.
这个系统的唯一缺陷是在用户端必须有一客户进程，在目前还无法融入操作系统
中。因此每当上网时，先要启动客户程序与服务器进程建立连接，交换信息。并不是
每个用户都愿意这么做。最好的办法就是将这个认证系统融入操作系统中，并且用户
可以随时改变客户端的密码。
总体上这是一个比较成功的方法，并且不只单单用于防止盗号，它还有其他很
多的用武之地。
3.5 采用ipv6的身份认证
我们现在用的ipv4总体上是成功的，但是由于它的地址马上要用光了，同时它的安
全性方面做的很不好，起码来说，很容易盗号就是他的存在的弱点的一个方面。ipv6是
新的ip协议,它一方面提供了在现在看来是无限的ip地址空间.同时提供了比现在ip更好
的安全性.在ipv6的扩展头部有身份验证和加密的安全性有效载荷两个选项,可以提供对
发送者的身份认证.加密安全性有效载荷甚至可以加密分组内容,以达到只有接受者才能
读它的目的.
现在我们可以详细看看身份认证头部是怎样实现对发送者的身份检验.
身份认证头部是由三个部分组成,第一部分包括四个字节,分别是下一个头部号,身份
认证头部长度和16个零位.其后32位钥匙号.最后是MD5的校验和.接受者(可以是路由器)
利用密钥号找出密钥,然后得出密钥的填充版,加到经过填充的有效载荷之后,将可变头部
字段也置为零,计算校验和如果该校验和与身份认证头部中的校验和相同,接受者(可以是
路由器)就可以确定分组来自与其共享密钥的发送者,并且分组在传输中未受到干扰.MD5
的属性决定了入侵者想伪造发送者身份,或途中修改分组而不被察觉,在计算上是不可解
的.
很明显,采用ipv6后,我们对于发送者的认证不仅仅局限于IP地址和MAC地址,IPV6采
取了另外的认证策略,从而使的即使改动MAC地址也无能为力了.因此就不会再为发生盗号
而发愁了.
3.6 采用VLAN(虚拟局域网)技术
1995年制订的802.10标准即是VLAN技术.它有四种方法来实现虚拟,分别是: 基于端
口的虚拟 基于MAC地址的虚拟基于网络地址的虚拟基于组播的虚拟技术.
基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN 同一个VLAN中的站点
具有相同的网络地址,不同的VLAN之间进行通信需要通过路由器.采用这种方式的VLAN
其不足之处是灵活性不好,例如当一个网络站点从一个端口移动到另外一个新的端口时,
如果新端口与旧端口不属于同一个VLAN, 则用户必须对该站点重新进行网络地址配置,
否则,该站点将无法进行网络通信.
在基于MAC地址的VLAN中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站
点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC
地址保持不便,因此用户不需要进行网络地址的重新配置.这种VLAN技术的不足之处是
在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个VLAN.
在基于网络地址的VLAN中,新站点在入网时无需进行太多配置,交换机则根据各站
点网络地址自动将其划分成不同的VLAN.在以上三种VLAN的实现技术中,基于网络地址
的VLAN智能化程度最高,实现起来也最复杂.
VLAN提供了严格的身份认证和保密性,因此可以防止即使是由于mac地址改动而想盗
用IP.为了使管理员确定访问包含特别机密信息的服务器较为严格的途径，VLAN可以按端
口或MAC层地址来确定地址.当这种功能应用在以每个交换机端口一个用户为主要特征的
结构之中, 就成为一种特别强大的限制非授权访问的屏障.在这种配置中,由于非授权
的用户不属于VLAN的成员,他们就不具备物理条件来" 倾听”那些属于VLAN的通信,原因
是这些VLAN通信就没有经过他们的网段.这样就使得组外的用户无法获得组内用户的信
息,尤其是MAC地址,从另一个方面起到了防止盗号的作用.

第四部分 结束语
说实在话,盗号没什么大不了的,最多天天开机就完了.这样别人想盗号都没机会.另
外在一个网段如果有自己的ip的话,为什么要盗用别人的ip呢!想出国的话,好象大家的出
国权限都关着呢,有改mac地址的时间,大家完全可以轻松找一出国代理,不方便很多,又不
冒风险.好奇的话,小心呀,不要酿成大错.

几种常见的防盗方法
1)方法一
采用基于SNMP的简单网管程序,轮询网络设备(如路由器等),
查找网络设备所支持的MIB Ⅱ数据,实时地得到网络当前使用者的
IP及MAC地址,根据所登记的合法IP与MAC的对应表,统计非法使用
信息,累计非法盗用次数,记录最近盗用时间。网络管理员通过定
期查询数据库,对盗用次数超过一定数量的用户给予罚款等惩罚性
措施。这是一种被动的查询方式,仅对于登记过的用户有约束力,
无法查处非法使用者。
(2)方法二
使用基于网管软件(例如IBM NETVIEW/6000)的日志文件,查询
一段时间内的登录用户,并依据其IP与MAC的对应检测是否为合法
登记,对非法用户予以记录。这同样是一种被动的查询方式,效果
上等同于方法一,但是对网络设备的运行性能影响较小。
(3)方法三
基于现有网络设备均支持SNMP v2与MIBⅡ协议,可以将需查
询的网络设备作为一个SNMP 的代理(AGENT),同时模拟网络管理
软件的开发,制作PC平台的SNMP专用管理者(SPECLAL MAN AGER)
软件,在本文中即基于网络地址的管理.配置SNMP AGENT,使其在
运行过程中对每一时刻的上网用户产生一个SNMP Trap报文,传递
给SNMP SPECLAL MANAGER,报文内容包括上站用户的IP与MAC地址
对应,以及该主机所经过的网络设备地址标识等其他相关信息,
MANAGER再根据Trap报文进行相应的处理。采用最近优先算法,
对每一上站用户的查询先从最近一段时间得到的上站用户地址
表中进行匹配,这一地址表每日更新一次,在得不到合适的匹配
结果时再查询全部合法地址表。同时MANAGER可以自动或由管理
员指定对某些非法上站的主机进行或不进行屏蔽过滤的处理。
例如发送指定的SNMP SetRequest报文,修改网络某些运行参数
(RunT ime Parameters),达到封锁该非法用户的目的。这是一
种主动的检测预防措施,也适应当前校园网络的实际情况,同时
对网络运行性能的影响也较小,是现阶段较为理想的处理方式。
(4)方法四
采用分级管理结构,从网络底层开始进行控制,第一级为MAC
层控制,对各网络用户单位只允许登记的合法主机上网,
设置SWITCH上MACFILTER的Permit子项,这要求SWITCH的
静态FIL TER设置能够满足上网用户的主机数量;第二级
为IP层控制,在路由层对不同网段的IP地址进行不同的路
由选择,避免不同网段IP地址的盗用,减少网络间广播信息
流量,但加大了静态路由的复杂程度;第三层设置访问控制,
对某些信息资源的访问设置指定的上网主机拥有访问权限,
摒弃无权访问主机的访问请求。这一方法要求使用新的网
络设备,采取新的网络结构和网络集成技术,如:VLAN等,在
校园网扩建改造工作中可予以考虑,是一种可行的有效方法,
但所需代价大于方法三。

我认为也应该是你上面说的那样。可是，酒坛子朋友，看了你发的防止被盗的方法，从我个人的角度没有找到什么合适的解决方法阿？望告知

“说实在话，盗号没什么大不了的,最多天天开机就完了，这样别人想盗号都没机会。”

这个方法是最简单的方法，其他的对于我们这样一般的用户来说不现实！

公用计算机一般都是长期开着，主要是方便网络上的用户与该机实现数据交换，但如果计算机IP经常变，其它电脑用户就不好找了。例如楼上说的实验室就是如此，还是建议找一个可行的办法。

这个问题我也不怎么清楚，只好向大家学习学习了。

暂时还没想到较好的办法。

真是要想防盗，须先学盗，哦！