玻璃丝布防水:请问在局域网内如何防止ip被盗用

保证负责人的即其他的全天上网的用户既可以了
分别在这些机器上绑定IP地址，即把IP地址于他们的网卡MAC地址绑定到一起，然后就是BT你可以在服务器端封死大部分的高端口（200－65535，常用端口出外）这样虽然不能从根本上封死BT但是可以有效的限制！！！！！！！！

解决局域网内盗用IP的安全问题
一、IP地址盗用方法分析

IP地址的盗用方法多种多样，其常用方法主要有以下几种：

1、静态修改IP地址

对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理问题。

2、成对修改IP-MAC地址

对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址

对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，达到IP欺骗并不是一件很困难的事。

二、防范技术

针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。

1、交换机控制

解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

2、路由器隔离

采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如：

a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；

b.向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；

c.修改路由器的存取控制列表，禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。

路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。

3、防火墙与代理服务器

使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。

使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群(如高校的学生)来说，用户管理也是一个问题。

[推荐收藏]MAC地址完美攻略(教你如何防止IP被盗用及绑定IP)
QUOTE:
一、基础知识
二、什么是MAC地址
三、IP地址与MAC地址的区别
四、为什么要用到MAC地址
五、怎样获得自己的MAC地址
六、MAC地址涉及到的安全问题
七、如何修改自己的MAC地址
八、如何解决MAC地址带来的安全问题
QUOTE:
QUOTE:
一、基础小知识(具体的概念正文中会运用到,方便大家读的时候理解就先注释!~)
1.Ping
适用环境：WIN95/98/2000/NT
使用格式：ping [-t] [-a] [-n count] [-l size]
参数介绍：
-t 让用户所在的主机不断向目标主机发送数据
-a 以IP地址格式来显示目标主机的网络地址
-n count 指定要ping多少次，具体次数由后面的count来指定
-l size 指定发送到目标主机的数据包的大小
主要功能：用来测试一帧数据从一台主机传输到另一台主机所需的时间，从而判断主响应时间。
详细介绍：
该命令主要是用来检查路由是否能够到达，由于该命令的包长非常小，所以在网上传递的速度非常快，可以快速地检测你要去的站点是否可达，一般你在去某一站点时可以先运行一下该命令看看该站点是否可达。如果执行Ping不成功，则可以预测故障出现在以下几个方面：网线是否连通，网络适配器配置是否正确，IP地址是否可用等；如果执行Ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，Ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它的使用格式是在命令提示符下键入：Ping IP地址或主机名，执行结果显示响应时间，重复执行这个命令，你可以发现Ping报告的响应时间是不同的。具体的ping命令后还可跟好多参数，你可以键入ping后回车其中会有很详细的说明。
举例说明：
当我们要访问一个站点例如
www.chinayancheng.
net时，就可以利用Ping程序来测试目前连接该网站的速度如何。执行时首先在Windows 9x系统上，单击“开始”键并选择运行命令，接着在运行对话框中输入Ping和用户要测试的网址，例如ping
www.chinayan-
cheng.net，接着该程序就会向指定的Web网址的主服务器发送一个32字节的消息，然后，它将服务器的响应时间记录下来。Ping程序将会向用户显示4次测试的结果。响应时间低于300毫秒都可以认为是正常的，时间超过400毫秒则较慢。出现“请求暂停（Request time out）”信息意味着网址没有在1秒内响应，这表明服务器没有对Ping做出响应的配置或者网址反应极慢。如果你看到4个“请求暂停”信息，说明网址拒绝Ping请求。因为过多的Ping测试本身会产生瓶颈，因此，许多Web管理员不让服务器接受此测试。如果网址很忙或者出于其他原因运行速度很慢，如硬件动力不足，数据信道比较狭窄，过一段时间可以再试一次以确定网址是不是真的有故障。如果多次测试都存在问题，则可以认为是用户的主机和该网址站点没有联接上，用户应该及时与因特网服务商或网络管理员联系。
QUOTE:

2.winipcfg (ipconfig /all)
适用环境：WIN95/98/2000
使用格式：winipcfg [/?] [/all]
参数介绍：
/? 显示winipcfg的格式和参数的英文说明
/all 显示所有的有关IP地址的配置信息
主要功能：显示用户所在主机内部的IP协议的配置信息
详细介绍：
winipcfg程序采用windows窗口的形式来显示IP协议的具体配置信息，如果winipcfg命令后面不跟任何参数直接运行，程序将会在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。在命令提示符下键入winipcfg／？可获得winipcfg的使用帮助，键入winipcfg／all可获得IP配置的所有属性。
举例说明：
如果我们想很快地了解某一台主机的IP协议的具体配置情况，可以使用winipcfg命令来检测。其具体操作步骤如下：在“运行”对话框中，直接输入winipcfg命令，接着按一下回车键，我们就会看到一个界面。在该界面中，我们了解到目前笔者所在的计算机是用的3COM类型的网卡，网卡的物理地址是00-60-08-07-95-14，主机的IP地址是210.73.140.13，子网掩码是255.255.255.192，路由器的地址是210.73.140.1，如果用户想更加详细地了解该主机的其他IP协议配置信息，例如DNS服务器、DHCP服务器等方面的信息，可以直接单击该界面中的“详细信息”按钮。
QUOTE:
3.ARP命令的介绍
ARP(Address Resolution Protocol)是地址解析协议，ARP是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP协议是通过IP地址来获得MAC地址的。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP表：为了回忆通信的速度，最近常用的MAC地址与IP的转换不用依*交换机来进行，而是在本机上建立一个用来记录常用主机IP－MAC映射表，即ARP表。
所使用的到以太网的 IP 或令牌环物理地址翻译表。ARP该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [inet_addr] [-N [if_addr]]
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]
参数
-a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。
-g 与 -a 相同。
inet_addr 以加点的十进制标记指定 IP 地址。
-N 显示由 if_addr 指定的网络界面 ARP 项。
if_addr 指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。
-d 删除由 inet_addr 指定的项。
-s 在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的 6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。
ether_addr 指定物理地址。
QUOTE:
4,关于物理层,数据链路层等OSI模型概念的解释说明.
为了实现异种计算机网络的互连,OSI把整个网络的功能结构划分为7层,从下到上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
参考资料：到网上去搜索一下

3、防火墙与代理服务器

使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。

或者有钱的话买好点的交换机可以基于交换机端口设置哪些端口可以上网，从物理上把盗用IP和MAC地址的人和有权限的人分开。

说那么多,看着也累
你把每个人的网卡MAC地址分别绑定个一个IP地址即可