IP与MAC绑定 Word 文档 (2)

合集下载

MAC地址绑定与IP绑定区别讲解

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。

它们都是限制特定设备的访问权限，提高网络的安全性。

然而，它们之间存在一些区别。

本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。

一、MAC地址绑定MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。

每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。

MAC地址绑定是一种通过识别MAC地址来控制访问的方式。

1.1 原理MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。

网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。

非授权的设备将被阻止访问网络。

1.2 优势MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。

（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC地址绑定的设备仍然可以顺利访问网络。

1.3 缺点MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC地址绑定是一项繁重的任务。

（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。

二、IP地址绑定IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。

IP地址绑定是一种通过识别IP地址来控制访问的方式。

2.1 原理IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。

网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP地址的设备可以顺利进行通信，其他设备将被拒绝访问。

IP和MAC地址绑定

1. 如何进行IP和MAC地址绑定，以防范ARP欺骗？用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。

这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。

方法一：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。

步骤如下：1) 在路由器上绑定PC机的IP地址和MAC地址，格式如下：[H3C]arp static 192.168.1.2 00e1-7778-9876注意：需要对该网段内的每一个IP都绑定MAC，没有使用的IP地址也需要绑定，可以任意指定其绑定的MAC地址，推荐使用0000-0000-0123等特殊MAC。

2) 在PC机上绑定路由器内网口的IP地址和MAC地址，命令格式如下：arp –s 192.168.1.1 00-0f-e2-21-a0-01方法二：让路由器定时发送免费ARP报文，刷新PC机的ARP表项进入路由器相应的内网接口，配置如下命令：[H3C-Ethernet1/0]arp send-gratuitous-arp 1方法三：ARP固化可以在全局视图和接口视图下配置ARP固化功能，使动态ARP转化为固定ARP，有效防范ARP 攻击。

固化ARP有三种方式：1) 全局视图下配置动态ARP固化[H3C] arp fixup2) 接口视图下配置动态ARP固化[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] arp fixup3) 配置指定固化ARP表项的功能[H3C] arp fixed 10.1.0.1 00-11-22【提示】1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat 的批处理文件，放到启动项中。

2) arp send-gratuitous-arp 并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。

IP地址与MAC地址绑定

在插件管理中选择MAC地址过滤模块，点击配置按钮进入<MAC地址过滤配置>。

在过滤列表中点击鼠标右键，选择<导入地址>菜单，该模块将自动从主程序中将对应的MAC-IP地址导入，用户只要选择左边的绑定选择框对他们进行绑定即可。

如果您想禁止不在列表中的MAC上网，请选择缺省MAC地址过滤策略为"拦截"
注意：请不要对路由器等MAC-IP地址转换设备进行绑定
Active Wall 网关过滤软件是以IP地址为依据鉴别局域网用户，因此Active Wall能支持跨网段管理。

在管理单一网段的情况下，为防止用户随意更改IP地址，建议启用MAC-IP绑定功能。

在管理多个网段的情况下，由于MAC地址无法和IP地址一一对应，请不要绑定MAC-IP地址。

另外：如果您的网络采用了DHCP服务器自动分配IP地址，请在DHCP服务器中为每个MAC地址指定固定的IP地址，再启用MAC-IP绑定。

MAC地址与IP地址绑定

MAC地址与IP地址绑定1引言大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略，这是非常危险的。

本文将讨论这个问题。

这里需要注意的是，本文关注的是MAC和IP地址绑定策略的安全性，不具有任何黑客性质。

1.1为什么要绑定mac与ip地址影响网络安全的因素很多。

IP地址盗窃或地址欺骗是常见且有害的因素之一。

在现实中，许多网络应用都是基于IP的，比如流量统计、账户控制等，都将IP地址作为标记用户的重要参数。

如果有人窃取了合法地址并假装是合法用户，网络上传输的数据可能会被破坏、窃听，甚至被盗用，造成无法弥补的损失。

盗用外部网络的ip地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围，不属于该ip地址范围的报文将无法通过这些互连设备。

但如果盗用的是ethernet内部合法用户的ip地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于ethernet内部的ip地址被盗用，当然也有相应的解决办法。

绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。

1.2mac与IP地址的绑定原则ip地址的修改非常容易，而mac地址存储在网卡的eeprom中，而且网卡的mac地址是唯一确定的。

因此，为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip地址，以获得权限外的信息)，可以将内部网络的ip地址与mac地址绑定，盗用者即使修改了ip地址，也因mac地址不匹配而盗用失败：而且由于网卡mac地址的唯一确定性，可以根据mac地址查出使用该mac地址的网卡，进而查出非法盗用者。

目前，许多单位的内部网络，尤其是校园网，都采用了MAC地址和IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）也在MAC地址和IP地址之间内置绑定功能，以防止网络内的IP地址被盗。

从表面上看来，绑定mac地址和ip地址可以防止内部ip地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，mac地址与ip地址的绑定存在很大的缺陷，并不能真正防止内部ip地址被盗用。

2-2 二层IP-MAC绑定操作说明

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

IP与MAC地址绑定将非法无线网络接入者拒之门外-3页精选文档

IP与MAC地址绑定将非法无线网络接入者拒之门外伴随网络的普及与信息技术的发展,教育部门对教育软、硬件的财政投入逐年增大,学校办公的信息化与无纸化,以及教学活动从传统媒体逐步向现代媒体过渡,网络在所有这些活动中越来越起着不可替代的作用。

由于学校不少教师都在使用笔记本电脑,因而上网方式从过去的有线向局域无线方式转变,这就给学校的网络管理尤其是无线网络的安全提出更高的要求。

学校的有线网络相对来说是在一个封闭的系统,它的安全保障可以通过在学校局域网络与因特网(Internet)接入点上安装必要的软、硬件防火墙,给电脑操作系统安装必要的杀毒软件,以及学校网络管理员对其进行的日常维护等措施来实现。

但对于学校的局域无线网络来说,由于它在一定的区域内是个开放的系统,它的安全保障除了采取与学校有线网络相同的措施外,还面临一个很重要的安全问题,即非法接入。

学校在给教师提供方便快捷的无线上网的同时,也给非法接入者的入侵提供了可能。

虽然学校在提供无线上网方式的时候设置了密码,用户在通过无线方式接入校园网时需要提供密码来验证身份的合法性,但这种“密码”对非法入侵者来说根本不是什么障碍,他们可以通过各式各样的软、硬件(如密码破解软件、黑客攻击软件、蹭网卡等)轻易地将其破解,然后堂而皇之地进入学校网络系统,进行他们的“非法”活动,占用带宽,非法浏览、修改,甚至删除学校服务器的数据,借用学校的IP发表不负责任的言论,甚至做出一些违法犯罪行为等。

面对非法入侵者如此的猖獗活动,应该如何保证学校无线网络的安全呢?IP与MAC地址绑定,将非法无线网络接入者拒之“门”外是最经济、有效的方式。

下面就以TP-LINK TL-WR741小型无线路由为例,说明如何进行IP与MAC地址绑定。

为了能够对接入校园网的无线用户通过学校的路由与防火墙进行有效的管理,诸如带宽管理、流量控制等,应将无线路由以无线交换机的方式接入校园网络中(网线接在LAN口上),这时的无线路由在网络中起到无线交换机的作用。

ip与mac地址的绑定命令

ip与mac地址的绑定命令ARP -s 192.168.0.2 00-EO-4C-6C-08-75这样，就将你上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了。

怎样用命令把IP地址与MAC地址绑定CISCO交换机或路由器上绑定IP和网卡的硬件地址网卡的MAC地址通常是惟一确定的，在路由器中建立一个IP地址与MAC地址的对应表，只有“IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答，来控制IP-MAC不匹配的主机与外界通讯，达到防止IP地址的盗用。

比如局域网某一用户的IP地址为：202.196.191.190，MAC地址为：0010.40bc.b54e，在Cisco 的路由器或交换机的路由模块上使用命令：router(config)# arp 202.196.191.190 0010.40bc.b54e arpa把该IP地址与MAC地址进行绑定，若有人盗用该IP地址，因其MAC地址的唯一性，使得IP地址与MAC地址不匹配而盗用失败．对于哪些未分配的IP地址，我们可以为其绑定一个MAC地址,比如，0000.0000.0000，使其不被盗用．比如：202.196.190.119未被使用，通过以下命令把其绑定起来．router(config)# arp 202.196.191.190 0000.0000.0000 arpa总结：通过使用MAC地址和IP地址可以有效的防止IP地址被盗用的情况，虽然在前期收集用户MAC地址的时候比较麻烦，但是建立这样的机制能够为用户在管理网络时带来很多的方便。

所以，我们在构建网络的初期就应该将局域网内机器的MAC地址信息收集起来，为我们今后的网络管理工作带来便利！如果是Windows 98/Me，则运行“winipcfg”，在对话框看的IP地址就是，而“适配器地址”就是网卡的MAC地址。

而如果是Windows 2000/XP系统，则要在命令提示符下输入“ipconfig /all”。

IP与MAC绑定

１、IP与MAC绑定的难题问：我的计算机原来采用公网固定IP地址。

为了避免被他人盗用，使用“arp -s ip mac”命令对MAC地址和IP地址进行了绑定。

后来，由于某种原因，又使用“arp -d ip mac”命令取消了绑定。

然而，奇怪的是，取消绑定后，在其他计算机上仍然不能使用该IP地址，而只能在我自己的计算机上使用。

需要说明的是，我的计算机并不是代理服务器。

答：虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的ARP 缓存中包含一个或多个表，用于存储 IP 地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

另外，需要注意的是，通过“-s”参数添加的项属于静态项，不会造成ARP缓存超时。

只有终止TCP/IP协议后再启动，这些项才会被删除。

所以，即使你取消了绑定，在短时间内其他计算机将仍然认为你采用的是原有IP地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址将数据发送至目的计算机。

当绑定IP与MAC地址后，只要与交换机通讯过，交换机就会记录下该MAC地址。

这样一来，即使后面有人使用了相同的IP地址，将依然不能与网关通讯，更连不通外面了，除非重新启动交换机、清除MAC表，或者MAC地址表超过了指定的老化时间。

２、网络经常瘫痪是为何问：网吧有70多台计算机，网络每天都会瘫痪一到三次。

通常情况下，只需将一级交换机的网线全部拔出后再连上，即可恢复正常，而有时则不得不重启一下交换机。

把原来的10Mbps的网卡更换为10/100Mbps网卡后，有近一个星期的时间网络没有瘫痪。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

怎么破解路由器绑定ip和mac？对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。

在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。

1.1 为什么要绑定MAC与IP 地址影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。

现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将 IP地址作为标志用户的一个重要的参数。

如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。

但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于Ethernet内部的IP 地址被盗用，当然也有相应的解决办法。

绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败：而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。

从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

2 破解MAC与IP地址绑定策略2.1 IP地址和MAC地址简介现行的TCP/IP网络是一个四层协议结构，从下往上依次为链路层、网络层、传输层和应用层。

Ethernet协议是链路层协议，使用的地址是MAC地址。

MAC地址是Ethernet 网卡在Ethernet中的硬件标志，网卡生产时将其存于网卡的EEPROM中。

网卡的MAC地址各不相同，MAC地址可以唯一标志一块网卡。

在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。

Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。

IP协议应用于网络层，使用的地址为IP地址。

使用IP协议进行通讯，每个IP报文头中必须含有源IP和目的IP地址，用以标志该IP报文的发送端和接收端。

在Ethernet上使用IP协议传输报文时，IP报文作为Ethernet 报文的数据。

IP地址对于Ethernet交换机或处理器是透明的。

用户可以根据实际网络的需要为网卡配置一个或多个IP地址。

MAC地址和IP地址之间并不存在一一对应的关系。

MAC地址存储在网卡的EEPROM中并且唯一确定，但网卡驱动在发送Ethernet 报文时，并不从EEPROM中读取MAC地址，而是在内存中来建立一块缓存区，Ethernet报文从中读取源MAC地址。

而且，用户可以通过操作系统修改实际发送的Ethernet报文中的源MAC地址。

既然MAC地址可以修改，那么MAC地址与IP地址的绑定也就失去了它原有的意义。

2.2 破解方案下图是破解试验的结构示意图。

其内部服务器和外部服务器都提供Web服务，防火墙中实现了MAC地址和IP地址的绑定。

报文中的源MAC地址与1P地址对如果无法与防火墙中设置的MAC地址与1P地址对匹配，将无法通过防火墙。

主机2和内部服务器都是内部网络中的合法机器；主机1是为了做实验而新加入的机器。

安装的操作系统是W2000企业版，网卡是3Com的。

试验需要修改主机1中网卡的 MAC和IP地址为被盗用设备的MAC和IP地址。

首先，在控制面板中选择“网络和拨号连接”，选中对应的网卡并点击鼠标右键，选择属性，在属性页的“常规”页中点击“配置”按钮。

在配置属性页中选择“高级”，再在“属性”栏中选择“Network Address”，在“值”栏中选中输人框，然后在输人框中输人被盗用设备的MAC地址，MAC地址就修改成功了。

然后再将IP地址配置成被盗用设备的IP地址。

盗用内部客户机IP地址：将主机1的MAC地址和IP地址分别修改为主机2的MAC地址和IP地址。

主机1可以访问外部服务器，能够顺利地通过防火墙，访问权限与主机2没有分别。

而且，与此同时主机2也可以正常地访问外部服务器，完全不受主机1的影响。

无论是主机2还是防火墙都察觉不到主机1的存在。

主机1如果访问内部服务器，根本无需通过防火墙，更是畅通无阻了。

盗用内部服务器IP地址：将主机1的MAC地址和U地址修改为内部服务器的MAC地址和IP地址。

主机1也提供Web服务。

为了使效果更明显，主机1上提供的Web服务内容与内部服务器提供的内容不同。

因为在实际的实验中主机1与主机2连在同一个HUB上，主机2的访问请求总是先被主机1响应，主机2期望访问的是内部服务器，得到的却总是主机1提供的内容。

更一般地，主机2如果试图访问内部服务器，获得的到底是主机1提供的内容还是内部服务器提供的内容具有随机性，要看它的访问请求首先被谁响应，在后面的分析中我们将进一步对此进行阐述。

盗用服务器的MAC和IP危害可能更大，如果主机1提供的Web内容和内部服务器中的内容一样，那么主机2将无法识别它访问的到底是哪个机器；如果Web内容中要求输人账号、密码等信息，那么这些信息对于主机1来说则是一览无遗了。

3 破解成功的原因上面的实验验证了绑定MAC地址与IP地址的确存在很大的缺陷，无法有效地防止内部IP地址被盗用。

接下来，将从理论上对该缺陷进行详细的分析。

缺陷存在的前提是网卡的混杂接收模式，所谓混杂接收模式是指网卡可以接收网络上传输的所有报文，无论其目的MAC地址是否为该网卡的MAC地址。

正是由于网卡支持混杂模式，才使网卡驱动程序支持MAC地址的修改成为可能；否则，就算修改了MAC地址，但是网卡根本无法接收相应地址的报文，该网卡就变得只能发送，无法接收，通信也就无法正常进行了。

MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。

Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。

网卡初始化的时候将EEPROM中的内容读入到该缓存区。

如果将该缓存区中的内容修改为用户设置的MAC地址，以后发出去的Ethernet报文的源地址就是修改后的MAC 地址了。

如果仅仅是修改MAC地址，地址盗用并不见得能够得逞。

Ethernet是基于广播的，Ethernet网卡都能监听到局域网中传输的所有报文，但是网卡只接收那些目的地址与自己的MAC地址相匹配的Ethernet报文。

如果有两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不只接收到自己需要的内容，而且还会接收到目的为另外一台同MAC主机的内容。

按理说，两台主机因为接收了多余的报文后，都应该无法正常工作，盗用马上就会被察觉，盗用也就无法继续了；但是，在实验中地址被盗用之后，各台实验设备都可以互不干扰的正常工作。

这又是什么原因呢?答案应该归结于上层使用的协议。

目前，网络中最常用的协议是TCP/IP协议，网络应用程序一般都是运行在TCP 或者UDP之上。

例如，实验中Web服务器采用的HTTP协议就是基于TCP的。

在TCP或者UDP中，标志通信双方的不仅仅是IP地址，还包括端口号。

在一般的应用中，用户端的端口号并不是预先设置的，而是协议根据一定的规则生成的，具有随机性。

像上面利用IE来访问Web服务器就是这样。

UDP或者TCP的端口号为16位二进制数，两个16位的随机数字相等的几率非常小，恰好相等又谈何容易?两台主机虽然MAC地址和IP地址相同，但是应用端口号不同，接收到的多余数据由于在TCP/UDP层找不到匹配的端口号，被当成无用的数据简单地丢弃了，而TCP/UDP层的处理对于用户层来说是透明的；所以用户可以“正确无误”地正常使用相应的服务，而不受地址盗用的干扰。

当然，某些应用程序的用户端口号可能是用户或者应用程序自己设置的，而不是交给协议来随机的生成。

那么，结果又会如何呢?例如，在两台MAC地址和IP地址都相同的主机上，启动了两个端口相同的应用程序，这两个应用是不是就无法正常工作了呢?其实不尽然。

如果下层使用的是UDP协议，两个应用将互相干扰无法正常工作。

如果使用的是TCP协议，结果就不一样了。

因为TCP是面向连接的，为了实现重发机制，保证数据的正确传输，TCP引入了报文序列号和接收窗口的概念。

在上述的端口号匹配的报文中，只有那些序列号的偏差属于接收窗口之内的报文才会被接收，否则，会被认为是过期报文而丢弃。

TCP协议中的报文的序列号有32位，每个应用程序发送的第一个报文的序列号是严格按照随机的原则产生的，以后每个报文的序列号依次加1。

窗口的大小有16位，也就是说窗口最大可以是216，而序列号的范围是232，主机期望接收的TCP数据的序列号正好也处于对方的接收范围之内的概率为1/216，可谓小之又小。

TCP的序列号本来是为了实现报文的正确传输，现在却成了地址盗用的帮凶。

4 解决MAC与IP地址绑定被破解的方法解决MAC与IP地址绑定被破解的方法很多，主要以下几种。

交换机端口、MAC地址和IP地址三者绑定的方法；代理服务与防火墙相结合的方法；用PPPoE协议进行用户认证的方法；基于目录服务策略的方法；统一身份认证与计费软件相结合的方法等（这些方法的实现原理和过程可以参考拙作《校园网IP地址盗用解决方案》）。

在这里笔者尤其推荐最后一种方法，这种方法是将校园网办公自动化系统和网络计费软件结合在一起而实现的，这在校园网信息化建设的今天具有很强的实践性。

对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。