在公司中，经常有一些事情令网管很头痛，IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址，一般可以采用如下方法：

1. 首先登记所有机器的网卡物理地址，即网卡的MAC地址。

2. 以后如果发现有IP地址被盗用，先使用Ping命令Ping相应的IP地址。

3. 然后用Arp -a命令查看当前的Arp解析表，从中获得对方网卡的MAC地址。

4. 检查网卡MAC地址列表，确定机器位置。

但随着网络蠕虫病毒的流行和网络攻击的增多，许多计算机上都安装了防火墙软件，从而使得单纯的Ping命令失效。如果盗用IP的这台机器安装了防火墙软件并且把所有端口都关闭的话，这台机器就仿佛从网络上消失了一样，你无法用正常的方法去访问到它，从而也就无法知道它的具体位置。

解决问题的思路：

用户使用网络，访问网络上的资源，就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话，就有可能找出特定用户的位置。

解决方案：

经过对各种方法的测试，笔者发现有一种方法可以在机器安装了防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址，从而确定它的物理位置。

首先安装Sniffer Pro，它是一个网络监测软件，可以监测到网络上面流动的数据，安装好后运行该软件，单击工具条最左边的“开始”按钮，启动探测功能。

此时屏幕上会出现一个窗口，显示当前发现的机器列表和相应的参数，其中有一项“DLC Station”指的就是机器网卡的MAC地址，如图所示：

Sniffer Pro的Expert对话框

找到被盗用的IP地址所对应的网卡MAC地址，就可以顺藤摸瓜查到这台机器究竟是哪台了。
北京晚报讯（记者邵泽慧）微软宣布要从下周一起对盗版XP进行强制黑屏验证没过多久，网上就冒出了多个破解黑屏的办法。除了建议盗版用户选择关闭更新外，还有网友公布了删除验证项的办法。

　　大多数使用盗版XP的网友对微软的这个强制验证办法感到是“小菜一碟”。一位网友说，微软此举可归为常规性不定期“恐吓”，此举也是对于盗版的无奈。一位使用正版XP的网友竟然表示，“感谢微软一小时黑一次屏，充分考虑到用户长期坐在电脑旁的危害性，让用户适当休息一下，很人性化。我现在用的正版，明天改为盗版，也体验一下一小时黑一次屏。”cheap wow gold

　　一位网友不解地问，既然是打击盗版，微软为什么不干脆直接启动验证，而是广而告之，感觉是让盗版用户有所准备来应对验证。

　　记者咨询业内人士得知，盗版XP在国内很泛滥，除了个人用户外，一些小公司也在使用盗版软件，如果在出其不意的情况下让电脑出现黑屏情况，多少会给大家带来恐慌并造成工作不便。而微软则一再强调此举是为了帮助那些在不知情的情况下安装和使用盗版软件的用户免受侵害。

　　又讯（记者贾中山）金山软件董事长求伯君昨天表示，支持软件正版化，但微软的手段有待商榷。金山WPS软件个人版永久免费，将来也不会用技术“威胁”用户，迫使用户使用正版。

　　与微软恩怨纠结20年的金山，此次被看成是翻身的最佳时机械表调校器来临。求伯君建议用户，无论从保证使用的角度还是从维护尊严的角度，此时可以下载WPS Office软件，个人版使用完全免费。

说到交换机和路由器有的则根本搞不清楚它们各自到底有什么用，而有的则是弄不清它们之间的到底有什么区别，特别是在各媒体大肆宣扬三层交换机的“路由”功能的背景下。其实说到这里，我自己也不得不承认，现在交换机与路由器区别是越来越模糊了，它们之间的功能也开始相互渗透。
不仅三层交换机具有了部分原来独属于路由器的“路由”功能，而且现在宽带和高端企业级路由器中也开始兼备交换机的“交换”功能了。可谓是相互渗透，于是有人就预言，将来交换机和路由器很可能会合二为一，笔者也坚信这一点。
因为现在从技术上看，实现这一目标根本没有太大难度，同时对用户来说也是迫切需求的。一方面可以简化网络结构，另一方面用户不必购买两种价格那么昂贵的设备，何乐而不为呢?但就目前来说，它们之间还是存在着较大区别的，当然这不仅体现在技术理论上，更主要体现在应用上。本文就要全面向大家解读交换机与路由器在应用的主要区别。

一、 交换机的星形集中连接

我们知道，交换机的最基本功能和应用就是集中连接网络设备，所有的网络设备(如服务器、工作站、PC机、笔记本电脑、路由器、防火墙、网络打印机等)，只要交换机的端口支持相应设备的端口类型都可以直接连接在交换机的端口，共同构成星形网络。基本网络结构如图1所示。在星形连接中，交换机的各端口连接设备都彼此平等，可以相互访问(除非做了限制)，而不是像许多刚涉入网管行列的朋友那样，认为连接在交换机的服务器是最高级的。

二、交换机的级联与堆栈

拓扑图:交换机的级联与堆栈

上图所示的仅是一个最基本的星形以太网架构，实际的星形企业网络比这可能要复杂许多。这复杂性不仅表现在网络设备如何高档，配置如何复杂，更重要的是表现在网络交换层次比较复杂。企业网络中的路由器和防火墙通常只需配备一个，但交换机通常不会只是一个(除了只有20个用户左右的小型网络)。如果用户数比较多，如上百个，甚至上千个，就必须依靠交换机的级联或者堆栈扩展连接了。但级联技术和堆栈技术也有所不同，它们的应用范围也不同。

交换机级联就是交换机与交换机之间通过交换端口进行扩展，这样一方面解决了单一交换机端口数不足的问题，另一方面也解决离机房较远距离的客户端和网络设备的连接。因为单段交换双绞以太网电缆可达到了100米，每级联一个交换机就可扩展100米的距离。但这也不是说可以任意级联，因为线路过长，一方面信号在线路上的衰减也较多，另一方面，毕竟下级交换机还是共享上级交换机的一个端口可用带宽，层次越多，最终的客户端可用带宽也就越低(尽管你可能用的是百兆交换机)，这样对网络的连接性能影响非常大，所以从实角度来看，建议最多部署三级交换机，那就是核心交换机-二级交换机-三级交换机。

这里的三级并不是说只能允许最多三台交换机，而是从层次上讲只能三个层次。连接在同一交换机上不同端口的交换机都属于同一层次，所以每个层次又能允许几个，甚至几十个交换机级联。层级联所用端口可以是专门的UpLink端口，也可以是普通的交换端口。有些交换机配有专门的级联(UpLink)端口，但有些却没有。如果有专门的级联端口，则最好利用，因为它的带宽通常比普通交换端口宽，可进一步确保下级交换机的带宽。如果没有则只能通过普通交换端口级联了。

通过级联端口进行级联的方法如下图所示;

拓扑图:通过级联端口进行级联

而通过普通端口所进行的级联方法如下图所示。

拓扑图:通过普通端口所进行的级联

注意它们之间不仅所用端口不同，所采用的电缆也不一样:采用级联端口进行的级联，需采用普通直通线;而采用普通端口进行的级联电缆为交叉电缆，就像两台主机对连一样。

至于交换机的堆栈，就不是所有交换机都可以的，而是要具有堆栈模块的。交换机的堆栈不是通过交换端口进行的，而是通过专门的背板堆栈模块，采用专门的堆栈电缆进行的连接。而且要注意的是，因为交换机堆栈通常是放在同一位置，连接电缆也较短，所以交换机的堆栈的目的主要是用于扩充交换端口，而不是用于扩展距离的。

同时，交换机堆栈还可提高各实际使用的交换机端口可用带宽，因为它是把堆栈在一起的交换机的背板带宽聚集在一起，这样交换机堆栈的总背板带就是几台堆栈交换机的背板带宽之和。背板带宽提高后，如果交换机的每个端口都用上了，这一优势就不是很明显(也是有效果的，因为不可能每时每刻每个端口都同时通信)，但如果有交换机端口空余，效果会更明显，因为它可充分利用交换机的所有带宽。

堆栈连接如下图所示

图:堆栈连接

交换机的

由于最近天气闷热连连，各地还不断出现不同情况的灾情，更加增添了人们心头的烦燥。Qno侠诺技术服务部最近则发现，很多用户宽带接入持续遭受攻击影响。同时，不仅是以前常受到攻击的网吧，很多企业遭受到攻击影响的案例，也越来越多。Qno侠诺的技术服务部工程师们，根据实战服务经验总结最近攻击案例状况，与读者及用户分享。
最近常发生的攻击，可分为四大类别，分别为：ARP攻击、内网IP欺骗、内网攻击、及外网流量攻击四种不同型式。对于不同的攻击的详细介绍，在Qno侠诺官方网站的技术文章中，都有详细介绍及预防措施，对于遭受单一攻击的用户了解细节，有相当的帮助。
以下针对不同攻击现象及解决方式，作简单的说明，让企业与网吧的网管们，能够得到全面性的了解，进提高防范意识，以便能够更好的为单位服务！

ARP攻击

ARP攻击自2006年起，就开始普及。一开始ARP攻击是伪装成网关IP，转发讯息，盗取用户名及密码，不会造成掉线。早期的ARP攻击，只会造成封包的遗失，或是Ping值提高，并不会造成严重的掉线或是大范围掉线。

在这个阶段，防制的措施是以ARP ECHO指令方式，可以解决只是为了盗宝为目的传统ARP攻击。对于整体网络不会有影响。
但是在ARP ECHO的解决方法提出后，ARP攻击出现变本加厉的演变。新的攻击方式，使用更高频率的ARP ECHO，压过用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢，或占用网关运算能力，发生内网很慢或上网卡的现象。如果严重时，经常发生瞬断或全网掉线的情况。
要解决这种较严重的ARP攻击，到现在为止最简单有效的方法仍属于Qno侠诺于2006年10月提出的双向绑定方式，可以有效地缩小影响层面。近来有不同解决方法提出，例如从路由器下载某个imf文件，更改网络堆栈，但效果有限。有些解决方式则在用户与网关间建立PPPoE联机，不但配置功夫大，还耗费运算能力。虽然方法不但，大致都可以防制ARP的攻击。

内网IP欺骗

内网IP欺骗是在ARP攻击普及后，另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击现象，通常影响的计算机有限，不致出现大规模影响。

内网IP欺骗采用双向绑定方式，可以有效解决。先作好绑定配置的计算机，不会受到后来的伪装计算机的影响。因此，等于一次防制ARP及内网IP欺骗解决。若是采用其它的ARP防制方法，则要采用另外的方法来应对。

内网攻击

内网攻击是从内网计算机发出大量网络包，占用内网带宽。网管会发现内网很慢，Ping路由掉包，不知是那一台影响的。内网攻击通常是用户安装了外挂，变成发出攻击的计算机。有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

Qno侠诺对于内网攻击的解决方案，是从路由器判别，阻断发出网络包计算机的上网能力。因此用户会发现如果用攻击程序测试，立刻就发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致。正确的测试方法是用两台测试，一台发出攻击包给路由器，另一台看是否能上网。对于内网攻击，另外的防制措施是采用联防的交换机，直接把不正常计算机的实体联机切断，不过具备联防能力交换机的成本较高，甚至比路由器还贵。

外网流量攻击

外网攻击是从外部来的攻击，通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤，很容易就成为外网攻击的目标。同时又因为外网攻击经常持续变

换IP，也不容易加以阻绝或追查。它的现象是看内网流量很正常，但是上网很慢或上不了；观看路由器的广域网流量，则发现下载的流量被占满，造成宽带接入不顺畅。
外网流量攻击，可以用联机数加以辅助判断，但是不容易解决。有些地区可以要求ISP更换IP，但过几天后，就又来攻击了。有些用户搭配多条动态IP拨接的ADSL备援，动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为，可通知ISP配合执法单位追查，但现在看起来效果并不大。Qno侠诺也曾呼御相关主管单位加以重视，但并没有较好的响应。外网流量攻击成为现在是最难处理的攻击。

小结

以上，Qno侠诺技术服务部整理最近常见的攻击及解决之道，供网吧及企业网管参考。其实只要静下心来，按照以上说明，寻找相关的现象，找出原因，网络攻击并不是不能解决的。Qno侠诺及其它厂商都推出各种解决方案，用户稍用心就可以进行防制措施。

北京晚报讯（记者邵泽慧）微软宣布要从下周一起对盗版XP进行强制黑屏验证没过多久，网上就冒出了多个破解黑屏的办法。除了建议盗版用户选择关闭更新外，还有网友公布了删除验证项的办法。

　　大多数使用盗版XP的网友对