在以太网中，一个未经授权的用户只要能接到网络设备上，他就可以没有任何阻碍地进入网络。随着对校园网络“安全，公平，有序”的运行要求，越来越多的高校采用了802.1x、Web Portal等技术实现网络的接入控制。

 802.1认证带来的问题

802.1x认证技术实际上是一种对MAC地址的控制，是一种“认证后不管”的认证方式，只有用户连接的初始阶段使用用户名和密码进行认证，以后只使用用户机器的MAC地址判断是否为合法用户。这样就产生一个问题，由于现在计算机操作系统都提供任意修改本机MAC地址的功能，所以基于MAC地址的认证就是很不安全的了。

 MAC地址盗用及其危害

“MAC地址盗用”是指无合法账号的用户不需要客户端软件进行初始阶段的用户名/密码认证，而是通过一个已由某个合法用户打开而且尚未关闭（合法用户尚未退出）的交换机端口进行网络通信（当然，在这种情况下是需要一个合法用户进行配合的）。而这样的“影子”用户需要将自己计算机的MAC地址改成和这个合法用户计算机的MAC地址相同。这是因为合法用户经过用户名/密码的认证后，他的MAC地址就已经被该交换机端口认为是合法的了，即该端口已经对于该MAC地址处于打开状态了（而对“影子”用户的原有MAC地址则关闭），而随后连到这个相同交换机端口下（可使用HUB）的“影子”用户只要使用同样的MAC地址，再找到一个空闲可用的IP地址就可以不需要认证而直接对外通信了（见图1）。

MAC地址盗用会造成以下危害：

1.逃避缴费，造成学校经济损失。MAC地址盗用首先使宿舍网的收费出现严重的流失，目前我校有效账号为15,000个，而根据我们对学生拥有电脑比率的了解，实际上网学生人数至少应在30,000人以上。增大了网络设备的损耗和经济损失。

2.侵犯合法用户的权益。理论及事实证明，影子用户的存在会使得合法用户的网络访问受到影响，这种“影子”用户常常3、4人共用一台Hub上网，又使用同样的MAC地址，使得实际的网络使用质量低下，助长了广播风暴、各种病毒的传播肆虐。

3.不安全事件发生后，无法追查到人，查到的源IP地址其实上是合法用户的源IP，如果是盗用形式的影子用户，真正的肇事者是追查不到的。

 解决方案

根据对MAC地址盗用的描述，可以看出MAC地址盗用的几个必要条件：

1.“影子”用户上网时必须有一个与之连接相同交换机端口（同一宿舍）的合法用户先认证并与“影子”用户同时在线，才能保证“影子”用户的正常上网。

2.“影子”用户必须根据合法用户的MAC地址来修改自己的MAC地址。

3.认证交换机除了初始阶段使用用户名/密码认证一次以外，其余过程都是基于MAC地址认证。

4.“影子”用户可以找到与合法用户相同IP地址范围的空闲可用的IP地址。