| 5.5. 如何防御ARP攻击,防止内网频繁瞬时掉线 ? | ||
|---|---|---|
 |
第 5 章 使用技巧 | 
|
| 5.5. 如何防御ARP攻击,防止内网频繁瞬时掉线 ? | ||
|---|---|---|
|
|
第 5 章 使用技巧 |
|
局域网内主机之间的通信是靠MAC地址来确定目标的。ARP协议又称“地址解析协议”, 它就是负责通过IP地址来查询目标主机的MAC地址,以保证通信的正常进行。
通常主机在发送一个的IP包之前,它要到ARP缓存中寻找和该IP对应的MAC地址,如果没有找到,该主机就发送一个ARP广播包,例如:
我是主机 192.168.1.2, mac是 00:11:22:33:44:55, ip为192.168.1.200的主机请告之你的mac
ip为192.168.1.200的主机响应这个广播,应答ARP广播为:
我是192.168.1.200, 我的mac为 00:12:34:56:78:90
192.168.1.2 接收到此广播后,就会刷新自己的ARP缓存,然后就可以向 192.168.1.200 发送数据包了。
在 Windows 下查看ARP缓存信息是通过DOS命令来完成的,点击“开始”菜单,选择“命令”,输入 cmd 即可进入命令提示符窗口。
在命令提示符窗口中键入 arp -a 可以查看ARP缓存中的内容,如:
在命令提示符窗口中键入 arp -d <IP地址> 或 arp -d 可以删除指定IP或全部的ARP缓存记录。
ARP病毒会向内网主机不断发送虚假的ARP数据包,从而导致其不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
不断弹出“计算机探测到IP地址与您的网卡物理地址发生冲突”的对话框
计算机不能正常上网,出现网络中断的症状,但是过一会儿又恢复正常,即“闪断”
目前大部分ARP攻击是为了窃取他人的私人信息,比如网游帐户密码、QQ密码等,通过ARP攻击,先造成内网主机暂时掉线,这样用户就需要重新登录,登录时相关的资料就会发送到伪造的网关(一般是攻击源)那里,然后攻击源就可以分析收到的数据包来获取其有价值的信息了。由于ARP缓存是有生存期的,等到ARP缓存过期了,ARP缓存表会被正确的网关刷新,故内网主机又可以正常上网了。
ARP攻击的防御最原始的办法是“双向绑定” +“ARP广播”,即:在路由上绑定客户机的IP和MAC地址,在客户机上绑定路由的IP和MAC地址,同时开启路由上的ARP广播,不停地广播正确网关的ARP信息。
步骤如下:
在客户机上绑定路由的IP和MAC地址
可以通过DOS命令,如 arp -s 192.168.101.1 00:a5:48:3f:9b:de 来实现绑定
在路由上绑定客户机的IP和MAC地址
进入路由的Web控制 ->“防火墙” ->“访问控制(ACL)” ->“MAC与IP绑定”,开启MAC与IP绑定,并将内网所有主机的IP和对应MAC地址加入到绑定列表中即可。
![[提示]](../images/admonition/tip.png) |
小技巧 |
|---|---|
您可以使用“ARP扫描”来一次将所有开机的计算机的IP和MAC地址全部自动扫到绑定列表中。 |
开启ARP攻击检测及ARP广播
如果您的网络频繁断线,可以开启“ARP攻击检测”来探测是否是ARP攻击所致,ARP攻击检测在“信息监测” -> “ARP & NAT” -> “ARP 攻击检测” 中进行设定。
此外,开启ARP广播可以在一定程度上缓解ARP攻击带来的影响,ARP病毒会广播“错误”的网关信息,而路由上开启了ARP广播后,会广播“正确”的网关信息,用来纠正内网主机ARP缓存表中的记录。
ARP广播在“接入设置” -> “网络接入” -> “局域网接口” 中进行设定,如下:
图中的“广播周期”或“每次数据包” 可以根据ARP攻击的严重程度适当进行调整。
但是由于ARP病毒的变种越来越多,目前这种“双绑” + “ARP广播”的方式只能“治标不治本”,无法完全、彻底解决ARP攻击问题。
终极解决之道:在内网每台主机安装ARP防护软件
海蜘蛛为解决ARP攻击及内网DoS/DDoS攻击问题,专门推出了“ARP神盾”防护工具,安装后,可以有效、彻底告别ARP攻击、掉线等问题。此软件需配合付费版(如VIP版/会员版/企业版等)免费使用。
|
|
 |
|
| 5.4. 4条线如何设置多线路负载 ? |  |
部分 II. 硬件需求 |