防范ARP欺骗 让路由器能够先天免疫

2008-02-23 07:22:03来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  目前ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。现在已知的ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

  ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

  第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

  一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

  作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。

  方法是有效的,但工作很繁琐,管理很麻烦。每台PC绑定本来就费力,在路由器中添加、维护、管理那么长长的一串列表,更是苦不堪言。一旦将来扩容调整,或更换网卡,又很容易由于疏忽造成混乱。如果您有所担心,那么不妨选用欣向网吧路由IXP机种,它可以使您宽心一些。因为欣向路由器根本不需要IP-MAC绑定,没有那长长的一串地址表。对付ARP,您只要做PC的单向绑定就可以了。该路由能够有效拒绝ARP对网关的欺骗,它是先天免疫的!

  欣向路由的ARP先天免疫取决于它的二个有力的技术措施。一是独特的NAT处理机制,二是网关的主动防范机制。

  产品对NAT的处理不同于通用协议栈的方式,它在原有的网络协议基础上,进行了强化、保护和扩容。虽然NAT是标准的网络协议,但实现方法可以各显其能,保证殊途同归就行。ARP欺骗只对公开的、通用的系统起作用,它利用了通用系统工作方式上的漏洞,而对NAT实现机制却无能为力,因为NAT设计了强有力的保护字段。这就是欣向路由能够对ARP先天免疫的原理。

  另外,为对抗假冒网关的ARP欺骗,产品设计了网关的ARP广播机制,它以一个可选定的频次,向内网宣布正确的网关地址,维护网关的正当权益。在暂时无法及时清除ARP病毒,网管员还没有做PC上的IP-MAC绑定时,它能在一定程度上维持网络的运行,避免灾难性后果,赢取系统修复的时间。这就是ARP主动防范机制。

  不过,如果不在PC上绑定IP-MAC,虽然有主动防范机制,但网络依然在带病运行。因为这种ARP是内网的事情,是不通过路由器的。让路由器插手只能做到对抗,不能根绝。ARP太猖獗时,就会发生时断时续的故障,那是主动防范机制在与ARP欺骗进行拉锯式的斗争。为此,产品还专门提供了一个ARP欺骗侦测、定位、防范的工具软件,免费发放给所有的网吧,帮助网管员们发现ARP欺骗的存在,为清除ARP欺骗源提供工作辅佐,并加入了欣向主动防范机制,有效对付ARP欺骗。

  尽管如此,仍然提醒广大的网吧网管员,为了一劳永逸,还是费点力为每台PC做IP-MAC绑定吧,这样可以彻底根除ARP欺骗带来的烦恼。况且,路由只需要单向绑定,已经为您省去了另一半更繁琐的工作,并且设置时不需要重启路由器断网。路由器本身不怕ARP,您再做好PC上的绑定,让PC也不怕ARP,双管齐下,您的网吧就可以高枕无忧了。

关键词:
【推荐给好友】【关闭】
最新五条评论
查看全部评论
评论总数 0 条
您的评论
用户名: 新注册) 密 码: 匿名:
·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:江民发布MSN性感相册病毒技术分析报告

下一篇:针对当今世界最大IT安全威胁的六条对策