在局域网中,通信前必须通过ARP 协议来完成IP 地址转换为第二层物理地址(即MAC 地址)。ARP 协议对网络安全具有重要的意义。通过伪造IP 地址和MAC 地址实现ARP 欺骗,对网络的正常传输和安全都是一个很严峻的考验。 目前知道的带有ARP 欺骗功能的软件有“QQ 第六感”、“网络执法官”、“P2P 终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了 ARP 攻击的杀伤力。 从影响网络连接通畅的方式来看,ARP 欺骗有两种攻击可能,一种是对路由器 ARP 表的欺骗;另一种是对内网电脑 ARP 表的欺骗,当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC 地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP 表会重建,如果 ARP 攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该 ARP 协议本身的问题。我们来看看如何来防止ARP 欺骗。 上面也已经说了,欺骗形式有欺骗路由器ARP 表和欺骗电脑 ARP 两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP 表被恶意的ARP 数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP 表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止 ARP 欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。 我司路由器上主要的IP 与 MAC 地址绑定的方式有两种,普通绑定与强制绑定。SOHO 级路由器上主要进行的是普通绑定,企业级的路由器上有普通绑定,也有强制绑定。 普通绑定是在路由器上记录了局域网内计算机 MAC 地址对应的IP 地址,建立了一个对应关系,不会受到 ARP 欺骗,导致无法正常通讯。对于没有进行 IP 与 MAC 地址绑定的计算机就可能受到 ARP 攻击。SOHO 级路由器普通绑定只是设置了一个IP 与 MAC 的对应关系,若计算机更改了其 IP 地址,路由器仍然能进行 ARP 映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯;而企业级路由器在普通绑定之后 IP 和MAC 地址就...
