【IT168专稿】最近ARP攻击非常严重,无论是小区宽带,还是网吧中上网,都经常遇到过大面积的掉线,如同路由器死机一样,当重新启动路由器后就又可以正常上网,但说不定什么时候又出现上不了网的现象,其实这就是ARP欺骗攻击的结果。
从影响网络的方式来看,APR欺骗有两种攻击可能,一种是对路由器APR表的欺骗,另一种是对内网电脑ARP表的欺骗,当然也存在两种欺骗攻击同时进行的可能。我们知道在局域网中是通过ARP协定来完成IP地址转换为物理地址的,通过伪造IP地址与MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,这就造成了网络大面积的瘫痪,产生掉线现象。
通过上面的介绍,我们基本知道了ARP欺骗的两种方式,分别是欺骗路由器ARP表与欺骗电脑ARP两种,我们就可以从这两方面入手,首先设置路由器,来防止路由器的ARP表被恶意的ARP数据包更改,其次对电脑进行设置,来防止电脑的ARP表受恶意的更改,这两个方面的设置可以同时进行,从而保证网络畅通。
一、设置前的准备工作
为了防止ARP欺骗攻击,最后不要使用路由器的DHCP服务,获取动态IP的方式,因为这样电脑可能获取到的IP与MAC绑定条目不同的IP,使其不能够上网,在通过下面的设置后,每台电脑只有在使用指定的IP后方可上网,否则会出现无法上网的情况。首先我们把关闭路由器的DHCP服务,打开路由器的管理界面,依次点击“DHCP服务器/DHCP服务”,把状态由默认的“启动”更改为“不启动”,保存该项设置,并同时重新启动路由器。然后为每台电脑手动指定IP、网关与DNS服务器地址,保存并重新启动电脑。
二、设置电脑拒绝ARP欺骗攻击
首先我们在每一台电脑上把IP地址与MAC地址进行绑定,使该电脑的IP与MAC地址保持固定不变。
Windows系统中为我们提供了ARP命令,可以通过该命令实现IP与MAC地址绑定。首先使用“Arp -s 网关IP 网关MAC地址”的格式实现网关(即路由器)的ARP条目的静态绑定,如网关IP地址为192.168.1.1,MAC地址为00-0a-eb-d5-60-80,我们就可以输入arp –s 192.168.1.1 00-0a-eb-d5-60-80即可实现网关IP与MAC地址绑定(图1),可以通过Arp -a 命令来查看我们的绑定结果,可以看出该条目的Type类型为static,即表示该ARP条目是静态添加的。
图1 |
使用该方法设置好静态ARP条目后,每次重新启动电脑后就会丢失,需要再次手工输入上面的命令来防止ARP欺骗,操作非常的麻烦。我们可以手工建一个批处理文件,内容为我们刚才输入的命令(图2)。
图2 |
把其保存为BAT批处理文件,同时把该文件放到电脑的自启动项目中,这样电脑每次重新启动后都可以自动运行该命令,实现网关IP与MAC地址的绑定。