【IT168 资讯】春节是中华民族的传统佳节，这个时候，也正是酒店行业所重视的消费黄金期，大家走亲访友、春节出游都免不了到酒店住上一晚。酒店行业这个时候除了推出一系列节日优惠入住方案，让大家感受到温馨的节日气氛外，可不要忽视了酒店网络系统的安全与稳定，特别是酒店行业经常会遇到的ARP欺骗，因为这同样可以影响到酒店的声誉与入住率。

　　艾泰科技作为国内领先的中小型网络解决方案提供商和服务商，在春节黄金期间，为酒店行业量身打造了酒店网络系统ARP解决方案，帮助酒店行业在春节期间，赚取丰厚利润。

　　首先让我们先来认识下，什么是ARP欺骗。

　　1、什么是ARP欺骗?

　　1) 从影响网络连接通畅的方式来看，ARP欺骗分为二种：一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

　　2) 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

　　3) 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

　　2、ARP欺骗的典型症状?

　　ARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP病毒停止发作时，用户会恢复从路由器上网，切换过程中用户会再断一次线。此时网络管理员对每台机器使用“arp –a”命令来检查ARP表发现路由器的MAC地址被修改，这就是ARP病毒攻击的典型症状。

　　目前ARP病毒已经与DDoS攻击相容合，采用了flood方式攻击其他IP地址，并可以在局域网内互相感染，严重时可造成整个网络瘫痪。

　　近段时间，国内网吧、企业、酒店等行业大都出现过由于ARP病毒引起的断线(全断或部分断线)的现象，由于该病毒变种太多，传播速度太快，国内外的反病毒厂商都没有很好的办法来解决ARP病毒问题。

　　在上述行业里，尤其是酒店行业不同于网吧和企业，因为，在酒店客房里的主机是不断变化的，这就意味着遭遇ARP欺骗时，不可能通过IP与MAC地址绑定的传统方法解决此问题，所以，针对使用HiPER路由器的酒店用户特提出以下解决方案：

　　方案一：

　　升级到艾泰科技最新推出ReOS 2009版本，可以做到酒店客人上线时，其IP/MAC被自动绑定，酒店客人下线时，其IP/MAC绑定在一定时间内被自动删除的功能。

　　1、 启用HiPER的DHCP功能;

　　2、 登录页面基本配置—DHCP和DNS配置页面，勾选启用DHCP自动绑定和自动删除，如图所示：

　　3、 为了达到双向绑定的效果，请在WEB页面—安全配置—基本选项中选中“启用ARP欺骗防御”并保存，默认情况下已经启用。

　　方案二：

　　采用双向绑定的方法解决并且防止ARP欺骗。

　　首先，在PC上绑定路由器的IP和MAC地址。

　　方法①：可直接在HiPER路由器高级配置-IP/MAC绑定页面点击导出ARP绑定脚本文件，将这个批处理软件拖到“windows开始―程序―启动”中，每次PC机启动自动加载该批处理文件。

　　方法②：可编写一个批处理文件rARP.bat内容如下：

　　@echo off

　　ARP –d

　　ARP –s 内网网关IP地址 内网网关MAC地址

　　将这个批处理软件拖到“windows开始―程序―启动”中，每次PC机启动自动加载该批处理文件。

　　缺点： 一旦ARP变种病毒采用flood攻击，到达一定强度后，该防御失效。

　　然后，在路由器上绑定用户主机的IP和MAC地址。

　　备注：方案二的双向绑定实施后可以从路由器WEB页面—安全配置—ARP欺骗防御页面关闭方案一中的ARP广播功能。

　　该方案二如果针对酒店的话，因客房PC的MAC地址经常变动，无法从路由器绑定客房PC的IP/MAC地址，所以建议每间客房按照一定次序均设置固定IP，然后每个客房PC设好固定IP后，可从酒店一台服务器的共享文件夹中下载导出ARP绑定脚本文件到本机的桌面上，当房客上网或受到ARP欺骗时只需在本机桌面上双击该批处理文件即可。

　　方案三：

　　采用艾泰科技新推出的PPPoE Server方法解决并且防止ARP欺骗。

　　对以太网有所认识的人都知道，ARP表是每台设备(电脑)的MAC地址和IP地址的关系对应表。如果设备需要在局域网中利用TCP/IP协议进行通信的话，必须有这样一张ARP表。ARP表是每台设备(电脑)自行维护的，而ARP表的数据，是来自于开放的“ARP广播”机制，由每台设备在网上广播自己的IP/MAC地址的对应关系来做到的。

　　虽然使用下层设备和上层设备做双向绑定可解决ARP欺骗所造成的断网现象，但是此方式的缺陷是在网络内ARP数据包乱飞，影响网络质量，而且在用户多的情况下，用户端绑定不利于实施，仅适用于小型网络。在此我们推荐使用HiPER路由器最新推出的PPPoE Server方式上网，PPPoE不使用ARP协议，也就不会产生ARP，而且PPPoE不会改变原来的局域网拓扑结构，它是PPP在以太网上的二次封装。并且通过HiPER建立的PPPoE Server帐号在任何情况下都可以限制给若干个用户使用，既可内网全部机器使用一个账号上网也可通过MAC绑定使每个账号只允许一个或几个PC拨号上网。

　　HiPER PPPoE Server端配置步骤：

　　1、 进入WEBUI -PPPoE服务器配置页面，启用PPPoE 服务器，并设置PPPoE分配的地址池范围和主备DNS地址的设置，如图所示：

　　2、 设置PPPoE Server所分配的账号名和密码，以及账号限速绑定MAC等配置，如图所示：

　　至此，服务端设置一个PPPoE账号的配置就结束了。