路由器对内网ARP的病毒防御解决方案

来源:本站原创 安全技术 超过620 views围观 0条评论

路由器在网吧应用中的现实情况往往是,路由换了一个又一个,网吧该掉还是掉,现实面前,网吧经营者们带着太多的疑惑和失望。下面我们来看看内网Arp欺骗影响网吧掉线的主要原因:

内网Arp造成掉线

Arp欺骗已经成为网络公害,几乎8成的网吧都发生过Arp攻击造成的掉线故障。Arp掉线是通过伪造MAC地址,欺骗路由、伪造网关进行的,其具体原理如下:

大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是欣联NATEASY路由器的内网IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NATEASY路由器的内部网,由NATEASY路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。

每台计算机在网络上,都存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,这个地址在一个网络内是唯一的,在一个正常的通讯过程中,这个地址是对应并且不应改变的,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过Arp去查询NATEASY路由器的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。

所以在每台PC上,都有Arp的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过Arp和RArp报文进行更新的。

目前在网络上的Arp病毒,会发送假冒的Arp报文,比如发送网关IP地址的Arp报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的Arp报文在网络中广播,所有的内部PC就会更新了这个IP和 MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。

这就是Arp地址欺骗,该病毒在一段时间内特别的猖獗。针对这种情况,防Arp地址欺骗的功能也相继出现在一些专业路由器产品上。

路由器对Arp病毒防御主要通过以下几种手段解决:

1、主动广播正确的网关地址,有很多路由器一接到网络上,就无法正常访问,这种情况一般是因为内网中有一台机器在伪造网关,不信的向内网其他机器发送虚假网关信息,有些的路由器支持广播正确网关地址的功能,只需勾取此功能,即可对以上第一种Arp欺骗进行防范。

2、提供IP地址和MAC地址双向绑定的功能,双向绑定能够彻底解决Arp病毒欺骗的问题。目前在市面上宣传有此功能的厂家不少,但是在实际测试过程中发现一般有以下几个问题:

1)有些品牌的路由器不提供自动扫描功能,这样需使用其他软件扫描后,再将对应的IP/MAC绑定表复制到路由器中,操作起来非常麻烦,且容易出错,一般人员无法进行。

2)有些品牌的路由器产品虽然提供了自动扫描功能,但其对所扫描的MAC地址不做判断,导致所扫描出来的MAC地址本身就有很多是重复的,同样解决不了Arp欺骗的问题。

3)一般的路由器在做双向绑定到100条左右路由器就会崩溃,出现频繁的掉线,重启等现象,这是因为软件算法不同造成的,而有些路由器在实际工作中绑定了300条以上照样非常稳定的工作。

3、病毒隔离功能。一般的宽带路由器并无此防范功能,有些带有病毒隔离功能的路由器智能的将内网“中毒”主机自动进行隔离免疫,有效的防止“一台机器中毒,整个网络遭殃”的局面出现。

4、内网广播风暴抑制,synFlooding,UDPFlooding的防御,外网的synFlooding、DDOS攻击防御。

5、有些路由器还支持自动扫描,并且能够对扫描的MAC地址进行判断,不会出现误扫的情况,因为这些路由器在实际使用过程中,绑定到300个以上的IP/MAC地址,同时做了300个以上的主机流控,仍然非常稳定的运行。

路由器对内网ARP的病毒防御的分析就是这么多内容,您在选择路由器时可根据本文内容进行参考,因为路由器的功能上存在差异,所以选择适合的路由是很重要的。

 

【责任编辑:liyan TEL:(010)68476606】

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=1411转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!