ARP攻擊:導致瞬間掉線和大面積斷網的罪魁禍首�����。在局域網中�����,通過ARP協議來進行IP地址(第三層)與第二層物理地址(即MAC地址)的相互轉換���。局域網中的一些設備如路由器�����、裝有TCP/IP協議的電腦等都提供ARP緩存表�,以提高通信速度�。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協議的這個特點來對網絡設備進行攻擊�����,通過偽造的MAC與局域網內的IP地址對應�,并修改路由器或電腦的ARP緩存表�,使得具有合法MAC的電腦無法與IP對應���,從而無法通過路由器上網����。在掉線重啟路由器后���,ARP緩存表會刷新����,網絡會在短時間內恢復正常����,待ARP攻擊啟動后�,又出現斷網現象���,如此反復��,很容易被誤斷為路由器“死機”�����,從而使得網絡管理員無法及時采取行動迅速恢復局域網���。
本次以TP-LINK 路由器TL-R4148為例��,介紹一下如何防范ARP攻擊:(大部分路由器大同小異�����,原理是一樣)
如果路由器上有“IP與MAC地址綁定”功能����,一般可以有效防范ARP攻擊���。在網絡正常時�,啟用IP與MAC地址綁定功能(如圖1)����,可將局域網內的每一臺電腦的MAC與內網IP建立一一對應的關系保存到ARP緩存表中(如圖2)����,此后���,局域網即使受到ARP攻擊也不能修改ARP緩存表���,從根本上排除ARP攻擊對路由器的影響��,保證局域網的正常����。
圖1
圖2
而且�����,設置IP與MAC綁定功能很簡便��,無須逐一輸入電腦的IP與MAC�,不論局域網規模如何�,只需在局域網工作正常時在路由器管理界面的arp映射表中點擊一下“全部綁定”按鈕(如圖3)�����,就可以完成IP與MAC綁定�;點擊“全部導入”按鈕將已建立的IP與MAC綁定關系保存到系統���,即使重新啟動也無需重新綁定��。
圖3
另外�����,在局域網的設備中��,一般只有兩類設備帶有ARP緩存�����,一類是路由器��,另一類是上網電腦���,也只有這兩類設備最容易受到ARP攻擊�。如同路由器受到ARP攻擊時數據包不能到達電腦一樣�,上網電腦受到ARP攻擊時���,數據包也不會發送到路由器上�����,而是發送到一個錯誤的地方���,當然也就無法通過路由器上網了��。因此���,局域網要對付ARP攻擊�����,除對路由器進行IP與MAC綁定以外�,在電腦上進行IP與MAC綁定也必不可少����。
在電腦上進行IP與MAC綁定該如何操作呢�?其實微軟的操作系統中都帶有ARP這一命令行程序�����,在電腦的Windows命令行界面中輸入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中��。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC�,電腦每次在重啟后都需要先輸入ARP命令����,還有更簡單的辦法�����,可以讓電腦每次啟動時��,自動將路由器的IP與MAC綁定到電腦的ARP表中:
STEP 1 新建一個批處理文件如static_arp.bat���,注意后綴名為bat�。編輯它�,在里面加入ARP命令��,并保存���。
要得到路由器的LAN口MAC地址�,可以查看路由器的界面中的“LAN運行狀態”�。
STEP 2 將建立好的批處理文件static_arp.bat拷貝到系統的啟動目錄中����。電腦每次啟動時將自動運行該文件����,自動綁定IP與MAC�。
STEP 3 將static_arp.bat文件拷貝到局域網內所有電腦的系統啟動目錄中��。
Windows 7系統的設置方法:
1�����、管理員身份運行命令提示符�����。
2�����、命令:netsh -c i i show in 查看網絡連接準確名稱����。如:本地連接�����、無線網絡連接�。
3�����、執行綁定:netsh -c i i add neighbors "網絡連接名稱" "IP地址" "MAC地址"�。
4��、綁定完成���,電腦重啟靜態ARP不失效���,不用像XP一樣建批處理文件�。
如圖所示:
至此����,局域網中的所有電腦都將路由器的IP與MAC綁定到ARP表中���,無需再擔心因ARP攻擊而無法上網���。
經驗分享:當使用了ARP防范功能(IP和MAC綁定功能)后����,電腦應使用固定ip�,而不要使用動態IP(通過DHCP自動獲取IP)���,因為若使用動態IP����,電腦每次啟動時所獲得的IP可能不一樣��,從而可能造成與路由器中保存的IP與MAC綁定條目不一致����,這樣電腦將無法上網��。
