隨著我國路由行業的發展，同時也推動了寬帶路由器廣泛應用，這里我們主要分析了如何讓寬帶路由器對ARP攻擊免疫。目前ARP欺騙攻擊已經成了破壞網吧經營的罪魁禍首，是網吧老板和網管員的心腹大患。現在已知的ARP欺騙分為二種，一種是對寬帶路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。

ARP(Address Resolution Protocol，地址解析協議)是一個位于TCP/IP協議棧中的低層協議，負責將某個IP地址解析成對應的MAC地址。第一種ARP欺騙的原理是——截獲網關數據。它通知寬帶路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在寬帶路由器中，結果寬帶路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的寬帶路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的 “本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟寬帶路由器，網絡就能全面恢復，那問題一定是在寬帶路由器了。為此，寬帶路由器背了不少“黑鍋”。

作為網吧寬帶路由器的廠家，對防范ARP欺騙不得已做了不少份內、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫寬帶路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網關的靜態ARP信息，這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做，稱其為IP -MAC雙向綁定。

方法是有效的，但工作很繁瑣，管理很麻煩。每臺PC綁定本來就費力，在寬帶路由器中添加、維護、管理那么長長的一串列表，更是苦不堪言。一旦將來擴容調整，或更換網卡，又很容易由于疏忽造成混亂。如果您有所擔心，那么不妨選用欣向網吧路由IXP機種，它可以使您寬心一些。因為欣向寬帶路由器根本不需要IP- MAC綁定，沒有那長長的一串地址表。對付ARP，您只要做PC的單向綁定就可以了。該路由能夠有效拒絕ARP對網關的欺騙，它是先天免疫的!欣向路由的ARP先天免疫取決于它的二個有力的技術措施。一是獨特的NAT處理機制，二是網關的主動防范機制。

產品對NAT的處理不同于通用協議棧的方式，它在原有的網絡協議基礎上，進行了強化、保護和擴容。雖然NAT是標準的網絡協議，但實現方法可以各顯其能，保證殊途同歸就行。ARP欺騙只對公開的、通用的系統起作用，它利用了通用系統工作方式上的漏洞，而對NAT實現機制卻無能為力，因為NAT設計了強有力的保護字段。這就是欣向路由能夠對ARP先天免疫的原理。

另外，為對抗假冒網關的ARP欺騙，產品設計了網關的ARP廣播機制，它以一個可選定的頻次，向內網宣布正確的網關地址，維護網關的正當權益。在暫時無法及時清除ARP病毒，網管員還沒有做PC上的IP-MAC綁定時，它能在一定程度上維持網絡的運行，避免災難性后果，贏取系統修復的時間。這就是 ARP主動防范機制。

不過，如果不在PC上綁定IP-MAC，雖然有主動防范機制，但網絡依然在帶病運行。因為這種ARP是內網的事情，是不通過寬帶路由器的。讓寬帶路由器插手只能做到對抗，不能根絕。ARP太猖獗時，就會發生時斷時續的故障，那是主動防范機制在與ARP欺騙進行拉鋸式的斗爭。為此，產品還專門提供了一個ARP 欺騙偵測、定位、防范的工具軟件，免費發放給所有的網吧，幫助網管員們發現ARP欺騙的存在，為清除ARP欺騙源提供工作輔佐，并加入了欣向主動防范機制，有效對付ARP欺騙。

盡管如此，仍然提醒廣大的網吧網管員，為了一勞永逸，還是費點力為每臺PC做IP-MAC綁定吧，這樣可以徹底根除ARP欺騙帶來的煩惱。況且，路由只需要單向綁定，已經為您省去了另一半更繁瑣的工作，并且設置時不需要重啟寬帶路由器斷網。寬帶路由器本身不怕ARP，您再做好PC上的綁定，讓PC也不怕 ARP，雙管齊下，您的網吧就可以高枕無憂了。