路由器對內網ARP的病毒防御解決方案
路由器在網吧應用中的現實情況往往是,路由換了一個又一個,網吧該掉還是掉,現實面前,網吧經營者們帶著太多的疑惑和失望。下面我們來看看內網Arp欺騙影響網吧掉線的主要原因:
內網Arp造成掉線
Arp欺騙已經成為網絡公害,幾乎8成的網吧都發生過Arp攻擊造成的掉線故障。Arp掉線是通過偽造MAC地址,欺騙路由、偽造網關進行的,其具體原理如下:
大家都知道,內部PC要上網,則要設置PC的IP地址,還有網關地址,這里的網關地址就是欣聯NATEASY路由器的內網IP地址,內部PC是如何訪問外部網絡呢?就是把訪問外部網的報文發送給NATEASY路由器的內部網,由NATEASY路由器進行NAT地址轉發后,再把報文發送到外部網絡上,同時又把外部回來的報文,去查詢路由器內部的NAT鏈接,回送給相關的內部PC,完成一次網絡的訪問。
每臺計算機在網絡上,都存在兩個地址,一個是IP地址,一個是MAC地址,MAC地址就是網絡物理地址,這個地址在一個網絡內是唯一的,在一個正常的通訊過程中,這個地址是對應并且不應改變的,內部PC要把報文發送到網關上,首先根據網關的IP地址,通過Arp去查詢NATEASY路由器的MAC地址,然后把報文發送到該MAC地址上,MAC地址是物理層的地址,所有報文要發送,最終都是發送到相關的MAC地址上的。
所以在每臺PC上,都有Arp的對應關系,就是IP地址和MAC地址的對應表,這些對應關系就是通過Arp和RArp報文進行更新的。
目前在網絡上的Arp病毒,會發送假冒的Arp報文,比如發送網關IP地址的Arp報文,把網關的IP對應到自己的MAC上,或者一個不存在的MAC地址上去,同時把這假冒的Arp報文在網絡中廣播,所有的內部PC就會更新了這個IP和 MAC的對應表,下次上網的時候,就會把本來發送給網關的MAC的報文,發送到一個不存在或者錯誤的MAC地址上去,這樣就會造成斷線了。
這就是Arp地址欺騙,該病毒在一段時間內特別的猖獗。針對這種情況,防Arp地址欺騙的功能也相繼出現在一些專業路由器產品上。
路由器對Arp病毒防御主要通過以下幾種手段解決:
1、主動廣播正確的網關地址,有很多路由器一接到網絡上,就無法正常訪問,這種情況一般是因為內網中有一臺機器在偽造網關,不信的向內網其他機器發送虛假網關信息,有些的路由器支持廣播正確網關地址的功能,只需勾取此功能,即可對以上第一種Arp欺騙進行防范。
2、提供IP地址和MAC地址雙向綁定的功能,雙向綁定能夠徹底解決Arp病毒欺騙的問題。目前在市面上宣傳有此功能的廠家不少,但是在實際測試過程中發現一般有以下幾個問題:
1)有些品牌的路由器不提供自動掃描功能,這樣需使用其他軟件掃描后,再將對應的IP/MAC綁定表復制到路由器中,操作起來非常麻煩,且容易出錯,一般人員無法進行。
2)有些品牌的路由器產品雖然提供了自動掃描功能,但其對所掃描的MAC地址不做判斷,導致所掃描出來的MAC地址本身就有很多是重復的,同樣解決不了Arp欺騙的問題。
3)一般的路由器在做雙向綁定到100條左右路由器就會崩潰,出現頻繁的掉線,重啟等現象,這是因為軟件算法不同造成的,而有些路由器在實際工作中綁定了300條以上照樣非常穩定的工作。
3、病毒隔離功能。一般的寬帶路由器并無此防范功能,有些帶有病毒隔離功能的路由器智能的將內網“中毒”主機自動進行隔離免疫,有效的防止“一臺機器中毒,整個網絡遭殃”的局面出現。
4、內網廣播風暴抑制,synFlooding,UDPFlooding的防御,外網的synFlooding、DDOS攻擊防御。
5、有些路由器還支持自動掃描,并且能夠對掃描的MAC地址進行判斷,不會出現誤掃的情況,因為這些路由器在實際使用過程中,綁定到300個以上的IP/MAC地址,同時做了300個以上的主機流控,仍然非常穩定的運行。
路由器對內網ARP的病毒防御的分析就是這么多內容,您在選擇路由器時可根據本文內容進行參考,因為路由器的功能上存在差異,所以選擇適合的路由是很重要的。
【編輯推薦】
