ARP攻擊:導致瞬間掉線和大面積斷網(wǎng)的罪魁禍首。在局域網(wǎng)中,通過ARP協(xié)議來進行IP地址(第三層)與第二層物理地址(即mac地址)的相互轉換。局域網(wǎng)中的一些設備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表,以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個特點來對網(wǎng)絡設備進行攻擊,通過偽造的MAC與局域網(wǎng)內的IP地址對應,并修改路由器或電腦的ARP緩存表,使得具有合法MAC的電腦無法與IP對應,從而無法通過路由器上網(wǎng)。在掉線重啟路由器后,ARP緩存表會刷新,網(wǎng)絡會在短時間內恢復正常,待ARP攻擊啟動后,又出現(xiàn)斷網(wǎng)現(xiàn)象,如此反復,很容易被誤斷為路由器“死機”,從而使得網(wǎng)絡管理員無法及時采取行動迅速恢復局域網(wǎng)。
本次以TP-LINK 路由器TL-R4148為例,介紹一下如何防范ARP攻擊:(大部分路由器大同小異,原理是一樣)
如果路由器上有“IP與MAC地址綁定”功能,一般可以有效防范ARP攻擊。在網(wǎng)絡正常時,啟用IP與MAC地址綁定功能(如圖1),可將局域網(wǎng)內的每一臺電腦的MAC與內網(wǎng)IP建立一一對應的關系保存到ARP緩存表中(如圖2),此后,局域網(wǎng)即使受到ARP攻擊也不能修改ARP緩存表,從根本上排除ARP攻擊對路由器的影響,保證局域網(wǎng)的正常。
圖1
圖2
而且,設置IP與MAC綁定功能很簡便,無須逐一輸入電腦的IP與MAC,不論局域網(wǎng)規(guī)模如何,只需在局域網(wǎng)工作正常時在路由器管理界面的ARP映射表中點擊一下“全部綁定”按鈕(如圖3),就可以完成IP與MAC綁定;點擊“全部導入”按鈕將已建立的IP與MAC綁定關系保存到系統(tǒng),即使重新啟動也無需重新綁定。
圖3
另外,在局域網(wǎng)的設備中,一般只有兩類設備帶有ARP緩存,一類是路由器,另一類是上網(wǎng)電腦,也只有這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數(shù)據(jù)包不能到達電腦一樣,上網(wǎng)電腦受到ARP攻擊時,數(shù)據(jù)包也不會發(fā)送到路由器上,而是發(fā)送到一個錯誤的地方,當然也就無法通過路由器上網(wǎng)了。因此,局域網(wǎng)要對付ARP攻擊,除對路由器進行IP與MAC綁定以外,在電腦上進行IP與MAC綁定也必不可少。
在電腦上進行IP與MAC綁定該如何操作呢?其實微軟的操作系統(tǒng)中都帶有ARP這一命令行程序,在電腦的windows命令行界面中輸入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC,電腦每次在重啟后都需要先輸入ARP命令,還有更簡單的辦法,可以讓電腦每次啟動時,自動將路由器的IP與MAC綁定到電腦的ARP表中:
STEP 1 新建一個批處理文件如static_arp.bat,注意后綴名為bat。編輯它,在里面加入ARP命令,并保存。
要得到路由器的LAN口MAC地址,可以查看路由器的界面中的“LAN運行狀態(tài)”。
STEP 2 將建立好的批處理文件static_arp.bat拷貝到系統(tǒng)的啟動目錄中。電腦每次啟動時將自動運行該文件,自動綁定IP與MAC。
STEP 3 將static_arp.bat文件拷貝到局域網(wǎng)內所有電腦的系統(tǒng)啟動目錄中。
Windows 7系統(tǒng)的設置方法:
1、管理員身份運行命令提示符。
2、命令:netsh -c i i show in 查看網(wǎng)絡連接準確名稱。如:本地連接、無線網(wǎng)絡連接。
3、執(zhí)行綁定:netsh -c i i add neighbors "網(wǎng)絡連接名稱" "IP地址" "MAC地址"。
4、綁定完成,電腦重啟靜態(tài)ARP不失效,不用像XP一樣建批處理文件。
如圖所示:
至此,局域網(wǎng)中的所有電腦都將路由器的IP與MAC綁定到ARP表中,無需再擔心因ARP攻擊而無法上網(wǎng)。
經(jīng)驗分享:當使用了ARP防范功能(IP和MAC綁定功能)后,電腦應使用固定IP,而不要使用動態(tài)IP(通過DHCP自動獲取IP),因為若使用動態(tài)IP,電腦每次啟動時所獲得的IP可能不一樣,從而可能造成與路由器中保存的IP與MAC綁定條目不一致,這樣電腦將無法上網(wǎng)。
