查看: 10218|回复: 27
公司路由器经常受到ARP攻击怎么办？
_08-24-49.jpg (151.31 KB, 下载次数: 27)
08:43 上传
_08-39-22.jpg (125.3 KB, 下载次数: 24)
08:43 上传
我原来在论坛上提问过：打开公司磊科路由器设置界面怎么变成了水星MR804，即打开192.168.1.1时出现的是水星路由器MR804，而非公司磊科路由器的设置界面，由于水星MR804设置是默认密码，于是我修改了其LAN IP为192.168.1.109，并将其登陆密码也修改了。再重新启动磊科路由器时就可以进入我的磊科路由器设置界面了。可是我在公司路由器的“安全设置”中查看攻击防御时，经常看到192.168.1.109变换MAC进行ARP攻击，即用00-27-19-71-94-38和94-0c-6d-3a-10-96两个MAC变换攻击。于是我在安全设置中“ip互联网控制”中禁止了192.168.1.109连接任何主机行为，可是仍然还出现它的攻击记录。请问：这是重大的安全问题吗？这个水星路由器挂在我公司的磊科路由器下，如何才能禁止其不再攻击公司的IP呢？
绑定下mac和ip吧，这边用的深信服认证
绑定下mac和ip吧，这边用的深信服认证
绑哪个IP和MAC呀？
把所有用户都绑定ip地址和mac地址。这个貌似是局域网机器有arp病毒什么的，凿除这个机器就是
应该把水星的DHCP服务功能关闭了把接入模式为自动获取IP;应该就可以了,在LAN设置里吧,把192.168.1.1改成,192.168.X.1,希望可以帮到你
应该把水星的DHCP服务功能关闭了把接入模式为自动获取IP;应该就可以了,在LAN设置里吧,把192.168.1.1改成,19 ...
我把水星路由器里的DHCP服务关闭了，把我的磊科路由器的上网IP192.168.1.1绑定了MAC，其它的机器都是自动获取IP，这样是否很安全了？
绑定IP/MAC吧
- 192_168_1_1_8989_ipmac_cgi.jpg (20.87 KB, 下载次数: 36)
14:00 上传
绑定IP/MAC吧
这个图片太小了，看不清楚呀
我把水星路由器里的DHCP服务关闭了，把我的磊科路由器的上网IP192.168.1.1绑定了MAC，其它的机器都是自动 ...
一直都这么用着，也没感觉不安全！
( 沪ICP备号 )&
Powered by Discuz! X3.1君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
如何排查内网ARP攻击造成的网络掉线
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口免疫ARP攻击IP欺骗 H3C ER2100路由评测
　　我们使用的测试工具可以达到这样一种攻击效果：它首先扫描局域网内所有活动的IP，然后向攻击对象发送虚假的IP/MAC映射信息。如果没有报文源认证功能，此时路由器就彻底晕了，因为路由器默认无条件相信收到的IP/MAC映射信息。那么，这时路由器还能相信谁？有两张表是可信的：ARP绑定表和DHCP分配记录。基于这两张表对收到的报文进行甄别，路由器就能知道什么报文是真实的，什么报文是虚假应丢弃的。受到攻击时，上网速度会变慢，日志记录也可以提供相关信息。使用虚假报文攻击ER2100，日志记录下了错误事件异常主机流量防护　　主机中毒或其它原因会向Internet发送大量的异常报文，导致阻塞网络，大量消耗设备资源。流量防护功能会对各个主机的流量进行检查，发现有异常流量时会进行指定的处理（如：阻断网络），以保证设备受到此类异常流量攻击时仍可正常工作。为准确区分流量的合法性，建议开启报文源认证页面的相关功能。双向限速/限连接数　　BT、电驴等P2P下载会占用大量带宽，但是不是封掉它们就天下太平了呢？似乎也不尽然，除了P2P，带宽被滥用还有很多其它复杂原因，所以，用&封堵&的方式解决带宽滥用并不是什么好思路&&任何产品所提供的应用封堵功能都是有限的，总会有&漏网之鱼&。那怎么办？答案是可以通过限制带宽和连接数达到规范员工上网行为的目的。　　ER2100支持双向限速，这对ADSL用户非常重要，ADSL下行带宽一般可以达到8Mbps，但相比上行带宽就非常&珍贵&了，国内一般只有640Kbps。ER2100支持两种带宽管理方式：只能使用固定带宽和弹性带宽分配。　　限速很好理解，但为什么还要限制连接数呢？禁止在PC上使用P2P软件是很难做到的，但我们可以通过限制每个IP的最大连接数变相达到目的。P2P类软件无一例外全部都是&连接数杀手&，比如下载BT、迅雷时，主机的连接数就会飙升。限制了主机连接数之后，如果用户再运行P2P软件，连接数就会被耗尽，这将直接导致其它网络应用失败，比如网页无法打开，影响到了正常上网，这样一个效果，相信用户对P2P软件的使用也会产生一些顾虑。　　我们做了一个简单的测试，以平时的上网习惯，打开几个网页，到处转转，看看新闻，多点开几个感兴趣的网页，差不多17个IE窗口，其中包括网易，新浪等门户网站的首页，这时连接数基本在60以内，而在迅雷中开两个下载任务后瞬间连接数就达到了130左右。业务控制 QQ MSN过滤测试，支持设置例外用户（不受限用户）　　ER2100可管控的即时通信软件包括QQ和MSN，启用过滤后，均无法登录。在设置策略时，有一点需要注意，RTX腾讯通与QQ属于类似业务，如需禁止QQ上线但仍需使用RTX，需要配置允许访问的RTX服务器信息。股票软件过滤测试，支持设置例外用户（不受限用户）
　　ER2100可过滤的股票类软件包括大智慧、分析家、同花顺、广发至强、光大证券和国元证券，我们测试了其中两项，均被成功过滤。　　关于应用过滤，有一点要说明的是，虽然路由器的基础功能（如：限速）是固化的，但是，应用过滤功能并不是，厂商可以通过更新软件让路由器识别更多的应用或修复封堵失败的应用，所以，如果哪天发现路由器失去了对某些应用的过滤能力，更新下固件问题基本就解决了。
(本文来源：太平洋电脑网
跟贴读取中...
网易通行证：
跟贴昵称修改后，论坛昵称也会变哦
网易通行证：
复制成功，按CTRL+V发送给好友、论坛或博客。
浏览器限制，请复制链接和标题给好友、论坛或博客。
网易数码48小时评论排行
网易数码产品图片推荐
网易公司版权所有使用路由器来防止ARP攻击-----[TP-Linkrouter]_arp映射表-牛bb文章网
使用路由器来防止ARP攻击-----[TP-Linkrouter] arp映射表
所属栏目：
ARP攻击：导致瞬间掉线和大面积断网的罪魁祸首。在局域网中，通过ARP协议来进行IP地址（第三层）与第二层物理地址（即MAC地址）的相互转换。校园中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表，以提高通信速度。目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击，通过伪造的MAC与局域网内的IP地址对应，并修改路由器或电脑的ARP缓存表，使得具有合法MAC的电脑无法与IP对应，从而无法通过路由器上网。在掉线重启路由器后，ARP缓存表会刷新，网络会在短时间内恢复正常，待ARP攻击启动后，又出现断网现象，如此反复，很容易被误断为路由器“死机”，从而使得校园网管员无法及时采取行动迅速恢复校园的正常营运。本次笔者以TP-LINK新推出的新一代校园专用宽带路由器TL-R4148为例，介绍一下如何防范ARP攻击：图1如果路由器上有“IP与MAC地址绑定”功能，一般可以有效防范ARP攻击。在校园网络正常时，启用IP与MAC地址绑定功能（如图1），可将校园内的每一台电脑的MAC与内网IP建立一一对应的关系保存到ARP缓存表中（如图2），此后，校园即使受到ARP攻击也不能修改ARP缓存表，从根本上排除ARP攻击对路由器的影响，保证校的正常运营。图2而且，设置IP与MAC绑定功能很简便，无须逐一输入电脑的IP与MAC，不论校园规模如何，只需在校园工作正常时在路由器管理界面的ARP映射表中点击一下“全部绑定”按钮（如图3），即可完成IP与MAC绑定；点击“全部导入”按钮将已建立的IP与MAC绑定关系保存到系统，即使重新启动也无需重新绑定。图3另外，在校园的设备中，一般只有2类设备带有ARP缓存，1类是路由器，另1类是上网电脑，也只有这2类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达电脑一样，上网电脑受到ARP攻击时，数据包也不会发送到路由器上，而是发送到1个错误的地方，当然也就无法通过路由器上网了。因此，校园要对付ARP攻击，除对路由器进行IP与MAC绑定以外，在电脑上进行IP与MAC绑定也必不可少。对路由器进行的IP与MAC绑定前面已经介绍过，在电脑上进行IP与MAC绑定该如何操作呢？其实微软的操作系统中都带有ARP这一命令行程序，在电脑的Windows命令行界面中输入“arp　-s＋路由器IP如192.168.1.1＋路由器LAN口MAC地址”即可将的路由器IP和MAC绑定到电脑的ARP表中。若通过Windows命令行界面中输入ARP命令来绑定IP与MAC，电脑每次在重启后都需要先输入ARP命令，还有更简单的办法，可以让电脑每次启动时，自动将路由器的IP与MAC绑定到电脑的ARP表中：STEP 1新建1个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入ARP命令，并保存。图4要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN运行状态”。STEP 2将建立好的批处理文件static_arp.bat拷贝到系统的启动目录中。电脑每次启动时将自动运行该文件，自动绑定IP与MAC。图5STEP 3将static_arp.bat文件拷贝到校园内所有电脑的系统启动目录中。至此，校园中的所有电脑都将路由器的IP与MAC绑定到ARP表中，无需再担心因ARP攻击而无法上网。特别提示：当使用了ARP防范功能（IP和MAC绑定功能）后，电脑应使用固定IP，而不要使用动态IP（通过DHCP自动获取IP），因为若使用动态IP，电脑每次启动时所获得的IP可能不一样，从而可能造成与路由器中保存的IP与MAC绑定条目不一致，这样电脑将无法上网。―――――――――――为防ARP攻击而转。欢迎您转载分享：
更多精彩：，，无线局域网内的ARP攻击引起的上网掉线的原因和解决方法
查看: 536|
摘要: 在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇 ...
在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇到ARP攻击了，这对上网的体验影响很大，对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法，顺带也说说ARP攻击的演化。
首先，我们先来了解一下什么是ARP攻击。
ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。
ARP攻击的演化
　　初期：
　　这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。
　　中期：ARP恶意攻击
　　后来，有人利用这一原理，制作了一些所谓的&管理软件&，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。
　　特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。
　　随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。
　　现在：综合的ARP攻击
　　最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。
　　首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。
　　相对病毒而言，盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗，同时又会影响的其他电脑上网。
在企事业单位中，越来越频繁使用局域网共享上网，但有时候会因为一台电脑中病毒或者其他原因，引发ARP攻击，造成整个局域网内所有电脑上网很慢。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：
　　1.不断弹出&本机的0-255段硬件地址与网络中的0-255段地址冲突&的对话框。
　　2.计算机不能正常上网，出现网络中断的症状。
　　因为这种攻击是利用ARP请求报文进行&欺骗&的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。
也就是说ARP病毒不太好清理掉，因为搞不清楚是哪一台电脑中病毒。但借助360安全卫士可以有效解决这个问题
1. 下载安装360安全卫士，这个软件比较常见。
2. 在软件主界面上方选择&功能大全&。
3. ​在弹出的窗口中，选择&360木马防火墙&。
4.如果没有&#木马防火墙&，可在当前窗口的右下角选择&添加小工具&
找到&360木马防火墙&之后，点击右侧的&添加&即可。
5. 打开&360木马防火墙&，在当前界面找到&&局域网防护（ARP），可看见默认是关闭的。
6. 鼠标按住&已关闭&按钮不丢，​往左拖动，它会变成绿色的&已开启&。
7. 此时，电脑会自动安装一些东西，然后重启电脑。这个时候我们不用进行其他操作。
8. ​重启电脑时候，再也不会被其他电脑ARP攻击，自己的网络也会正常使用​。
到这里，需要大家注意的是ARP个人防火墙也有很大缺陷：
　　1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。
　　2 、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个&双头怪&。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。
　　因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。
解决ARP最根本的办法
首先要明确ARP攻击仅能在局域网内进行，没有路由器的家庭用户可以不必考虑。
　　1.安装ARP防火墙
　　如今大部分安全辅助软件均内置ARP防火墙，著名的有：360安全卫士（内置）、金山贝壳ARP专杀、金山卫士。
　　2.安装杀毒软件
　　杀毒软件可以有效的防止ARP病毒进入机器。
　　3.已经中毒的处理方法
　　由于中毒后网速会减慢，杀软失效。所以我们应该用专门的专杀杀毒后安装杀毒软件保护系统。
　　必须注意！ARP病毒大多捆绑木马下载者，不要以为ARP病毒对自己工作没有太大影响就可以忽略！
上一篇：下一篇：
Router Operating System