ARP的欺騙原理及路由器的先天免疫

arp（address resolution protocol，位址解析協議）是乙個位於tcp/ip協議棧中的低層協議，負責將某個ip位址解析成對應的mac位址。

「網管，怎麼又掉線了？！」每每聽到客戶的責問，網管員頭都大了。其實，此起彼伏的瞬間掉線或大面積的斷網大都是arp欺騙在作怪。arp欺騙攻擊已經成了破壞網咖經營的罪魁禍首，是網咖老闆和網管員的心腹大患。

從影響網路連線通暢的方式來看，arp欺騙分為二種，一種是對路由器arp表的欺騙；另一種是對內網pc的閘道器欺騙。

第一種arp欺騙的原理是——截獲閘道器資料。它通知路由器一系列錯誤的內網mac位址，並按照一定的頻率不斷進行，使真實的位址資訊無法通過更新儲存在路由器中，結果路由器的所有資料只能傳送給錯誤的mac位址，造成正常pc無法收到資訊。第二種arp欺騙的原理是——偽造閘道器。它的原理是建立假閘道器，讓被它欺騙的pc向假閘道器發資料，而不是通過正常的路由器途徑上網。在pc看來，就是上不了網了，「網路掉線了」。

一般來說，arp欺騙攻擊的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為pc沒有問題，交換機沒掉線的「本事」，電信也不承認寬頻故障。而且如果第一種arp欺騙發生時，只要重啟路由器，網路就能全面恢復，那問題一定是在路由器了。為此，寬頻路由器背了不少「黑鍋」。

作為網咖路由器的廠家，對防範arp欺騙不得已做了不少份內、份外的工作。一、在寬頻路由器中把所有pc的ip-mac輸入到乙個靜態表中，這叫路由器ip-mac繫結。二、力勸網管員在內網所有pc上設定閘道器的靜態arp資訊，這叫pc機ip-mac繫結。一般廠家要求兩個工作都要做，稱其為ip-mac雙向繫結。

方法是有效的，但工作很繁瑣，管理很麻煩。每台pc繫結本來就費力，在路由器中新增、維護、管理那麼長長的一串列表，更是苦不堪言。一旦將來擴容調整，或更換網絡卡，又很容易由於疏忽造成混亂。如果您有所擔心，那麼不妨選用欣向網咖路由ixp機種，它可以使您寬心一些。因為欣向路由器根本不需要ip-mac繫結，沒有那長長的一串位址表。對付arp，您只要做pc的單向繫結就可以了。該路由能夠有效拒絕arp對閘道器的欺騙，它是先天免疫的！

欣向路由的arp先天免疫取決於它的二個有力的技術措施。一是獨特的nat處理機制，二是閘道器的主動防範機制。

產品對nat的處理不同於通用協議棧的方式，它在原有的網路協議基礎上，進行了強化、保護和擴容。雖然nat是標準的網路協議，但實現方法可以各顯其能，保證殊途同歸就行。arp欺騙只對公開的、通用的系統起作用，它利用了通用系統工作方式上的漏洞，而對nat實現機制卻無能為力，因為nat設計了強有力的保護字段。這就是欣向路由能夠對arp先天免疫的原理。

另外，為對抗假冒閘道器的arp欺騙，產品設計了閘道器的arp廣播機制，它以乙個可選定的頻次，向內網宣布正確的閘道器位址，維護閘道器的正當權益。在暫時無法及時清除arp病毒，網管員還沒有做pc上的ip-mac繫結時，它能在一定程度上維持網路的執行，避免災難性後果，贏取系統修復的時間。這就是arp主動防範機制。

不過，如果不在pc上繫結ip-mac，雖然有主動防範機制，但網路依然在帶病執行。因為這種arp是內網的事情，是不通過路由器的。讓路由器插手只能做到對抗，不能根絕。arp太猖獗時，就會發生時斷時續的故障，那是主動防範機制在與arp欺騙進行拉鋸式的鬥爭。為此，產品還專門提供了乙個arp欺騙偵測、定位、防範的工具軟體，免費發放給所有的網咖，幫助網管員們發現arp欺騙的存在，為清除arp欺騙源提供工作輔佐，並加入了欣向主動防範機制，有效對付arp欺騙。

儘管如此，仍然提醒廣大的網咖網管員，為了一勞永逸，還是費點力為每台pc做ip-mac繫結吧，這樣可以徹底**arp欺騙帶來的煩惱。況且，路由只需要單向繫結，已經為您省去了另一半更繁瑣的工作，並且設定時不需要重啟路由器斷網。路由器本身不怕arp，您再做好pc上的繫結，讓pc也不怕arp，雙管齊下，您的網咖就可以高枕無憂了

ARP的欺騙原理及路由器的先天免疫

路由器的NAT的原理及配置

ARP攻擊與欺騙的原理

路由器的工作原理

ARP的欺騙原理及路由器的先天免疫

路由器的NAT的原理及配置

ARP攻擊與欺騙的原理

路由器的工作原理

相關推薦