萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 網吧路由器防ARP地址欺騙功能

網吧路由器防ARP地址欺騙功能

網吧路由器有很多值得學習的地方,這裡我們主要介紹網吧路由器防ARP地址欺騙功能。以前有一個帖子,為了搞跨某個網站,只要有大量的人去ping這個網站,這個網站就會跨了,這個就是所謂的拒絕服務的攻擊,用大量的無用的數據請求,讓他無暇顧及正常的網絡請求。

網絡上的黑客在發起攻擊前,都要對網絡上的各個IP地址進行掃描,其中一個常見的掃描方法就是ping,如果有應答,則說明這個ip地址是活動的,就是可以攻擊的,這樣就會暴露了目標,同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求,也會把網吧的RG-NBR系列路由器拖跨掉。現在多數網吧路由器都設計了一個WAN口防止ping的功能,可以簡單方便的開啟,所有外面過來的ping的數據報文請求,都裝聾作啞,這樣既不會暴露自己的目標,同時對於外部的ping攻擊也是一個防范。

防ARP地址欺騙功能

大家都知道,內部PC要上網,則要設置PC的IP地址,還有網關地址,這裡的網關地址就是NBR路由器的內部網接口IP地址,內部PC是如何訪問外部網絡呢?就是把訪問外部網的報文發送給NBR的內部網,由NBR路由器進行NAT地址轉發後,再把報文發送到外部網絡上,同時又把外部回來的報文,去查詢路由器內部的NAT鏈接,回送給相關的內部PC,完成一次網絡的訪問。

在網絡上,存在兩個地址,一個是IP地址,一個是MAC地址,MAC地址就是網絡物理地址,內部PC要把報文發送到網關上,首先根據網關的IP地址,通過ARP去查詢NBR的MAC地址,然後把報文發送到該MAC地址上,MAC地址是物理層的地址,所有報文要發送,最終都是發送到相關的MAC地址上的。所以在每台PC上,都有ARP的對應關系,就是IP地址和MAC地址的對應表,這些對應關系就是通過ARP和RARP報文進行更新的。

目前在網絡上有一種病毒,會發送假冒的ARP報文,比如發送網關IP地址的ARP報文,把網關的IP對應到自己的MAC上,或者一個不存在的MAC地址上去,同時把這假冒的ARP報文在網絡中廣播,所有的內部PC就會更新了這個IP和 MAC的對應表,下次上網的時候,就會把本來發送給網關的MAC的報文,發送到一個不存在或者錯誤的MAC地址上去,這樣就會造成斷線了。這就是ARM地址欺騙,這就是造成內部PC和外部網的斷線,該病毒在前一段時間特別的猖獗。針對這種情況,防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。

負載均衡和線路備份

舉例來說,如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議,最多可以設定 2-255台的NBR路由器,同時鏈接2-255條寬帶線路,這些NBR和寬帶線路之間,實現負載均衡和線路備份,萬一線路斷線或者網絡設備損壞,可以自動實現的備份,在線路和網絡設備都正常的情況下,便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。

copyright © 萬盛學電腦網 all rights reserved