萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> TP-LINK無線路由器設置 ARP欺騙防護

TP-LINK無線路由器設置 ARP欺騙防護

  ARP(Address Resolution Protocol),即地址解析協議,具體來說就是將IP地址解析為數據鏈路(數據鏈路層,位於OSI 模型的第二層)的MAC( Media Access Control )地址。而ARP欺騙則會擾亂網絡設備間的正常通信。通過偽造IP地址和MAC地址實現ARP欺騙,對網絡的正常傳輸和安全都是一個很嚴峻的考驗。

  目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”、“P2P終結者”、“網吧傳奇殺手”等,這些軟件中,有些是人為手工操作來破壞網絡的,有些是作為病毒或者木馬出現,使用者可能根本不知道它的存在,所以更加擴大了ARP攻擊的殺傷力。

  從影響網絡連接通暢的方式來看,ARP欺騙有兩種攻擊可能,一種是對路由器ARP表的欺騙;另一種是對內網電腦ARP表的欺騙,當然也可能兩種攻擊同時進行。不管怎麼樣,欺騙發送後,電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上,從表面上來看,就是“上不了網”,“訪問不了路由器”,“路由器死機了”,因為一重啟路由器,ARP表會重建,如果ARP攻擊不是一直存在,就會表現為網絡正常,所以用戶更加確定是路由器“死機”了,而不會想到其他原因。為此,寬帶路由器背了不少“黑鍋”,但實際上應該ARP協議本身的問題。下面我們來看看如何來防范ARP欺騙。

  上面也已經說了,欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種,我們的防護當然也是兩個方面的,首先在路由器上進行設置,來防止路由器的ARP表被惡意的ARP數據包更改;其次,我們也會在電腦上進行一下設置,來防止電腦的ARP表受惡意更改。兩個方面的設置都是必須的,不然,如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦,電腦被欺騙後就不會把數據包發送到路由器上,而是發送到一個錯誤的地方,當然無法上網和訪問路由器了。

  TP-LINK路由器上IP與MAC地址綁定的方式有兩種模式,普通綁定與強制綁定。SOHO級路由器上模式為普通綁定,而企業級的路由器上既有普通綁定,也有強制綁定。

  普通綁定是在路由器上記錄了局域網計算機MAC地址對應的IP地址,建立了一個對應關系,不會受到ARP欺騙,導致無法正常通訊。對於沒有進行IP與MAC地址綁定的計算機就可能受到ARP攻擊。普通綁定只是設置了一個IP與MAC的對應關系,若計算機更改了其IP地址,路由器仍然能進行ARP映射表自動學習,掃描到計算機新的對應關系,該計算機仍能與路由器進行通訊。

  強制綁定是通過添加IP與MAC對應的關系來進行數據的通訊的,沒有自動學習ARP映射表的能力,若沒有添加計算機IP與MAC的對應關系,該計算機是無法與路由器進行通訊的。所以在設置了強制綁定後,新接入路由器的計算機,若沒有添加IP與MAC地址對應關系,該計算機是不能通訊的。或者路由器下的計算機更改了其IP地址,導致與路由器上記錄的IP與MAC對應關系不一致,也無法進行通訊。

copyright © 萬盛學電腦網 all rights reserved