TP-LINK無線路由器設置 ARP欺騙防護

　　ARP(Address Resolution Protocol)，即地址解析協議，具體來說就是將IP地址解析為數據鏈路(數據鏈路層，位於OSI 模型的第二層)的MAC( Media Access Control )地址。而ARP欺騙則會擾亂網絡設備間的正常通信。通過偽造IP地址和MAC地址實現ARP欺騙，對網絡的正常傳輸和安全都是一個很嚴峻的考驗。

　　目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”、“P2P終結者”、“網吧傳奇殺手”等，這些軟件中，有些是人為手工操作來破壞網絡的，有些是作為病毒或者木馬出現，使用者可能根本不知道它的存在，所以更加擴大了ARP攻擊的殺傷力。

　　從影響網絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙;另一種是對內網電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。不管怎麼樣，欺騙發送後，電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上，從表面上來看，就是“上不了網”，“訪問不了路由器”，“路由器死機了”，因為一重啟路由器，ARP表會重建，如果ARP攻擊不是一直存在，就會表現為網絡正常，所以用戶更加確定是路由器“死機”了，而不會想到其他原因。為此，寬帶路由器背了不少“黑鍋”，但實際上應該ARP協議本身的問題。下面我們來看看如何來防范ARP欺騙。

　　上面也已經說了，欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，我們的防護當然也是兩個方面的，首先在路由器上進行設置，來防止路由器的ARP表被惡意的ARP數據包更改;其次，我們也會在電腦上進行一下設置，來防止電腦的ARP表受惡意更改。兩個方面的設置都是必須的，不然，如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦，電腦被欺騙後就不會把數據包發送到路由器上，而是發送到一個錯誤的地方，當然無法上網和訪問路由器了。

　　TP-LINK路由器上IP與MAC地址綁定的方式有兩種模式，普通綁定與強制綁定。SOHO級路由器上模式為普通綁定，而企業級的路由器上既有普通綁定，也有強制綁定。

　　普通綁定是在路由器上記錄了局域網內計算機MAC地址對應的IP地址，建立了一個對應關系，不會受到ARP欺騙，導致無法正常通訊。對於沒有進行IP與MAC地址綁定的計算機就可能受到ARP攻擊。普通綁定只是設置了一個IP與MAC的對應關系，若計算機更改了其IP地址，路由器仍然能進行ARP映射表自動學習，掃描到計算機新的對應關系，該計算機仍能與路由器進行通訊。

　　強制綁定是通過添加IP與MAC對應的關系來進行數據的通訊的，沒有自動學習ARP映射表的能力，若沒有添加計算機IP與MAC的對應關系，該計算機是無法與路由器進行通訊的。所以在設置了強制綁定後，新接入路由器的計算機，若沒有添加IP與MAC地址對應關系，該計算機是不能通訊的。或者路由器下的計算機更改了其IP地址，導致與路由器上記錄的IP與MAC對應關系不一致，也無法進行通訊。