歡迎大家來到學習啦,本文為大家講解路由器如何防止ARP病毒攻擊,歡迎大家閱讀借鑒。
近期,國內多家網吧出現短時間內斷線(全斷或部分斷)的現象,但會在很短的時間內會自動恢復。這是因為MAC地址沖突引起的,當帶毒機器的MAC映射到主機或者路由器之類的NAT設備,那麼全網斷線,如果只映射到網內其他機器,則只有這部分機器出問題。多發於傳奇游戲特別是私服務外掛等方面。此類情況就是網絡受到了ARP病毒攻擊的明顯表現,其目的在於,該病毒破解游戲加密解密算法,通過截取局域網中的數據包,然後分析游戲通訊協議的方法截獲用戶的信息。運行這個病毒,就可以獲得整個局域網中游戲玩家的詳細信息,盜取用戶帳號信息。下面我們談談如何防制這種攻擊。
首先,我們先簡單了解一下什麼是ARP病毒攻擊,這種病毒是對內網的PC進行攻擊,使內網PC機的ARP表混亂,在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。進行ARP重定向和嗅探攻擊。用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻擊。這些情況主要出現在網吧用戶,造成網吧部分機器或全部機器暫時掉線或者不可以上網,在重新啟動後可以解決,但保持不了多久有會出現這樣的問題,網吧管理員對每台機器使用arp –a命令來檢查ARP表的時候發現路由器的IP和MAC被修改,這就是ARP病毒攻擊的典型症狀。
這種病毒的程序如PWSteal.lemir或其變種,屬於木馬程序/蠕蟲類病毒,Windows 95/98/Me/NT/2000/XP/2003將受到影響,病毒攻擊的方式對影響網絡連接暢通來看有兩種,對路由器的ARP表的欺騙和對內網PC網關的欺騙,前者是先截獲網關數據,再將一系列的錯誤的內網MAC信息不停的發送給路由器,造成路由器發出的也是錯誤的MAC地址,造成正常PC無法收到信息。後者ARP攻擊是偽造網關。它先建立一個假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
就這兩種情況而言,如果對ARP病毒攻擊進行防制的話我們必須得做路由器方面和客戶端雙方的設置才保證問題的最終解決。所以我們選擇路由器的話最好看看路由器是否帶有防制ARP病毒攻擊的功能,Qno俠諾產品正好提供了這樣的功能,相比其他產品操作簡單易學。下面具體談談Qno俠諾路由器產品是如何設置防止ARP病毒攻擊的。
1、激活防止ARP病毒攻擊:
輸入路由器IP地址登陸路由器的Web管理頁面,進入“防火牆配置”的“基本頁面”,再在右邊找到“防止ARP病毒攻擊”在這一行的“激活”前面做點選,再在頁面最下點擊“確認”。
2、在路由器端綁定用戶IP/MAC地址:
進入“DHCP功能”的“DHCP配置”,在這個頁面的右下可以看到一個“IP與MAC綁定”你可以在此添加IP與MAC綁定,輸入相關參數,在“激活”上點“√”選再“添加到對應列表”,重復操作添加內網裡的其他IP與MAC的綁定,再點頁面最下的“確定”。
當添加了對應列表之後,其對應的信息就會在下面的白色框裡顯示出來。不過建議不采用此方法,這樣操作需要查詢網絡內所有主機IP/MAC地址工作量繁重,還有一種方法來綁定IP與MAC,操作會相對容易,可以減少大量的工作量,節約大量時間,下面就會講到。
進入“DHCP功能”的“DHCP配置”找到IP與MAC綁定右邊有一個“顯示新加入的IP地址”點擊進入
點擊之後會彈出IP與MAC綁定列表對話框,此對話框裡會顯示網內未做綁定的pc的IP與MAC地址對應情況,輸入計算機“名稱”和“激活”上“√”選,再在右上角點確定。
此時你所綁定的選項就會出現在IP與MAC綁定列表框裡,再點擊“確認/Apply”綁完成。
3、對每台pc上綁定網關的IP和其MAC地址
進行這樣的操作主要防止ARP欺騙網關IP和其MAC地址
首先在路由器端查找網關IP與MAC地址,
然後在每台PC機上開始/運行cmd進入dos操作,輸入arp –s 192.168.1.1 0-0e-2e-5b-42-03,Enter後完成pc01的綁定。
針對網絡內的其他主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作,如果重起了電腦,作用就會消失,所以可以把此命令做成一個批處理文件,放在操作系統的啟動裡面,批處理文件可以這樣寫:
@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC
對於已經中了arp攻擊的內網,要找到攻擊源。方法:在PC上不了網或者ping丟包的時候,在DOS下打 arp –a命令,看顯示的網關的MAC地址是否和路由器真實的MAC相同。如果不是,則查找這個MAC地址所對應的PC,這台PC就是攻擊源。
其他的路由器用戶的解決方案也是要在路由器和PC機端進行雙向綁定IP地址與MAC地址來完成相應防制工作的,但在路由器端和PC端對IP地址與MAC地址的綁定比較復雜,需要查找每台PC機的IP地址與MAC加大了工作量,操作過程中還容易出錯。
以上方法基本可以解決ARP病毒攻擊對網絡造成相關問題,以上方法也經過多個用戶以及網吧實驗,都達到了用戶預期的效果。QNO俠諾產品的解決方法操作比較容易學習,而且不必要查找整個網絡的IP/MAC地址,就可以在路由器端進行綁定,安全可靠。