首页 > 博客精华 > 关键词  > 路由器最新资讯  > 正文

ARP欺骗原理以及路由器的先天免疫

2009-11-28 09:16 · 稿源:51CTO

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

“网管,怎么又掉线了?!”每每听到客户的责问,网管员头都大了。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。

方法是有效的,但工作很繁琐,管理很麻烦。每台PC绑定本来就费力,在路由器中添加、维护、管理那么长长的一串列表,更是苦不堪言。一旦将来扩容调整,或更换网卡,又很容易由于疏忽造成混乱。如果您有所担心,那么不妨选用欣向网吧路由IXP机种,它可以使您宽心一些。因为欣向路由器根本不需要IP-MAC绑定,没有那长长的一串地址表。对付ARP,您只要做PC的单向绑定就可以了。该路由能够有效拒绝ARP对网关的欺骗,它是先天免疫的!

欣向路由的ARP先天免疫取决于它的二个有力的技术措施。一是独特的NAT处理机制,二是网关的主动防范机制。

产品对NAT的处理不同于通用协议栈的方式,它在原有的网络协议基础上,进行了强化、保护和扩容。虽然NAT是标准的网络协议,但实现方法可以各显其能,保证殊途同归就行。ARP欺骗只对公开的、通用的系统起作用,它利用了通用系统工作方式上的漏洞,而对NAT实现机制却无能为力,因为NAT设计了强有力的保护字段。这就是欣向路由能够对ARP先天免疫的原理。

另外,为对抗假冒网关的ARP欺骗,产品设计了网关的ARP广播机制,它以一个可选定的频次,向内网宣布正确的网关地址,维护网关的正当权益。在暂时无法及时清除ARP病毒,网管员还没有做PC上的IP-MAC绑定时,它能在一定程度上维持网络的运行,避免灾难性后果,赢取系统修复的时间。这就是ARP主动防范机制。

不过,如果不在PC上绑定IP-MAC,虽然有主动防范机制,但网络依然在带病运行。因为这种ARP是内网的事情,是不通过路由器的。让路由器插手只能做到对抗,不能根绝。ARP太猖獗时,就会发生时断时续的故障,那是主动防范机制在与ARP欺骗进行拉锯式的斗争。为此,产品还专门提供了一个ARP欺骗侦测、定位、防范的工具软件,免费发放给所有的网吧,帮助网管员们发现ARP欺骗的存在,为清除ARP欺骗源提供工作辅佐,并加入了欣向主动防范机制,有效对付ARP欺骗。

尽管如此,仍然提醒广大的网吧网管员,为了一劳永逸,还是费点力为每台PC做IP-MAC绑定吧,这样可以彻底根除ARP欺骗带来的烦恼。况且,路由只需要单向绑定,已经为您省去了另一半更繁琐的工作,并且设置时不需要重启路由器断网。路由器本身不怕ARP,您再做好PC上的绑定,让PC也不怕ARP,双管齐下,您的网吧就可以高枕无忧了。

  • 相关推荐
  • 大家在看
  • 短视频IP元年,6000字解构个人IP演进原理

    今年抖音“人货场”的逻辑出现了变化,如果说过去大众或者行业注意力集中在达人的打造或者素人的孵化,今年可以称为短视频领域大众IP元年,甚至创始人都开始走向台前争做IP。

  • 华硕推出ROG Rapture GT-AX6000高性能双频Wi-Fi 6游戏无线路由器

    华硕刚刚在官网上分享了玩家国度(ROG)系列 Rapture GT-AX6000 高性能 Wi-Fi 6(802.11ax)游戏无线路由器新品。其延续了未来派的外形设计,主频 2.0GHz 的四核 64-bit 博通处理器能够为更多联网设备提供支撑,搭配可极大提升游戏体验的新一代 Wi-Fi 6 芯片组。官方宣称,在 RangeBoost Plus 的加持下,Rapture GT-AX6000 可提供高达 6000 Mbps 的传输速率,以及增强的覆盖范围。(来自:ASUS 官网)值得一提的是,ROG Rapture GT

  • Linux 5.17将带来一项重大的TCP性能优化措施

    虽然Linux 5.16的合并窗口刚刚结束,而且该内核要到今年年底才会发布,但是Linux 5.17各种改进已经开始在各自的子系统开发树上积累起来......今天早上,来自Google合并的一组变化可以为数据中心的TCP性能提供可观的性能优势。今天早上,David Miller合并了这些来自Google工程师Eric Dumazet的TCP优化。这些优化中最激动人心的部分是TCP代码中的这个补丁,在套接字锁被释放后推迟SKB的释放。现有的内核代码被发现引入了过多的延迟,

  • 亚马逊近乎与EA达成《质量效应》游戏IP的影视化协议

    近年来,流媒体视频巨头一直在积极通过原创剧目来吸引新订户。Netflix 的《英雄联盟》动画剧集《Arcane》、以及亚马逊的《时光之轮》,就很好地证明了这样的趋势。最新消息是,亚马逊很可能与 EA 达成一项新的游戏 IP 影视化协议,以开发基于 BioWare《质量效应》系列游戏的新剧目。Deadline 昨日报道称,亚马逊工作室正与 EA 正“接近于达成协议”。不过在现阶段,我们尚不清楚《质量效应》影视化作品的集数和片长。尽管最新的《?

  • 群晖发布RT6600ax无线路由器 支持5.9GHz UNII-4规范

    说到路由器,Synology(群晖)可能不是第一个让人想到的品牌,但该公司已经生产了一些有趣的产品,尤其是其定制的操作系统--SynologyRouterManager(简称SRM)可以说非常强大。该公司今天预告即将推出其小型路由器家族的一个新成员,它应该在明年第一季度的某个时候推出,并带来一些有趣的功能。被称为RT6600ax的路由器将是首批支持UNII-4 WiFi频段的路由器之一,也被称为5.9 GHz频段。这是802.11ax/WiFi 6频段的延伸,需要注意的?

  • 小米最强路由器AX9000首个开发者版本发布:加入虚拟内存

    今天,小米路由器官方微博宣布,小米最强路由器AX9000首个开发者版本已正式发布。据悉,小米路由器提供官方版本和开发者版本两种选择,其中官方版本是小米公司正式发布在小米路由器官网或服务器推送升级的稳定版固件版本;开发者版本是小米路由器团队为满足发烧友爱好,做了某些特殊版本设定并发布在小米路由器官网的开发版固件版本。这次小米AX9000开发者版本带来了两项功能,一是Docker功能,二是虚拟内存。Docker功能Docker功能

  • 9款热门家用路由器实测:共发现226个漏洞 推荐更换默认密码

    安全研究人员对市场上主流的 9 款热门路由器进行了测试,即便运行最新的固件版本,还是发现了总计 226 个漏洞。本次测试的路由器品牌包括 Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology 和 Linksys,并被数百万人使用。IoT Inspector 的研究人员与 CHIP 杂志合作进行了安全测试,重点是主要由小公司和家庭用户使用的型号。就漏洞数量而言,排在前列的是 TP-Link Archer AX6000,有 32 个缺陷;以及 Synology RT-2600ac,

  • 窃取苹果MacBook Pro原理图的黑客被逮捕

    美国司法部今天宣布,已逮捕乌克兰人Yaroslav Vasinskyi,罪名是他参与了REvil集团,该集团对美国的企业和政府实体实施勒索软件攻击。

  • 涨价300元也买不到 小米最高端路由器AX9000开启双12预售

    小米最高端路由器AX9000开启预约,目前在京东平台预约人数已经超过7400人,将于12月12日开卖。小米路由器AX9000是小米路由器第三代Wi-Fi6旗舰产品,于今年3月发布,最初售价999元。对于这款新品,小米产业投资部合伙人潘九堂感慨道:这个产品就是定价1299,相比同行也是超值,而且现在又是芯片大缺货。谁曾想,今年6月,这款路由器真的涨到了1299元,此次涨价可能是由于上游元器件涨价所致,而且加价后也经常断货。即便是上调到129

  • MacBook闭合状态外接显示,带Touch ID的妙控键盘会无法使用Apple Pay

    经 9to5Mac 和 Macworld 等科技媒体实测,如果在屏幕关闭的 MacBook 设备上尝试使用带 Touch ID 的妙控键盘来验证 Apple Pay,会出现无法工作的情况。也就是说在笔记本闭合状态下外接显示器,连接的妙控键盘无法使用 Touch ID 进行 Apple Pay。在 MacBook 处于闭合状态下,自然不能使用内置的 Touch ID 传感器进行支付。但是苹果还销售带有 Touch ID 的妙控键盘(起售价为 150 美元),闭合状态下仍然无法使用指纹进行 Apple Pay ?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天