- 论坛徽章:
- 0
|
|
http://www.utt.com.cn/reference.php?id=101 \r\n\r\n这是原文地址 \r\n\r\n1、什么是ARP欺骗?\r\n1) 从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。\r\n2) 一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。\r\n3) 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,”网络掉线了”。\r\n2、ARP欺骗的典型症状?\r\nARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP病毒停止发作时,用户会恢复从路由器上网,切换过程中用户会再断一次线。此时网吧管理员对每台机器使用“arp –a”命令来检查ARP表发现路由器的MAC地址被修改,这就是ARP病毒攻击的典型症状。 \r\n目前的ARP病毒已经与DDOS攻击相容合,采用了flood方式攻击其他IP地址,并可以在局域网内互相感染,严重时可造成整个网络瘫痪。 \r\n近段时间,国内网吧、企业、酒店等行业大都出现过由于ARP病毒引起的断线(全断或部分断线)的现象,由于该病毒变种太多,传播速度太快,国内外的反病毒厂商都没有很好的办法来解决ARP病毒问题。 \r\n在上述行业里,尤其是酒店行业不同于网吧和企业,因为,在酒店客房里的主机是不断变化的,这就意味着遭遇ARP欺骗时,不可能通过IP与MAC地址绑定的传统方法解决此问题,所以,针对使用HIPER路由器的酒店用户特提出以下解决方案:\r\n\r\n方案一:\r\n升级到艾泰科技的新一代ReOS版本VSTART,该版本可以做到酒店客人上线时,其IP/MAC被自动绑定,酒店客人下线时,其IP/MAC绑定在一定时间内被自动删除的功能。\r\n1、 启用HiPER的DHCP功能;\r\n \r\n2、 升级VSTART软件后到登录页面 http://192.168.16.1/TaskScheduler.asp(路由器IP地址请根据实际情况填写)进行配置,如图添加“任务一”,启动类型为每分钟,运行时间为默认,任务类型为自定义,任务内容填入”DHCPAUTOBIND”(必须大写);\r\n \r\n3、 保存上述设置后即可利用“计划任务”定期绑定DHCP分配的地址;\r\n4、 为了达到双向绑定的效果,请在WEB页面—安全配置—基本选项 中选中“启用ARP欺骗防御”并保存。\r\n \r\n \r\n方案二:\r\n采用双向绑定的方法解决并且防止ARP欺骗。\r\n 首先,在PC上绑定路由器的IP和MAC地址。\r\n方法①可直接在HIPER路由器高级配置-IP/MAC绑定页面点击导出ARP绑定脚本文件 ,将这个批处理软件拖到”windows开始―程序―启动”中,每次PC机启动自动加载该批处理文件。\r\n方法②可编写一个批处理文件rARP.bat内容如下: \r\n @echo off \r\n ARP –d \r\n ARP –s 内网网关IP地址 内网网关MAC地址 \r\n 将这个批处理软件拖到”windows开始―程序―启动”中,每次PC机启动自动加载该批处理文件。\r\n 缺点: 一旦ARP变种病毒采用flood攻击,到达一定强度后,该防御失效。 \r\n然后,在路由器上绑定用户主机的IP和MAC地址。\r\n备注:方案二的双向绑定实施后可以从路由器WEB页面—安全配置—ARP欺骗防御 页面关闭方案一中的ARP广播功能。\r\nHIPER路由器该功能启用位置(WEB页面—高级配置—IP/MAC绑定):\r\n \r\n该方案二如果针对酒店的话,因客房PC的MAC地址经常变动,无法从路由器绑定客房PC的IP/MAC地址,所以建议每间客房按照一定次序均设置固定IP,然后每个客房PC设好固定IP后,可从酒店一台服务器的共享文件夹中下载该导出ARP绑定脚本文件到本机的桌面上,当房客上网或受到ARP欺骗时只需在本机桌面上双击该批处理文件即可。\r\n \r\n方案三:\r\n采用艾泰科技新退出的PPPOE Server方法解决并且防止ARP欺骗。\r\nHiPER PPPoE Server端配置步骤:\r\n1、进入WEBUI-高级配置-PPPoE服务器配置页面\r\n \r\n2、选择启用PPPoE服务器,并设置主DNS服务器地址\r\n \r\n3、配置客户端的帐号、密码\r\n \r\n至此,服务端对于一个账号的配置就结束了。\r\n4、客户端拨号上网后,点击帐号所获得的IP地址同样可以进入个性化配置页面。\r\n\r\n5、个性化配置页面\r\n \r\n \r\n 对以太网有所认识的人都知道,ARP表是每台设备(电脑)的MAC地址和IP地址的关系对应表。如果设备需要在局域网中利用TCP/IP协议进行通信的话,必须有这样一张ARP表。ARP表是每台设备(电脑)自行维护的,而ARP表的数据,是来自于开放的“ARP广播”机制,由每台设备在网上广播自己的IP/MAC地址的对应关系来做到的。\r\n虽然使用下层设备和上层设备做双向绑定可解决ARP欺骗所造成的断网现象,但是此方式的缺陷是在网络内ARP数据包乱飞,影响网络质量,而且在用户多的情况下,用户端绑定不利于实施,仅适用于小型网络。在此我们推荐使用HiPER路由器最新推出的PPPoE Server方式上网,PPPoE不使用ARP协议,也就不会产生ARP,而且PPPOE不会改变原来的局域网拓扑结构,它是PPP在以太网上的二次封装。并且通过HiPER建立的PPPoE Server帐号在任何情况下都可以限制给若干个用户使用,既可内网全部机器使用一个账号上网也可通过MAC绑定使每个账号只允许一个或几个PC拨号上网。\r\n\r\nHiPER PPPoE Server端配置步骤:\r\n\r\n1、进入WEBUI-高级配置-PPPoE服务器配置页面\r\n \r\n2、选择启用PPPoE服务器,并设置主DNS服务器地址\r\n \r\n3、配置客户端的帐号、密码\r\n \r\n至此,服务端对于一个账号的配置就结束了。\r\n4、客户端拨号上网后,点击帐号所获得的IP地址同样可以进入个性化配置页面。\r\n \r\n5、个性化配置页面\r\n \r\n6、CLI下设置MAC地址过滤:\r\n如新建策略f-user1设置MAC地址为00-02-8A-EA-63-E8的用户禁止PPPoE拨号上网\r\nset pppoe server/pppoeserver eth1 mac_filter enable yes 启用MAC地址过滤\r\nset pppoe server/pppoeserver ethx mac_filter type deny 配置MAC地址过滤类型为禁止\r\nset mac filter/ f-user1 mac 00-02-8A-EA-63-E8 配置该策略过滤MAC地址为00-02-8A-EA-63-E8\r\nset mac filter/ f-user1 profile eth1 将该策略绑定在eth1(LAN口)口\r\n \r\nHiPER PPPoE Client端配置步骤:\r\n \r\n Windows XP 是微软目前使用最广泛的操作系统,其功能上已经集成了PPPoE协议支持,所以对使用HiPER PPPoE Server接入的用户端不需要安装任何其他PPPoE软件,直接使用Windows XP 的连接向导就可以轻易地建立自己的PPPOE客户端拨号程序,由于与操作系统的紧密结合,使用上也更加方便。\r\n1、安装好硬件以后,我们从开始菜单中选择运行Windows XP连接向导\r\n(开始->所有程序->附件->通讯->新建连接向导)\r\n \r\n2、连接向导运行以后,如下图所示,直接点击下一步 \r\n \r\n3、然后我们选择“连接到Internet”\r\n \r\n4、在这里选择手动设置我的连接\r\n \r\n5、在这里我们选择用要求用户名和密码的宽带连接来连接\r\n \r\n6、在要求输入连接名的时候,输入你自己设置的连接标示名称。\r\n \r\n7、然后输入自己的登陆账号信息(用户名和密码)并根据向导的提示对这个上网连接进行Windows XP的其他一些安全方面设置\r\n \r\n8、至此我们的客户端虚拟拨号设置就完成了。\r\n \r\n\r\n以后我们可以从“开始->连接到”来选择这个虚拟拨号文件连接PPPoE上网了。\r\n实现开机自动上网:\r\n1、桌面上新建一个“adsl.txt”的文本文件,按照以下格式进行编辑:\r\n“RasDial 连接名称 用户名 密码”\r\n2、将该“adsl.txt”的文本文件后缀名称改为批处理格式“adsl.bat”\r\n通过把桌面上批处理“adsl.bat”拖放到“开始->程序->启动”选项,还可以实现PC开机自动拨号上网。\r\n\r\n方案四:\r\n酒店使用可做端口隔离(支持802.1 QVLAN协议的交换机)房间的端口应该和交换机端口绑定,并且每个端口应该是独立的Vlan,然后交换机的汇聚口连接路由器的LAN口,这样的话也可以减轻ARP欺骗对内网其他PC的欺骗。\r\n \r\n方案五:\r\n可使用HIPER路由器WEB页面—高级配置—特殊管理 页面划分虚拟局域网的功能,将内网按楼层或按办公与客房的区别,将之划分为多个VLAN,使之不能互相访问,以此来尽可能的减轻ARP欺骗所带来的网络问题。\r\nHIPER路由器该功能启用位置(WEB页面—高级配置—特殊功能):\r\n \r\n \r\n总结:\r\n鉴于ARP病毒在相当长的时间内还会继续存在,无法彻底消失(当然也考虑到其它病毒或攻击的存在),所以一个局域网,尤其是一个酒店的局域网,要保持长期的网络稳定,建议还是要将每个房间设为固定的IP地址,并对其房间所分的IP地址进行登记、留存,这样如果再发生网络异常的时候,也能够通过HiPER路由器快速的查找到相关病毒主机对其进行处理。\r\n 建议可在每个房间网线接口旁边放一个打印有如下内容的卡片:\r\n 1、该房间所分配的IP地址及如何设置这个IP地址;\r\n 2、如何从酒店服务器的共享文件夹中下载已经建好的ARP绑定批处理文件;\r\n 3、何时使用该文件,该文件的操作方法。 |
|
免费注册
发表于 2009-05-15 17:20
