ARP欺騙原理以及路由器的先天免疫_ARP原理

ARP（Address Resolution Protocol， 地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議， 負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

“網(wǎng)管， 怎么又掉線了？！”每每聽到客戶的責(zé)問， 網(wǎng)管員頭都大了。 其實， 此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。 ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營的罪魁禍?zhǔn)祝?是網(wǎng)吧老板和網(wǎng)管員的心腹大患。

從影響網(wǎng)絡(luò)連接通暢的方式來看， ARP欺騙分為二種， 一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。 它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址， 并按照一定的頻率不斷進行， 使真實的地址信息無法通過更新保存在路由器中， 結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址， 造成正常PC無法收到信息。 第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。 它的原理是建立假網(wǎng)關(guān)， 讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)， 而不是通過正常的路由器途徑上網(wǎng)。 在PC看來， 就是上不了網(wǎng)了， “網(wǎng)絡(luò)掉線了”。

一般來說， ARP欺騙攻擊的后果非常嚴(yán)重， 大多數(shù)情況下會造成大面積掉線。 有些網(wǎng)管員對此不甚了解， 出現(xiàn)故障時， 認(rèn)為PC沒有問題， 交換機沒掉線的“本事”， 電信也不承認(rèn)寬帶故障。 而且如果第一種ARP欺騙發(fā)生時， 只要重啟路由器， 網(wǎng)絡(luò)就能全面恢復(fù)， 那問題一定是在路由器了。 為此， 寬帶路由器背了不少“黑鍋”。

作為網(wǎng)吧路由器的廠家， 對防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。 一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態(tài)表中， 這叫路由器IP-MAC綁定。 二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息， 這叫PC機IP-MAC綁定。 一般廠家要求兩個工作都要做， 稱其為IP-MAC雙向綁定。

方法是有效的， 但工作很繁瑣， 管理很麻煩。 每臺PC綁定本來就費力， 在路由器中添加、維護、管理那么長長的一串列表， 更是苦不堪言。 一旦將來擴容調(diào)整， 或更換網(wǎng)卡， 又很容易由于疏忽造成混亂。 如果您有所擔(dān)心， 那么不妨選用欣向網(wǎng)吧路由IXP機種， 它可以使您寬心一些。 因為欣向路由器根本不需要IP-MAC綁定， 沒有那長長的一串地址表。 對付ARP， 您只要做PC的單向綁定就可以了。 該路由能夠有效拒絕ARP對網(wǎng)關(guān)的欺騙， 它是先天免疫的！

欣向路由的ARP先天免疫取決于它的二個有力的技術(shù)措施。 一是獨特的NAT處理機制， 二是網(wǎng)關(guān)的主動防范機制。

產(chǎn)品對NAT的處理不同于通用協(xié)議棧的方式， 它在原有的網(wǎng)絡(luò)協(xié)議基礎(chǔ)上， 進行了強化、保護和擴容。 雖然NAT是標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議， 但實現(xiàn)方法可以各顯其能， 保證殊途同歸就行。 ARP欺騙只對公開的、通用的系統(tǒng)起作用， 它利用了通用系統(tǒng)工作方式上的漏洞， 而對NAT實現(xiàn)機制卻無能為力， 因為NAT設(shè)計了強有力的保護字段。 這就是欣向路由能夠?qū)�ARP先天免疫的原理。

另外， 為對抗假冒網(wǎng)關(guān)的ARP欺騙， 產(chǎn)品設(shè)計了網(wǎng)關(guān)的ARP廣播機制， 它以一個可選定的頻次， 向內(nèi)網(wǎng)宣布正確的網(wǎng)關(guān)地址， 維護網(wǎng)關(guān)的正當(dāng)權(quán)益。 在暫時無法及時清除ARP病毒， 網(wǎng)管員還沒有做PC上的IP-MAC綁定時， 它能在一定程度上維持網(wǎng)絡(luò)的運行， 避免災(zāi)難性后果， 贏取系統(tǒng)修復(fù)的時間。 這就是ARP主動防范機制。

不過， 如果不在PC上綁定IP-MAC， 雖然有主動防范機制， 但網(wǎng)絡(luò)依然在帶病運行。 因為這種ARP是內(nèi)網(wǎng)的事情， 是不通過路由器的。 讓路由器插手只能做到對抗， 不能根絕。 ARP太猖獗時， 就會發(fā)生時斷時續(xù)的故障， 那是主動防范機制在與ARP欺騙進行拉鋸式的斗爭。 為此， 產(chǎn)品還專門提供了一個ARP欺騙偵測、定位、防范的工具軟件， 免費發(fā)放給所有的網(wǎng)吧， 幫助網(wǎng)管員們發(fā)現(xiàn)ARP欺騙的存在， 為清除ARP欺騙源提供工作輔佐， 并加入了欣向主動防范機制， 有效對付ARP欺騙。

盡管如此， 仍然提醒廣大的網(wǎng)吧網(wǎng)管員， 為了一勞永逸， 還是費點力為每臺PC做IP-MAC綁定吧， 這樣可以徹底根除ARP欺騙帶來的煩惱。 況且， 路由只需要單向綁定， 已經(jīng)為您省去了另一半更繁瑣的工作， 并且設(shè)置時不需要重啟路由器斷網(wǎng)。 路由器本身不怕ARP， 您再做好PC上的綁定， 讓PC也不怕ARP， 雙管齊下， 您的網(wǎng)吧就可以高枕無憂了。