首先,让我们来了解一下ARP攻击的原理。在局域网中,计算机、路由器等设备通过ARP协议将ip地址与MAC地址进行转换。每个设备都维护着一个ARP缓存表,用于存储IP地址与MAC地址的映射关系。当ARP攻击发生时,攻击者会伪造MAC地址与IP地址的对应关系,篡改ARP缓存表,使得正常设备无法通过路由器上网。
为了防止ARP攻击,我们可以采取以下措施:
1. 启用路由器的“IP与MAC地址绑定”功能。这项功能可以将每台设备的MAC地址与内网IP地址建立绑定关系,并将这些信息保存到ARP缓存表中。这样,即使ARP攻击发生,也无法修改ARP缓存表,从而避免对路由器的影响。
2. 在电脑上进行IP与MAC绑定。用户可以在Windows命令行界面中输入ARP命令,将路由器的IP地址和MAC地址绑定到电脑的ARP表中。此外,用户还可以创建一个批处理文件,将绑定操作设置为开机自启动,实现自动绑定。
3. 定期刷新ARP缓存表。重启路由器可以刷新ARP缓存表,但这种方法较为麻烦。用户可以在路由器管理界面设置自动刷新功能,提高网络稳定性。
4. 使用防火墙和杀毒软件。防火墙和杀毒软件可以识别和拦截恶意攻击,保护网络安全。
接下来,让我们来探讨如何利用路由器防范网络中的恶意攻击。以小区宽带上网为例,我们可以通过以下步骤限制外部电脑连接本小区的192.168.0.1这台主机的23(Telnet)、80(www)、3128等端口:
1. 连接路由器并输入密码。
2. 进入路由器配置模式。
3. 设置访问列表,拒绝连接到192.168.0.1主机的特定端口。
4. 将访问列表应用到路由器接口。
5. 将配置写入启动配置。
通过以上方法,我们可以有效限制恶意攻击,保护网络安全。
总之,了解ARP攻击原理和防范措施,以及如何利用路由器防范恶意攻击,对于保障网络稳定性和信息安全具有重要意义。希望本文能为大家提供帮助。一、我的路由器遭到ARP攻击
1、解释下ARP攻击的原理:ARP攻击:导致瞬间掉线和大面积断网的罪魁祸首。
在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换。
网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度。
目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。
在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又出现断网现象,如此反复,很容易被误断为路由器“死机”,从而使得导致网络无法使用。
2、如果路由器上有“IP与MAC地址绑定”功能,一般可以有效防范ARP攻击。
启用IP与MAC地址绑定功能(如图1),可将局域网内的每一台电脑的MAC与内网IP建立一一对应的关系保存到ARP缓存表中(如图2),此后,网吧即使受到ARP攻击也不能修改ARP缓存表,从根本上排除ARP攻击对路由器的影响:
设置IP与MAC绑定功能很简便,无须逐一输入电脑的IP与MAC,路由器工作正常时在路由器管理界面的ARP映射表中点击一下“全部绑定”按钮(如图3),就可以完成IP与MAC绑定;点击“全部导入”按钮将已建立的IP与MAC绑定关系保存到系统,即使重新启动也无需重新绑定。
3、在电脑上进行IP与MAC绑定也必不可少。
在电脑上进行IP与MAC绑定该如何操作就是在电脑的Windows命令行界面中输入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以将的路由器IP和MAC绑定到电脑的ARP表中。
若通过Windows命令行界面中输入ARP命令来绑定IP与MAC,电脑每次在重启后都需要先输入ARP命令,还有更简单的办法,可以让电脑每次启动时,自动将路由器的IP与MAC绑定到电脑的ARP表中:
STEP 1 新建一个批处理文件如static_arp.bat,注意后缀名为bat。
编辑它,在里面加入ARP命令,并保存。
要得到路由器的LAN口MAC地址,可以查看路由器的界面中的“LAN运行状态”。
STEP 2 将建立好的批处理文件static_arp.bat拷贝到系统的启动目录中。
电脑每次启动时将自动运行该文件,自动绑定IP与MAC。
STEP 3 将static_arp.bat文件拷贝到所有电脑的系统启动目录中。
所有电脑都将路由器的IP与MAC绑定到ARP表中,无需再担心因ARP攻击而无法上网。
二、教你用路由器来防范网络中的恶意攻击
除了ADSL拨号上网外,小区宽带上网也是很普遍的上网方式。
如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范黑客的攻击呢。
下面就让我们来实战一番。
用路由器来防范网络中的恶意攻击
目的: 限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。
前提: router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。
步骤1 在开始菜单中选择运行,在弹出的对话框中输入“cmd”并回车,出现窗口后,在提示符下连接路由器,指令格式为“telnet路由器IP地址”。
当屏幕上要求输入telnetpassword时(多数路由器显示的是“Login”字样),输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enablepassword时输入密码。
提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。
步骤2 输入指令Router#configuretermihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。
步骤3 进入配置模式后,输入指令Router(config)#Access-list101denytcpanyhost192.168.0.1eqtelnet,该指令的作用是设定访问列表(accesslist),该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port)23(telnet)的`任何请求。
步骤4 输入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。
步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128来完成。
步骤6 到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Router(config)#aceess-list101permitipanyany来允许其他访问请求。
但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下。
输入指令Router(config)#interfaceeO/1进入接口(interface)ethernet0/1,然后键入指令Router(config-if)#ipaccess-group101out将访问列表实行于此接口上。
这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。
最后,输入指令write将设定写入启动配置,就大功告成了。
这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。
另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。
