首先,了解ARP攻击是很有必要的。ARP攻击是黑客常用的手段之一,通过伪造MAC地址,黑客可以轻易地篡改网络数据,导致用户掉线或无法上网。为了避免这种情况,我们可以开启路由器的IP与MAC地址绑定功能。
具体操作如下:在路由器管理界面中,找到“IP与MAC绑定”选项,勾选“启用”并保存。这样,路由器会自动将局域网内每台电脑的MAC地址与ip地址绑定,即使遭到ARP攻击,也无法修改ARP缓存表,从而保障网络稳定。
此外,在电脑上也可以进行IP与MAC绑定。在Windows系统中,打开命令提示符,输入“arp -s +路由器IP+路由器LAN口MAC地址”即可。为了方便,我们可以将绑定命令保存为批处理文件,在系统启动时自动运行。
接下来,我们来看看如何利用路由器防范恶意攻击。首先,我们需要设置访问列表。在路由器管理界面中,找到“访问控制”选项,创建一个新的访问列表,并设置拒绝特定端口(如23、80、3128等)的访问。然后,将这些规则应用到相应的接口上,确保数据包在离开接口前经过检查。
最后,将设置好的访问列表写入启动配置,这样路由器在重启后会自动应用这些规则。通过以上操作,我们可以在一定程度上防范黑客的攻击,保障家庭网络安全。
总之,通过合理配置路由器,我们可以有效地防范网络攻击,保护我们的信息安全。希望本文能为您提供一些帮助。一、我的路由器遭到ARP攻击
1、解释下ARP攻击的原理:ARP攻击:导致瞬间掉线和大面积断网的罪魁祸首。
在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换。
网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度。
目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。
在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又出现断网现象,如此反复,很容易被误断为路由器“死机”,从而使得导致网络无法使用。
2、如果路由器上有“IP与MAC地址绑定”功能,一般可以有效防范ARP攻击。
启用IP与MAC地址绑定功能(如图1),可将局域网内的每一台电脑的MAC与内网IP建立一一对应的关系保存到ARP缓存表中(如图2),此后,网吧即使受到ARP攻击也不能修改ARP缓存表,从根本上排除ARP攻击对路由器的影响:
设置IP与MAC绑定功能很简便,无须逐一输入电脑的IP与MAC,路由器工作正常时在路由器管理界面的ARP映射表中点击一下“全部绑定”按钮(如图3),就可以完成IP与MAC绑定;点击“全部导入”按钮将已建立的IP与MAC绑定关系保存到系统,即使重新启动也无需重新绑定。
3、在电脑上进行IP与MAC绑定也必不可少。
在电脑上进行IP与MAC绑定该如何操作就是在电脑的Windows命令行界面中输入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以将的路由器IP和MAC绑定到电脑的ARP表中。
若通过Windows命令行界面中输入ARP命令来绑定IP与MAC,电脑每次在重启后都需要先输入ARP命令,还有更简单的办法,可以让电脑每次启动时,自动将路由器的IP与MAC绑定到电脑的ARP表中:
STEP 1 新建一个批处理文件如static_arp.bat,注意后缀名为bat。
编辑它,在里面加入ARP命令,并保存。
要得到路由器的LAN口MAC地址,可以查看路由器的界面中的“LAN运行状态”。
STEP 2 将建立好的批处理文件static_arp.bat拷贝到系统的启动目录中。
电脑每次启动时将自动运行该文件,自动绑定IP与MAC。
STEP 3 将static_arp.bat文件拷贝到所有电脑的系统启动目录中。
所有电脑都将路由器的IP与MAC绑定到ARP表中,无需再担心因ARP攻击而无法上网。
二、教你用路由器来防范网络中的恶意攻击
如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范黑客的攻击呢。
下面就让我们来实战一番。
用路由器来防范网络中的恶意攻击
目的: 限制外部电脑连接本小区的192.168.0.1这台主机的23(Telnet)、80(www)、3128等Port。
前提: router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。
步骤1 在开始菜单中选择运行,在弹出的对话框中输入“cmd”并回车,出现窗口后,在提示符下连接路由器,指令格式为“telnet路由器IP地址”。
当屏幕上要求输入telnetpassword时(多数路由器显示的是“Login”字样),输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enablepassword时输入密码。
提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。
步骤2 输入指令Router#configuretermihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。
步骤3 进入配置模式后,输入指令Router(config)#Access-list101denytcpanyhost192.168.0.1eqtelnet,该指令的作用是设定访问列表(accesslist),该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口(Port)23(telnet)的`任何请求。
步骤4 输入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。
步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128来完成。
步骤6 到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Router(config)#aceess-list101permitipanyany来允许其他访问请求。
但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下。
输入指令Router(config)#interfaceeO/1进入接口(interface)ethernet0/1,然后键入指令Router(config-if)#ipaccess-group101out将访问列表实行于此接口上。
这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。
最后,输入指令write将设定写入启动配置,就大功告成了。
这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。
另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。
