如何設(shè)置ARP防護(hù)
如何設(shè)置ARP防護(hù)
ARP是IP與MAC地址的解析協(xié)議,對(duì)網(wǎng)絡(luò)通信至關(guān)重要。但是,由于ARP沒(méi)有保護(hù)機(jī)制,所以偽造的ARP數(shù)據(jù)包會(huì)欺騙通信終端或設(shè)備,導(dǎo)致出現(xiàn)通信異常。常見(jiàn)的ARP欺騙軟件有“網(wǎng)絡(luò)執(zhí)法官”、“P2P終結(jié)者”、“QQ第六感”等,這些軟件中,有些是人為手工操作來(lái)破壞網(wǎng)絡(luò),有些是作為病毒或者木馬出現(xiàn),使用者可能根本不知道它的存在,所以更加擴(kuò)大了ARP攻擊的危害。下面學(xué)習(xí)啦小編就教大家如何設(shè)置ARP防護(hù)功能。
無(wú)線(xiàn)企業(yè)路由器的ARP防護(hù)功能的設(shè)置方法:
在設(shè)置ARP綁定之前,請(qǐng)給需要綁定的電腦手動(dòng)指定IP地址。
同時(shí),建議查看對(duì)應(yīng)電腦的MAC地址,制作IP、MAC、電腦的表格,便于后續(xù)維護(hù),如下:
注意:以上表格僅供參考,具體信息請(qǐng)根據(jù)實(shí)際需要記錄。
登錄路由器的管理界面,點(diǎn)擊 安全管理 >> ARP防護(hù),在ARP防護(hù)界面添加綁定條目。有兩種添加方法:手動(dòng)逐條添加和掃描添加,具體方法請(qǐng)根據(jù)實(shí)際需要選擇,方法如下:
手動(dòng)添加方法:
手動(dòng)添加操作復(fù)雜,但是安全性高。在網(wǎng)絡(luò)中已經(jīng)存在ARP欺騙或者不確定網(wǎng)絡(luò)中是否存在ARP欺騙的情況下,建議使用手動(dòng)添加的方式。手工進(jìn)行添加,點(diǎn)擊 增加單個(gè)條目,填寫(xiě)對(duì)應(yīng)的IP和MAC地址,填寫(xiě)備注信息。
出接口:指綁定電腦所在網(wǎng)絡(luò)連接的路由器的接口。
掃描添加方法:
簡(jiǎn)單快捷,但是要確定網(wǎng)絡(luò)中沒(méi)有ARP欺騙,否則綁定錯(cuò)誤的IP/MAC條目可能導(dǎo)致內(nèi)網(wǎng)部分主機(jī)無(wú)法上網(wǎng)。 點(diǎn)擊ARP掃描,點(diǎn)擊 開(kāi)始掃描,此時(shí)等待一會(huì),路由器會(huì)自動(dòng)查找當(dāng)前內(nèi)網(wǎng)的主機(jī),并顯示主機(jī)的IP和MAC地址信息,如下圖所示:
點(diǎn)擊 全選,再點(diǎn)擊 導(dǎo)入,所有的綁定條目就設(shè)置完成了。
注意:ARP掃描的功能也可以?huà)呙鑇AN口的網(wǎng)段,可以通過(guò)掃描綁定WAN口網(wǎng)關(guān)地址防止前端ARP欺騙(寬帶撥號(hào)無(wú)需綁定)。
局域網(wǎng)中電腦的IP與MAC全部綁定完成后,在功能設(shè)置中,勾選 啟用ARP防欺騙功能,點(diǎn)擊 設(shè)置。
注意:如果勾選 僅允許IP MAC綁定的數(shù)據(jù)包通過(guò)路由器,則不在綁定列表或與綁定列表沖突的電腦不能上網(wǎng)及管理路由器。
在路由器管理界面左上角點(diǎn)擊 保存。
至此,路由器防止ARP欺騙設(shè)置完成。
僅在路由器上綁定主機(jī)的MAC地址并不能完全解決ARP欺騙的問(wèn)題,在主機(jī)上綁定路由器的MAC地址,即雙向綁定,則可以徹底解決欺騙問(wèn)題。以下介紹不同操作系統(tǒng)電腦的綁定方法:
Windows XP系統(tǒng):
在電腦上建立一個(gè)文本文件,寫(xiě)入ARP綁定命令:arp –s IP MAC,如下圖。
注意:IP是路由器的管理地址(192.168.1.1),MAC是路由器LAN口的MAC地址(01-02-03-04-05-06)。
保存之后將該文件修改為.bat后綴的批處理文件,比如“arp.bat”。然后將其放入系統(tǒng)啟動(dòng)項(xiàng)中,以后系統(tǒng)每次開(kāi)機(jī)時(shí)都會(huì)執(zhí)行該綁定命令。如圖所示:
Windows 7系統(tǒng):
1、打開(kāi)命令提示符,使用命令:netsh i i show in查看網(wǎng)卡idx編號(hào);
2、查詢(xún)到網(wǎng)卡idx編號(hào)后,再使用命令 netsh –c i i add neighbors idx ip mac進(jìn)行ARP綁定,如下:
3、使用arp –a的命令可以查詢(xún)到綁定是否生效,如下圖所示:
設(shè)置完成后,電腦重啟,ARP綁定條目也不會(huì)失效。
注意:Windows 8系統(tǒng)的綁定方法和Windows 7相同,如果需要?jiǎng)h除ARP綁定條目,只需要輸入命令:
Netsh –c i i delete neighbors idx(idx表示編號(hào)),重啟電腦后,綁定刪除。
至此全部的設(shè)置就完成了,后續(xù)則無(wú)需擔(dān)心ARP欺騙給網(wǎng)絡(luò)帶來(lái)的影響。
企業(yè)路由器設(shè)置過(guò)程中,ARP綁定方面問(wèn)題解答如下:
問(wèn):設(shè)置ARP綁定不生效,怎么辦?
答:由于ARP欺騙是雙向的,請(qǐng)確認(rèn)已經(jīng)在路由器及電腦上都做好ARP綁定,同時(shí)確保內(nèi)網(wǎng)電腦的IP地址是手動(dòng)指定的。
問(wèn):設(shè)置ARP綁定后,電腦上不了網(wǎng)怎么辦?
答:確保上不了網(wǎng)的電腦ARP信息在路由器綁定列表,如果信息不一致,請(qǐng)修正設(shè)置;如果路由器上勾選了“僅允許綁定的IP MAC數(shù)據(jù)包通過(guò)路由器”,請(qǐng)確保上不了網(wǎng)的電腦已經(jīng)在路由器上做了綁定。
問(wèn):僅啟用“防ARP欺騙功能”與“僅允許綁定的IP MAC數(shù)據(jù)包通過(guò)路由器”有什么區(qū)別?
答:兩者都是防止ARP欺騙的,區(qū)別在于:?jiǎn)⒂脙H允許綁定IP MAC數(shù)據(jù)包通過(guò)路由器,則沒(méi)有做綁定及綁定信息與路由器設(shè)置的條目不符的電腦,無(wú)法上網(wǎng),也不可以管理路由器。僅設(shè)置啟用防ARP欺騙,沒(méi)有設(shè)置綁定的電腦還是可以上網(wǎng)的(但電腦參數(shù)與綁定條目不符的,同樣無(wú)法上網(wǎng)及管理路由器)。
問(wèn):為何開(kāi)啟綁定后,界面卡死(無(wú)法操作)
答:設(shè)置ARP綁定的時(shí)候,建議先添加綁定條目,然后再開(kāi)啟綁定開(kāi)關(guān)。如果先開(kāi)啟強(qiáng)制綁定的開(kāi)關(guān),那么如果列表為空,則會(huì)導(dǎo)致管理主機(jī)無(wú)法管理路由器,表現(xiàn)出來(lái)管理頁(yè)面卡死的現(xiàn)象。