1、什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗:
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
2、ARP欺骗的危害?
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找真凶的难度。
近段时间,国内网吧、企业、酒店等行业大都出现过由于ARP病毒引起的断线(全断或部分断线)的现象,由于该病毒变种太多,传播速度太快,国内外的反病毒厂商都没有很好的办法来解决ARP病毒问题。
绝大多数路由器厂商建议用户在内网主机和路由器之间建立双向的ARP绑定来解决这个问题,这也是目前看来最行之有效的解决方案。
但是在酒店却很难使用这个方案,随着住店客人的不断更换,酒店客房里的主机是不断变化的,这就意味着遭遇ARP欺骗时,不可能在路由器上通过绑定内网主机ARP信息的传统方法解决此问题。同时,也很难让住店的客人操作对路由器的ARP绑定。
针对使用HiPER路由器的酒店用户特提出以下解决方案:
(一)解决路由器被ARP欺骗的问题:
绝大多数酒店采用DHCP技术给上网用户动态分配IP地址,HiPER新一代ReOS版本VSTAR根据这个特点,对路由器DHCP动态分配IP地址的用户自动进行ARP绑定,待该IP地址租约到期未续租时将其自动解除绑定的功能。这样当路由器收到内网虚假的ARP信息的时候就会主动拒绝。
(二)解决内网主机被ARP欺骗的问题:
方法1:通过HiPER路由器按照一定频率发送申明自己的广播包,告知内网每台主机正确的网关ARP信息。
图一. HiPER路由器该功能启用位置(WEB页面—安全配置—ARP欺骗防御)
方法2:一旦ARP病毒发包的频率高于网关的发送频率,方法1的防御方法就会失效。这时候我们就可以配合内网安全交换机端口隔离功能来解决这个问题,在内网的交换安全交换机上配置每个端口为独立的VLAN(可以采用802.1QVLAN或者Port VLAN技术)。这样,内网即使有主机发起ARP欺骗,也不会影响到内网的其他主机的正常上网。
暂时没有安全交换机的酒店网络也可以使用过渡方法,在内网的服务器上共享一个主机绑定路由器ARP信息的批处理文件,并且在每个房间网线接口旁摆放一个卡片,指导用户如何找到这个批处理文件,如何执行该批处理文件。这样就可以在内网主机上完成对路由器ARP信息的绑定。
ARP欺骗病毒在相当长的时间内还会继续存在,艾泰科技将不断的为用户提供各种解决方案,帮助用户打造一个稳定、高效的接入环境。
