| 無線路由器可以實現寬帶共享功能,為局域網內的電腦��、手機����、筆記本等終端提供有線、無線接入網絡��。本文指導如何快速設置路由器連接寬帶上網�����。 在局域網中����,通信前必須通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)���。ARP協議對網絡安全具有重要的意義���。通過偽造IP地址和MAC地址實現ARP欺騙,對網絡的正常傳輸和安全都是一個很嚴峻的考驗�����。
目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”�、“P2P終結者”、“網吧傳奇殺手”等����,這些軟件中,有些是人為手工操作來破壞網絡的��,有些是作為病毒或者木馬出現�����,使用者可能根本不知道它的存在�,所以更加擴大了ARP攻擊的殺傷力。
從影響網絡連接通暢的方式來看���,ARP欺騙有兩種攻擊可能����,一種是對路由器ARP表的欺騙���;另一種是對內網電腦ARP表的欺騙��,當然也可能兩種攻擊同時進行��。不管怎么樣�,欺騙發送后,電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上�,從表面上來看,就是“上不了網”���,“訪問不了路由器”����,“路由器死機了”���,因為一重啟路由器����,ARP表會重建����,如果ARP攻擊不是一直存在��,就會表現為網絡正常��,所以網吧業主會更加確定是路由器“死機”了,而不會想到其他原因�。為此,寬帶路由器背了不少“黑鍋”�,但實際上應該ARP協議本身的問題。我們來看看如何來防止ARP欺騙�。
上面也已經說了,欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種��,我們的防護當然也是兩個方面的����,首先在路由器上進行設置,來防止路由器的ARP表被惡意的ARP數據包更改�����;其次��,我們也會在電腦上進行一下設置����,來防止電腦的ARP表受惡意更改。兩個方面的設置都是必須的��,不然,如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦�����,電腦被欺騙后就不會把數據包發送到路由器上����,而是發送到一個錯誤的地方,當然無法上網和訪問路由器了���。
我司路由器上主要的IP與MAC地址綁定的方式有兩種����,普通綁定與強制綁定�。SOHO級路由器上主要進行的是普通綁定,企業級的路由器上有普通綁定�,也有強制綁定。
普通綁定是在路由器上記錄了局域網內計算機MAC地址對應的IP地址���,建立了一個對應關系��,不會受到ARP欺騙����,導致無法正常通訊。對于沒有進行IP與MAC地址綁定的計算機就可能受到ARP攻擊��。SOHO級路由器普通綁定只是設置了一個IP與MAC的對應關系���,若計算機更改了其IP地址,路由器仍然能進行ARP映射表自動學習����,掃描到計算機新的對應關系,該計算機仍能與路由器進行通訊����;而企業級路由器在普通綁定之后IP和MAC地址就是一一對應的關系了,若計算機更改了其IP地址�,路由器會認為其IP地址錯誤,從而不能與路由器進行通信��。
強制綁定:是指關閉路由器的學習IP與MAC地址能力�,手動在路由器中添加計算機IP與MAC地址。所以在設置了強制綁定后����,新接入路由器的計算機,若沒有添加IP與MAC地址對應關系����,該計算機是不能與路由器進行通訊的����;蛘呗酚善飨碌挠嬎銠C更改了其IP地址�����,導致與路由器上記錄的IP與MAC對應關系不一致����,也無法進行通訊��。
下面就以TL-4299G為例對企業級級路由器上的普通綁定和強制綁定的設置�����,進行詳細地介紹�����,以及如何設置來防止ARP欺騙�����。
一、設置前準備
當使用了防止ARP欺騙功能(IP和MAC綁定功能)后����,最好是不要使用動態IP,因為電腦可能獲取到和IP與MAC綁定條目不同的IP��,這時候可能會無法上網�,通過下面的步驟來避免這一情況發生吧��。
1)把路由器的DHCP功能關閉:打開路由器管理界面����,“DHCP服務器”->“DHCP服務”,把狀態由默認的“啟用”更改為“不啟用”��,保存并重啟路由器�����。
2)給電腦手工指定IP地址�����、網關�����、DNS服務器地址,如果您不是很清楚當地的DNS地址���,可以咨詢您的網絡服務商��。
二�����、設置路由器防止ARP欺騙
打開路由器的管理界面���,在左側的菜單中可以看到:
“IP與MAC綁定”的功能,這個功能除了可以實現IP和MAC綁定外��,還可以實現防止ARP欺騙功能�����。
打開“靜態ARP綁定設置”窗口如下:
注意����,默認情況下ARP綁定功能是關閉,請選中啟用后��,點擊保存來啟用。
在添加IP與MAC地址綁定的時候�,可以手工進行條目的添加,也可以通過“ARP映射表”查看IP與MAC地址的對應關系��,通過導入后��,進行綁定����。
1���、手工進行添加��,單擊“增加單個條目”�。
填入電腦的MAC地址與對應的IP地址��,然后保存�����,就實現了IP與MAC地址綁定��。
2����、通過“ARP映射表”����,導入條目��,進行綁定�����。
打開“ARP映射表”窗口如下:
這是路由器動態學習到的ARP表�����,可以看到狀態這一欄顯示為“未綁定”�。如果確認這一個動態學習的表沒有錯誤,也就是說當時不存在arp欺騙的情況下���,把條目導入�����,并且保存為靜態表�����,這樣路由器重啟后這些條目都會存在�����,實現綁定的效果��。
若存在許多計算機����,可以點擊“全部導入”,自動導入所有計算機的IP與MAC信息����。
導入成功以后�����,即已完成IP與MAC綁定的設置�。如下:
可以看到狀態中已經為已綁定,這時候�,路由器已經具備了防止ARP欺騙的功能,上面的示范中只有一個條目���,如果您的電腦多�,操作過程也是類似的。有些條目如果沒有添加��,也可以下次補充上去�。除了這種利用動態學習到的ARP表來導入外,也可以使用手工添加的方式����,只要知道電腦的MAC地址,手工添加相應條目就可���。
在“ARP映射表”中可以看到�,此計算機的IP地址與MAC地址已經綁定���,在路由器重啟以后��,該條目仍然生效
三�����、設置電腦防止ARP欺騙
路由器已經設置了防止ARP欺騙功能����,接下來我們就來設置電腦的防止ARP欺騙了。微軟的操作系統中都帶有ARP這一命令行程序��,我們可以在windows的命令行界面來進行配置����。
Windows XP系統的設置方法:
點擊“開始”,選擇“運行”�,輸入“cmd”,打開windows的命令行提示符如下:
通過“arp –s 路由器IP+路由器MAC”這一條命令來實現對路由器的ARP條目的靜態綁定�,如:arp –s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的輸出中��,已經有了我們剛才添加的條目�,Type類型為static表示是靜態添加的。至此�,我們也已經設置了電腦的靜態ARP條目,這樣電腦發送到路由器的數據包就不會發送到錯誤的地方去了����。
怎么知道路由器的MAC地址是多少呢���?可以打開路由器的管理界面�����,進入“網絡參數”->“LAN口設置”:
LAN口的MAC地址就是電腦的網關的MAC地址�����。
細心的人可能已經發現了����,如果使用上面的方法,電腦每次在重啟后都需要輸入上面的命令來實現防止ARP欺騙��,有沒有更簡單的方法自動來完成���,不用手工輸入呢�?有���!
我們可以新建一個批處理文件如static_arp.bat��,注意后綴名為bat�。編輯它����,在里面加入我們剛才的命令:
保存就可以了,以后可以通過雙擊它來執行這條命令����,還可以把它放置到系統的啟動目錄下來實現啟動時自己執行�����。打開電腦“開始”->“程序”�����,雙擊“啟動”打開啟動的文件夾目錄�,把剛才建立的static_arp.bat復制到里面去:
好了����,以后電腦每次啟動時就會自己執行arp –s命令了,在以后使用網絡的時候���,不再受到ARP攻擊的干擾����。
Windows Vista和Windows 7系統的設置方法:
1�、管理員身份運行命令提示符。
2��、命令:netsh -c i i show in 查看網絡連接準確名稱�。如:本地連接、無線網絡連接���。
3���、執行綁定:netsh -c i i add neighbors "網絡連接名稱" "IP地址" "MAC地址"。
4�、綁定完成,電腦重啟靜態ARP不失效�,不用像XP一樣建批處理文件。
如圖所示:
本文可以幫助您基本地設置和管理您的路由器��。
| 
