- FR538G 如何防止 ARP 欺骗
-
发布时间:2010-09-10 17:12:06
发布时间:2010-09-10 17:12:06
最近,互联网上越来越多ARP欺骗的病毒泛滥,使企业用户和网吧的网络管理员饱受ARP病毒欺骗之苦,ARP欺骗是利用局域网内PC和路由器的ARP Cache的漏洞,中了ARP欺骗病毒的主机通过发出大量的虚假的ARP信息来欺骗PC机或路由器,使PC机或路由器的ARP列表出错,导入局域网内的PC出现丢线的现象,严重的可以使到整个局域网的PC出现大面积的丢线,严重影响网吧或企业网络的上网。
ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
针对ARP欺骗的情况,FR538G防火墙提供了全面的解决方案。
第一种类ARP欺骗类型,即:对路由器ARP表的欺骗,该ARP欺骗类型的目的就是使路由器获取了错误的的PC的MAC 地址,当一个数据包从局域网发出,经路由器至Internet的某台服务器后,该服务器发回来的响应数据包经路由器时,因为得到了PC错误MAC地址,使响应数据包无办法回到正确的PC上,从而导致出现丢线现象,解决该问题,只需路由器支持IP/MAC地址,使ARP欺骗病毒的错误信息无办法影响到路由器的ARP列表即可。
FR538G支持IP/MAC 地址绑定,具体设置需进到FR538G的管理界面:Security>IP/MAC Binding选项,如下图所示:
1). 启用 IP/MAC 绑定功能:
Do you want to enable IP/MAC Binding ? 选中“Yes”,并点Apply即可。
2). 扫描可绑定的PC的IP/MAC信息:
按一下refresh按钮:,FR538G开始在局域网进行扫描,当扫描完成后,会显示如下图所示:
注:当你的网络经过三层交换或路由连接到FR538G时,FR538G将不能扫描不是直接连接的网段,也不能进行有效的IP/MAC绑定。
3). Enable需绑定的IP/MAC地址:
选中要绑定的IP/MAC地址,并点击绿色按钮enable即可。有时因为局域网内有部分PC未开启,所以FR538G无办法进行有效的扫描,因此,当这些PC机开启后,我们只需重新按一下refresh按钮重新扫描即可。
注意:在设置IP/MAC绑定时,需首先把FR538G的DHCP Server关闭。
第二种是对内网PC的网关欺骗,即欺骗局域网的PC,使他们无法获得正确的路由器的IP地址及MAC地址等信息,从而使PC无法通过正确的网关出Internet,解决该问题的方法有两种:
第一种设置的办法就是我们常说的双向绑定的方法,即除了上述所说的在FR538G设置IP/MAC地址的绑定外,我们需在单台PC上进行绑定正确的路由器的IP/MAC地址即可。
1). 进入管理菜单Monitoring>Router Status,查看FR538G的LAN 口的IP和MAC地址,如下图所示:
2). 编写一个批处理文件xxx.bat内容如下;
@echo off
arp -d
arp -s 192.168.1.254 00:11:22:33:44:43
刚才我们已经查看了FR538G正确的IP/MAC地址信息,现在,我们把该IP/MAC 地址添加到在批处理文件中保存,并将该批处理文件拖到“windows--开始--程序--启动”中,如果是网吧,可以利用收费软件服务端程序(如pubwin或万象等软件)发送批处理文件xxx.bat到所有客户机的启动目录。
这样,我们即完成了双向绑定的设置,从而有效地防止ARP欺骗病毒。
另外,如果在实际环境中不方便对每一台PC进行单向绑定,我们可以采用第二种防御方法,即启用FR538G的Arp Attack Prevention功能。该功能启用后,FR538G将主动发布正确的ARP信息,确保下面的电脑接到正确的ARP信息,防止出现被中毒的PC发布的错误网关信息影响,使局域网内的PC均获得正确的路由器的IP/MAC信息。
具体设置需进到Security>IP/MAC Binding选项,如下图所示:
在Arp Attack Prevention选项中提示:do you want to enable Arp Attack Prevention?选中Yes,Refresh Interval默认值为100ms即可,点击Apply即立即生效。
通过以上的设置,各企业用户及网吧用户,将不再担心ARP欺骗病毒引起的丢线问题,确保局域网的用户实现24*7小时的Internet访问服务。