企业级路由器应用(三)—ARP欺骗防护功能的使用
实训三-ARP攻防
实验三 ARP攻防实验名称:ARP攻防。
实验目的:理解ARP协议,并学会判断与防范ARP攻击。
技术原理:网络执法官限制目标主机与网关的通信,是通过ARP攻击来实现的。
在三层设备上对目标主机IP与MAC地址进行绑定,同时在目标主机上也对网关IP及MAC地址进行绑定,可以防止受到ARP的欺骗性攻击。
实现功能:目标主机防范ARP攻击。
实验设备:RSR20一台,S2126G一台,PC二台,网络执法官软件一套。
实验拓朴:实验步骤:1.配置路由器RSR20:router>enable //进入特权模式router# configure terminal //进入全局配置模式router(config)#interface fastethernet 0/0 //进入路由器F0/0的接口模式router(config-if)# ip address 192.168.10.1 255.255.255.0router(config-if)# no shutdown //开启该端口,使端口转发数据2. 将PC1设置IP地址为192.168.10.2/24,网关为192.168.10.1。
测试PC1与网关的通信,并确认正常:Ping 192.168.10.1 -tReply from 192.168.10.1: bytes=32 time<1ms TTL=1503. 将PC2设置IP地址为192.168.10.3/24,网关为192.168.10.1。
测试PC2与PC1的通信,并确认正常:Ping 192.168.10.2 -tReply from 192.168.10.2: bytes=32 time<1ms TTL=1504. 将PC2上的防病毒软件监控功能关闭,然后运行网络执法官软件,并将192.168.10.1添加到关键主机列表,再设置阻断PC1与网关的通信,在主机列表中,对限制主机单击右键,选择“设定权限”,在弹出的窗口中,选择“发现该用户与网络连接即进行管理”,再点击“确定”即可。
H3C-ARP病毒攻击防御宝典--典型行业组网和配置指南
H3C ARP病毒攻击防御宝典--典型行业组网和配置指南典型组网方案一、应用场景(一)——普 / 职教基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
二、应用场景(二)——星级酒店基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
三、应用场景(三)——连锁型酒店基本采用动态IP网络,参考动态IP网络防御方案,综合考虑建议在出口路由器和核心交换机进行防御,接入层通过隔离技术避免攻击。
四、应用场景(四)——中小型企业静态IP网络参考静态IP网络防御方案,出于成本考虑可以在路由器和核心交换机上进行防御,在PC上绑定网关信息,可防御大多数ARP病毒。
五、应用场景(五)——中小型企业动态IP网络建议完全按照动态IP网络防御方案进行部署。
常用配置指南1、WEB方式,启用ARP防攻击、防欺骗功能,发送免费ARP报文。
在路由器等网络设备的“ARP防攻击”WEB管理页面,开启防攻击、防欺骗的功能。
同时,可以设置指定的时间间隔,向局域网内PC终端和服务器定期发送正确的网关ARP信息。
当网内受到错误的ARP广播包攻击时,路由器广播的正确ARP包就可以及时和消除攻击包的影响。
2、WEB方式,设置IP/MAC表,可以一键绑定:在路由器等网络设备的“IP/MAC表”web管理页面上,既可以直观地手工添加IP/MAC绑定信息,还在所有PC都能正常上网时,动态搜索ARP表,将网内PC机的IP地址和MAC对应关系通过“导入到IP/MAC绑定表”,实现一键绑定功能。
3、PC上做静态ARP绑定IP/MAC地址的配置方法:在微软操作系统中,打开windows的命令行提示符如下:通过“arp-s +IP如192.168.1.1+MAC地址”这一条命令来实现对网关/服务器等重要设备的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
其它操作系统命令行中也都有ARP命令,操作类似。
防范arp欺骗的方法
防范arp欺骗的方法ARP欺骗是一种常见的网络攻击手段,这种攻击手段利用了ARP协议的漏洞,将网络上的数据流重定向到攻击者的计算机上,从而实现窃取用户数据、嗅探网络流量甚至进行中间人攻击等目的。
为了防范ARP欺骗,我们可以采取一系列安全措施,包括以下几个方面:1. 使用未被攻击的网络通信方式可以采用虚拟专用网络(VPN)等方式来建立安全的网络通信,这样可以加密数据传输,防止数据被窃取。
此外,使用HTTPS 加密协议来保护网站通信,可以防止敏感信息泄漏。
2. 启用端口安全特性在交换机上启用端口安全特性,比如Cisco的接入控制列表(ACL)和端口安全(Port Security),这样可以限制单个端口的MAC地址数量,防止攻击者通过欺骗来插入非法设备。
3. 限制网络通信设备的物理访问将网络设备放置在安全可控的区域内,限制物理访问,同时使用物理安全设施(如监控摄像头、入侵报警系统等)来保护网络通信设备,防止攻击者通过物理方式攻击。
4. 定期更新系统和应用程序及时安装最新的操作系统和应用程序的安全补丁,这样可以修复已知的安全漏洞,有效降低被攻击的风险。
5. 配置安全策略在网络设备上配置安全策略,比如只允许特定MAC地址访问网络设备,禁止未授权的MAC地址通信等,这样可以防止欺骗攻击者绕过网络访问控制。
6. 使用网络入侵检测系统(NIDS)通过部署NIDS,可以对网络通信进行实时监控和分析,及时发现和阻止ARP欺骗攻击。
NIDS可以根据已知的攻击签名或异常行为检测到这类攻击,从而采取相应的防御措施。
7. 使用安全防火墙配置安全防火墙来监测和控制网络上的通信流量,防止ARP欺骗攻击,同时也能够通过网络地址转换(NAT)技术隐藏内部网络的真实IP地址,增加攻击者攻击的难度。
8. 启用ARP防火墙有些网络设备上有ARP防火墙的功能,可以根据设备的IP地址、MAC地址等信息,进行动态的ARP绑定,并设置有效期,有效防止ARP欺骗。
ARP欺骗的原理,攻击,防御
ARP欺骗的原理,攻击,防御ARP协议简介 ARP是Address Resolution Protocol (地址解析协议)的缩写。
在以太⽹中,两台主机想要通信,就必须要知道⽬标主机的MAC (Medium/Media Access Control,介质访问控制)地址,如何获取⽬标主机的MAC地址呢?这就是地址解析协议ARP的⼯作。
地址解析协议的基本功能就是在主机发送数据之前将⽬标IP转换为MAC地址,完成⽹络地址到物理地址的映射,以保证两台主机能够正常通信。
ARP缓存表 任何⼀台主机安装了 TCP/IP协议都会有ARP缓存表,该表保存了这个⽹络(局域⽹)中各主机IP对应的MAC地址,ARP缓存表能够有效地保证数据传输的⼀对⼀特性。
在Windows 中可以使⽤arp-a命令来查看缓存表,结果如下:C:\>arp -aInterface: 192.168.1.8 0x20002Internet Address Physical Address192.168.1.1 00-27-19-66-48-84192.168.1.12 2c-d0-5a-05-8e-fl 在此时的ARP缓存表中可以看到,192.168.1.12对应的MAC地址为2c-d0-5a-05-8e-fl,并且类型为动态。
如果主机在⼀段时间内不与此IP 通信,将会删除对应的条⽬。
⽽静态ARP缓存条⽬是永久性的。
在Windows中建⽴静态类型的ARP缓存表可以使⽤arp -s命令,如: C:\>arp -s 192.168.1.23 f4-b7-e2-8f-ld-91 〃建⽴静态缓存表查看ARP缓存表可以发现,192.168.1.23类型已经变为静态,内容如下: C:\>arp -aInterface: 192.168.1.8 —— 0x20002Internet Address Physical Address Type192.168.1.1 00-27-19-66-48-84 dynamic192.168.1.23 f4-b7-e2-8f-ld-91 static如果想要清空ARP缓存表,可以使⽤arp -d命令;如果想删除单个条⽬,则可以使⽤arp -d ip命令。
防范arp欺骗攻击的主要方法有
防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。
2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。
4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。
5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。
6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。
7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。
8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。
arp欺骗的解决方案
arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段,攻击者利用ARP协议的漏洞,通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表,从而达到欺骗目标主机的目的。
这种攻击会给网络带来严重的安全风险,可能导致数据泄露、网络崩溃甚至入侵。
本文旨在探讨ARP欺骗的解决方案,以帮助用户更好地应对网络攻击。
文章将介绍两种主要的解决方案:使用静态ARP表和使用ARP防火墙。
这两种方案不仅可以帮助用户有效应对ARP欺骗攻击,还能提升网络的安全性和稳定性。
在介绍解决方案之前,我们先对ARP欺骗的原理和危害进行了解和分析。
通过深入理解ARP欺骗攻击的原理,我们能更好地认识到这种攻击对网络安全造成的威胁,进而更好地理解解决方案的重要性和必要性。
接下来,我们将详细介绍解决方案一:使用静态ARP表。
通过使用静态ARP表,用户可以手动将IP地址和MAC地址的映射关系设置为固定值,有效地防止ARP欺骗攻击。
我们将介绍如何正确配置和管理静态ARP 表,并探讨其优势和劣势。
然后,我们将讨论解决方案二:使用ARP防火墙。
ARP防火墙是一种软件或硬件设备,通过监测和过滤网络中的ARP请求和响应,可以检测和阻止恶意ARP欺骗行为。
我们将介绍ARP防火墙的原理和配置方法,以及其在网络安全方面的优势和不足之处。
最后,我们将对本文进行总结,并对所介绍的解决方案进行评价。
我们将从安全性、实用性和成本等方面对这两种解决方案进行评估,以帮助读者全面了解和选择适合自身需求的解决方案。
通过本文的阅读,读者将能够了解ARP欺骗攻击的危害,掌握两种常见的解决方案,并能根据自身的实际情况和需求选择适合的解决方案,提升网络的安全性和稳定性。
1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式,以及各部分的主要内容和目标。
具体内容可以参考以下示例:文章结构:本文主要分为以下几个部分:引言、正文和结论。
引言部分:在引言部分,我们将首先概述ARP欺骗的背景和现状,介绍该问题对计算机网络和信息安全的危害。
arp攻击与防护措施及解决方案
arp攻击与防护措施及解决方案为有效防范ARP攻击,确保网络安全,特制定ARP攻击与防护措施及解决方案如下:1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。
杀毒软件可以帮助检测和清除ARP病毒,保护网络免受ARP攻击。
在选择杀毒软件时,应确保其具有实时监控和防御ARP攻击的功能。
2.设置静态ARP设置静态ARP是一种有效的防护措施。
通过在计算机上手动设置静态ARP表,可以避免网络中的ARP欺骗。
在设置静态ARP时,需要将计算机的MAC地址与IP地址绑定,以便在接收到ARP请求时进行正确响应。
3.绑定MAC地址绑定MAC地址可以防止ARP攻击。
在路由器或交换机上,将特定设备的MAC地址与IP地址绑定,可以确保只有该设备能够通过ARP协议解析IP地址。
这种绑定可以提高网络安全性,避免未经授权的设备接入网络。
4.限制IP访问限制IP访问可以防止ARP攻击。
通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。
这样可以避免网络中的恶意节点发送ARP请求,确保网络通信的安全性。
5.使用安全协议使用安全协议可以进一步提高网络安全性。
例如,使用IEEE802.IX协议可以验证接入网络的设备身份,确保只有授权用户可以访问网络。
此外,还可以使用其他安全协议,如SSH或VPN等,以加密网络通信,防止A RP攻击。
6.配置网络设备配置网络设备是防范ARP攻击的重要环节。
在路由器、交换机等网络设备上,可以设置ARP防护功能,例如ARP欺骗防御、ARP安全映射等。
这些功能可以帮助识别并防御ARP攻击,保护网络免受ARP 病毒的侵害。
7.定期监控网络定期监控网络是确保网络安全的有效手段。
通过监控网络流量、异常IP连接等指标,可以及时发现ARP攻击的迹象。
一旦发现ARP 攻击,应立即采取措施清除病毒,修复漏洞,并重新配置网络设备以确保安全性。
8.制定应急预案制定应急预案有助于快速应对ARP攻击。
应急预案应包括以下几个方面:(1)确定应急响应小组:建立一个专门负责网络安全问题的小组,明确其职责和权限。
企业级路由器
企业级路由器企业级路由器[企业级路由器arp欺骗防护功能的设置]企业级路由器arp欺骗防护功能的设置一、设置前准备工作当使用了防止arp欺骗功能(ip和mac绑定功能)后,最好是不要使用动态ip,因为电脑可能获取到和ip与mac绑定条目不同的ip,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1)把路由器的dhcp功能停用:关上路由器管理界面,“dhcp服务器”->“dhcp服务”,把状态由预设的“投入使用”更改成“不投入使用”,留存并重新启动路由器。
2)给电脑手工指定ip地址、网关、dns服务器地址,如果您不是很清楚当地的dns地址,可以咨询您的网络服务商。
二、设置路由器避免arp蒙骗打开路由器的管理界面,在左侧的菜单中可以看到:“ip与mac存取”的功能,这个功能除了可以同时实现ip和mac存取外,还可以同时实现避免arp蒙骗功能。
打开“静态arp绑定设置”窗口如下:特别注意,预设情况下arp存取功能就是停用,恳请选上投入使用后,页面留存去投入使用。
在添加ip与mac地址绑定的时候,可以手工进行条目的添加,也可以通过“arp映射表”查看ip与mac地址的对应关系,通过导入后,进行绑定。
1、手工展开嵌入,单击“减少单个条目”。
填入电脑的mac地址与对应的ip地址,然后保存,就实现了ip与mac地址绑定。
2、通过“arp态射表中”,引入条目,展开存取。
打开“arp映射表”窗口如下:这就是路由器动态自学至的arp表中,可以看见状态这一栏表明为“未存取”。
如果证实这一个动态自学的表中没错误,也就是说当时不存有arp蒙骗的情况下,把条目引入,并且留存为静态表中,这样路由器重新启动后这些条目都会存有,同时实现存取的效果。
若存在许多计算机,可以点击“全部导入”,自动导入所有计算机的ip与mac信息。
引入顺利以后,即为已完成ip与mac存取的设置。
如下:可以看到状态中已经为已绑定,这时候,路由器已经具备了防止arp欺骗的功能,上面的示范中只有一个条目,如果您的电脑多,操作过程也是类似的。
防范arp欺骗攻击的主要方法
防范arp欺骗攻击的主要方法ARP(Address Resolution Protocol)欺骗攻击是一种利用ARP协议安全漏洞的攻击方式,通过伪造ARP响应报文,将目标主机与网关的通信转发到攻击者的主机,从而实现窃取数据、监听通信等攻击目的。
为了防范ARP欺骗攻击,我们可以采取以下主要方法:1. 静态ARP表配置:在网络设备中手动配置静态ARP表,将IP地址与MAC 地址正确绑定。
这样可以在发生ARP欺骗攻击时,设备会根据静态ARP表的配置进行判断,从而避免接收到虚假的ARP响应。
2. ARP协议的安全性加固:通过对网络设备的配置,可以增加ARP协议的安全性。
例如,使用ARP缓存超时时间限制,减少ARP缓存时间,可以减少攻击者进行ARP欺骗攻击的窗口期。
另外,关闭ARP请求广播转发功能,限制ARP 请求只在局域网中广播,可以减少攻击者发起ARP欺骗攻击的机会。
3. 安全交换机的使用:安全交换机具有对网络流量进行流量转发过滤的功能。
可以通过配置交换机来禁止ARP包的广播转发,同时只将ARP包转发到目标MAC地址处,避免ARP欺骗攻击。
4. 网络监控与检测系统:部署网络监控与检测系统,可以实时监测和检测ARP 欺骗攻击。
例如,通过对ARP响应报文的分析判断,检测到异常ARP响应时,立即发出警报或执行预先设定的应对措施,阻止攻击者进一步进行攻击。
5. 使用ARP防火墙:ARP防火墙是一种专门用于防范ARP欺骗攻击的设备,其工作原理是对所有进出网络的ARP请求和响应进行检测和过滤。
有效地防止了恶意ARP包的发送和伪造,从而保障了网络的安全。
6. 使用加密技术:使用加密技术对通信数据进行加密,可以在部分情况下抵御ARP欺骗攻击。
当攻击者截获加密数据时,由于无法破解密钥,无法获得有效信息。
总结来说,防范ARP欺骗攻击主要通过配置静态ARP表、加固ARP协议安全性、使用安全交换机、部署网络监控与检测系统、使用专门的ARP防火墙以及使用加密技术来实现。
TP-LINK路由器设置IP与Mac绑定防止ARP欺骗
TP-LINK路由器设置IP与Mac绑定防止ARP欺骗一、TP-LINK家用路由器设置防止ARP欺骗前的准备工作设置IP和MAC绑定功能,先把电脑手动设定静态IP地址,若为动态获取,电脑可能就会获取到和IP与MAC绑定条目不同的IP,这样就会导致通信异常。
1、先吧TP-LINK家用路由器的DHCP功能关闭:打开TP-LINK家用路由器的管理面,“DHCP服务器”—“DHCP服务”,把状态由默认的“启用”更改为“不启用”,然后保存并重启路由器。
2、手工指定电脑的IP地址、网关、DNS服务器地址,如果不知道DNS地址的话,可以向你的网络服务商咨询。
二、设置TP-LINK家用路由器防止ARP欺骗打开TP-LINK家用路由器的管理界面,在左侧的菜单中我们可以看到:“IP与MAC绑定”,在该项中来设置IP和MAC绑定打开“静态ARP绑定设置”窗口如下:这需要提醒注意的是:默认情况下载ARP绑定功能是关闭的,所以我们需要选中启用后,点击保存来启用。
在添加IP与MAC地址绑定的时候,可以通过手工来进行条目的添加,也可通过“ARP映射表”来查看IP与MAC地址的对应关系,然后通过导入后来进行绑定。
1、手工进行添加,单击“增加单个条目”填入电脑的MAC地址与对应的IP地址后单击保存,即可实现IP与MAC地址绑定。
2、通过“ARP映射表”,导入条目进行绑定方法:打开“ARP映射表"窗口如下:这是TP-LINK家用路由器动态学习到的ARP表,我们可以看到状态这一栏显示”未绑定“。
如果确认这一个动态学习的表正确无误,也就是说当时网络中不存在ARP欺骗,把条目导入,并且保存为静态表。
如果存在许多电脑的话,可以点击"全部导入",就可自动导入所有电脑的IP与MAC信息。
在导入成功以后,即可完成IP于MAC绑定的设置。
如下图:在图中我们可以看到站台中显示为已绑定,此时TP-LINK家用路由器就已经具备了防止ARP欺骗的功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业级路由器应用(三)—ARP欺骗防护功能的使用
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。
不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。
为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。
我们来看看如何来防止ARP欺骗。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。
两个方面
的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
我司路由器上主要的IP与MAC地址绑定的方式有两种,普通绑定与强制绑定。
SOHO级路由器上主要进行的是普通绑定,企业级的路由器上有普通绑定,也有强制绑定。
普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP 地址,建立了一个对应关系,不会受到ARP欺骗,导致无法正常通讯。
对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。
SOHO级路由器普通绑定只是设置了一个IP与MAC的对应关系,若计算机更改了其IP地址,路由器仍然能进行ARP映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯;而企业级路由器在普通绑定之后IP和MAC地址就是一一对应的关系了,若计算机更改了其IP地址,路由器会认为其IP地址错误,从而不能与路由器进行通信。
强制绑定:是指关闭路由器的学习IP与MAC地址能力,手动在路由器中添加计算机IP与MAC地址。
所以在设置了强制绑定后,新接入路由器的计算机,若没有添加IP与MAC地址对应关系,该计算机是不能与路由器进行通讯的。
或者路由器下的计算机更改了其IP 地址,导致与路由器上记录的IP与MAC对应关系不一致,也无法进行通讯。
下面就以TL-4299G为例对企业级级路由器上的普通绑定和强制绑
定的设置,进行详细地介绍,以及如何设置来防止ARP欺骗。
一、设置前准备
当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1)把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
2)给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面,在左侧的菜单中可以看到:
“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
在添加IP与MAC地址绑定的时候,可以手工进行条目的添加,也可以通过“ARP映射表”查看IP与MAC地址的对应关系,通过导入后,进行绑定。
1、手工进行添加,单击“增加单个条目”。
填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IP与MAC地址绑定。
2、通过“ARP映射表”,导入条目,进行绑定。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。
如果确认这一个动态学习的表没有错误,也就是说当时不存在arp欺骗的情况下,把条目导入,并且保存为静态表,这样路由器重启后这些条目都会存在,实现绑定的效果。
若存在许多计算机,可以点击“全部导入”,自动导入所有计算机的IP与MAC信息。
导入成功以后,即已完成IP与MAC绑定的设置。
如下:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP 欺骗的功能,上面的示范中只有一个条目,如果您的电脑多,操作过程也是类似的。
有些条目如果没有添加,也可以下次补充上去。
除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方
式,只要知道电脑的MAC地址,手工添加相应条目就可。
在“ARP映射表”中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条目仍然生效
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。
微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来进行配置。
Windows XP系统的设置方法:
点击“开始”,选择“运行”,输入“cmd”,打开windows的命令行提示符如下:
通过“arp –s 路由器IP+路由器MAC”这一条命令来实现对路由器的ARP条目的静态绑定,如:arp –s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
至此,
我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。
怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。
细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!
我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。
编辑它,在里面加入我们刚才的命令:
保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。
打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的
static_arp.bat复制到里面去:
好了,以后电脑每次启动时就会自己执行arp –s命令了,在以后使用网络的时候,不再受到ARP攻击的干扰。
Windows Vista和Windows 7系统的设置方法:
1、管理员身份运行命令提示符。
2、命令:netsh -c i i show in 查看网络连接准确名称。
如:本地连接、无线网络连接。
3、执行绑定:netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC地址"。
4、绑定完成,电脑重启静态ARP不失效,不用像XP一样建批处理文件。
如图所示:。