“网管, 怎么又掉线了?!”每每听到客户的责问, 网管员头都大了。 其实, 此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。 ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首, 是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看, ARP欺骗分为二种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。 它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。 在PC看来, 就是上不了网了, “网络掉线了”。
一般来说, ARP欺骗攻击的后果非常严重, 大多数情况下会造成大面积掉线。 有些网管员对此不甚了解, 出现故障时, 认为PC没有问题, 交换机没掉线的“本事”, 电信也不承认宽带故障。 而且如果第一种ARP欺骗发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。 为此, 宽带路由器背了不少“黑锅”。
作为网吧路由器的厂家, 对防范ARP欺骗不得已做了不少份内、份外的工作。 一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中, 这叫路由器IP-MAC绑定。 二、力劝网管员在内网所有PC上设置网关的静态ARP信息, 这叫PC机IP-MAC绑定。 一般厂家要求两个工作都要做, 称其为IP-MAC双向绑定。
方法是有效的, 但工作很繁琐, 管理很麻烦。 每台PC绑定本来就费力, 在路由器中添加、维护、管理那么长长的一串列表, 更是苦不堪言。 一旦将来扩容调整, 或更换网卡, 又很容易由于疏忽造成混乱。 如果您有所担心, 那么不妨选用欣向网吧路由IXP机种, 它可以使您宽心一些。 因为欣向路由器根本不需要IP-MAC绑定, 没有那长长的一串地址表。 对付ARP, 您只要做PC的单向绑定就可以了。 该路由能够有效拒绝ARP对网关的欺骗, 它是先天免疫的!
欣向路由的ARP先天免疫取决于它的二个有力的技术措施。 一是独特的NAT处理机制, 二是网关的主动防范机制。
产品对NAT的处理不同于通用协议栈的方式, 它在原有的网络协议基础上, 进行了强化、保护和扩容。 虽然NAT是标准的网络协议, 但实现方法可以各显其能, 保证殊途同归就行。 ARP欺骗只对公开的、通用的系统起作用, 它利用了通用系统工作方式上的漏洞, 而对NAT实现机制却无能为力, 因为NAT设计了强有力的保护字段。 这就是欣向路由能够对ARP先天免疫的原理工具下载:www.arpun.com 尽在ARP联盟。
另外, 为对抗假冒网关的ARP欺骗, 产品设计了网关的ARP广播机制, 它以一个可选定的频次, 向内网宣布正确的网关地址, 维护网关的正当权益。 在暂时无法及时清除ARP病毒, 网管员还没有做PC上的IP-MAC绑定时, 它能在一定程度上维持网络的运行, 避免灾难性后果, 赢取系统修复的时间。 这就是ARP主动防范机制。
不过, 如果不在PC上绑定IP-MAC, 虽然有主动防范机制, 但网络依然在带病运行。 因为这种ARP是内网的事情, 是不通过路由器的。 让路由器插手只能做到对抗, 不能根绝。 ARP太猖獗时, 就会发生时断时续的故障, 那是主动防范机制在与ARP欺骗进行拉锯式的斗争。 为此, 产品还专门提供了一个ARP欺骗侦测、定位、防范的工具软件, 免费发放给所有的网吧, 帮助网管员们发现ARP欺骗的存在, 为清除ARP欺骗源提供工作辅佐, 并加入了欣向主动防范机制, 有效对付ARP欺骗。
尽管如此, 仍然提醒广大的网吧网管员, 为了一劳永逸, 还是费点力为每台PC做IP-MAC绑定吧, 这样可以彻底根除ARP欺骗带来的烦恼。 况且, 路由只需要单向绑定, 已经为您省去了另一半更繁琐的工作, 并且设置时不需要重启路由器断网。 路由器本身不怕ARP, 您再做好PC上的绑定, 让PC也不怕ARP, 双管齐下, 您的网吧就可以高枕无忧了。
……