ARP 欺骗
其实,此起彼伏的瞬间掉线或大面积的断网大都是 ARP 欺骗在作怪。ARP
欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大
患。从影响网络连接通畅的方式来看,ARP 欺骗分为二种,一种是对路由器
ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是
——截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一
定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果
路由器的所有数据只能发送给错误的 MAC 地址,造成正常 PC 无法收到信息。
第二种 ARP 欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺
骗的 PC 向假网关发数据,而不是通过正常的路由器途径上网。在 PC
看来,
就是上不了网了,“网络掉线了”。一般来说,ARP 欺骗攻击的后果非常严重,
大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,
认为 PC 没有问题,交换机没掉线的“本事”,电信
也不承认宽带故障。而且如
果第一种 ARP 欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一
定是在路由器了。为此,宽带路由器背了不少“黑锅”。作为网吧路由器的厂
家,对防范 ARP 欺骗不得已做了不少份内、份外的工作。一、在宽带路由器
中把所有 PC 的 IP-MAC 输入到一个静态表中,这叫路由器 IP-MAC 绑定。
二、力劝网管
员在内网所有 PC 上设置网关的静态 ARP 信息,这叫 PC 机 IP-
MAC 绑定。一般厂家要求两个工作都要做,称其为 IP-MAC 双向绑定。 显
示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻
译表。该命令只有在安装了 TCP/IP 协议之后才可用。
arp -a [inet_addr] [-N [if_addr]
arp
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]
参数
-a
通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显
示指定计算机的 IP 和物理地址。
-g
与 -a 相同。
inet_addr
以加点的十进制标记指定 IP 地址。
-N
显示由 if_addr 指定的网络界面 ARP 项。
if_addr
指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存
在,将使用第一个可适用的接口。
-d
删除由 inet_addr 指定的项。
-s
在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址
ether_addr 关联。物理地址由以连字符分隔的 6 个十六进制字节给定。使
资源评论
