如何設置ARP防護
如何設置ARP防護
ARP是IP與MAC地址的解析協議,對網絡通信至關重要。但是,由于ARP沒有保護機制,所以偽造的ARP數據包會欺騙通信終端或設備,導致出現通信異常。常見的ARP欺騙軟件有“網絡執法官”、“P2P終結者”、“QQ第六感”等,這些軟件中,有些是人為手工操作來破壞網絡,有些是作為病毒或者木馬出現,使用者可能根本不知道它的存在,所以更加擴大了ARP攻擊的危害。下面學習啦小編就教大家如何設置ARP防護功能。
無線企業路由器的ARP防護功能的設置方法:
在設置ARP綁定之前,請給需要綁定的電腦手動指定IP地址。
同時,建議查看對應電腦的MAC地址,制作IP、MAC、電腦的表格,便于后續維護,如下:
注意:以上表格僅供參考,具體信息請根據實際需要記錄。
登錄路由器的管理界面,點擊 安全管理 >> ARP防護,在ARP防護界面添加綁定條目。有兩種添加方法:手動逐條添加和掃描添加,具體方法請根據實際需要選擇,方法如下:
手動添加方法:
手動添加操作復雜,但是安全性高。在網絡中已經存在ARP欺騙或者不確定網絡中是否存在ARP欺騙的情況下,建議使用手動添加的方式。手工進行添加,點擊 增加單個條目,填寫對應的IP和MAC地址,填寫備注信息。
出接口:指綁定電腦所在網絡連接的路由器的接口。
掃描添加方法:
簡單快捷,但是要確定網絡中沒有ARP欺騙,否則綁定錯誤的IP/MAC條目可能導致內網部分主機無法上網。 點擊ARP掃描,點擊 開始掃描,此時等待一會,路由器會自動查找當前內網的主機,并顯示主機的IP和MAC地址信息,如下圖所示:
點擊 全選,再點擊 導入,所有的綁定條目就設置完成了。
注意:ARP掃描的功能也可以掃描WAN口的網段,可以通過掃描綁定WAN口網關地址防止前端ARP欺騙(寬帶撥號無需綁定)。
局域網中電腦的IP與MAC全部綁定完成后,在功能設置中,勾選 啟用ARP防欺騙功能,點擊 設置。
注意:如果勾選 僅允許IP MAC綁定的數據包通過路由器,則不在綁定列表或與綁定列表沖突的電腦不能上網及管理路由器。
在路由器管理界面左上角點擊 保存。
至此,路由器防止ARP欺騙設置完成。
僅在路由器上綁定主機的MAC地址并不能完全解決ARP欺騙的問題,在主機上綁定路由器的MAC地址,即雙向綁定,則可以徹底解決欺騙問題。以下介紹不同操作系統電腦的綁定方法:
Windows XP系統:
在電腦上建立一個文本文件,寫入ARP綁定命令:arp –s IP MAC,如下圖。
注意:IP是路由器的管理地址(192.168.1.1),MAC是路由器LAN口的MAC地址(01-02-03-04-05-06)。
保存之后將該文件修改為.bat后綴的批處理文件,比如“arp.bat”。然后將其放入系統啟動項中,以后系統每次開機時都會執行該綁定命令。如圖所示:
Windows 7系統:
1、打開命令提示符,使用命令:netsh i i show in查看網卡idx編號;
2、查詢到網卡idx編號后,再使用命令 netsh –c i i add neighbors idx ip mac進行ARP綁定,如下:
3、使用arp –a的命令可以查詢到綁定是否生效,如下圖所示:
設置完成后,電腦重啟,ARP綁定條目也不會失效。
注意:Windows 8系統的綁定方法和Windows 7相同,如果需要刪除ARP綁定條目,只需要輸入命令:
Netsh –c i i delete neighbors idx(idx表示編號),重啟電腦后,綁定刪除。
至此全部的設置就完成了,后續則無需擔心ARP欺騙給網絡帶來的影響。
企業路由器設置過程中,ARP綁定方面問題解答如下:
問:設置ARP綁定不生效,怎么辦?
答:由于ARP欺騙是雙向的,請確認已經在路由器及電腦上都做好ARP綁定,同時確保內網電腦的IP地址是手動指定的。
問:設置ARP綁定后,電腦上不了網怎么辦?
答:確保上不了網的電腦ARP信息在路由器綁定列表,如果信息不一致,請修正設置;如果路由器上勾選了“僅允許綁定的IP MAC數據包通過路由器”,請確保上不了網的電腦已經在路由器上做了綁定。
問:僅啟用“防ARP欺騙功能”與“僅允許綁定的IP MAC數據包通過路由器”有什么區別?
答:兩者都是防止ARP欺騙的,區別在于:啟用僅允許綁定IP MAC數據包通過路由器,則沒有做綁定及綁定信息與路由器設置的條目不符的電腦,無法上網,也不可以管理路由器。僅設置啟用防ARP欺騙,沒有設置綁定的電腦還是可以上網的(但電腦參數與綁定條目不符的,同樣無法上網及管理路由器)。
問:為何開啟綁定后,界面卡死(無法操作)
答:設置ARP綁定的時候,建議先添加綁定條目,然后再開啟綁定開關。如果先開啟強制綁定的開關,那么如果列表為空,則會導致管理主機無法管理路由器,表現出來管理頁面卡死的現象。