如何使用ARP欺騙防護功能
如何使用ARP欺騙防護功能
ARP是地址解析協議,是一種將IP地址轉化成物理地址的協議。但有些人也會用arp欺騙對電腦進行入侵,下面學習啦小編就教你ARP欺騙防護功能的使用方法吧。
ARP欺騙防護功能的使用方法:
一、設置前準備
當使用了防止ARP欺騙功能(IP和MAC綁定功能)后,最好是不要使用動態IP,因為電腦可能獲取到和IP與MAC綁定條目不同的IP,這時候可能會無法上網,通過下面的步驟來避免這一情況發生吧。
1)把路由器的DHCP功能關閉:打開路由器管理界面,“DHCP服務器”->“DHCP服務”,把狀態由默認的“啟用”更改為“不啟用”,保存并重啟路由器。
2)給電腦手工指定IP地址、網關、DNS服務器地址,如果您不是很清楚當地的DNS地址,可以咨詢您的網絡服務商。
二、設置路由器防止ARP欺騙
打開路由器的管理界面,在左側的菜單中可以看到:
“IP與MAC綁定”的功能,這個功能除了可以實現IP和MAC綁定外,還可以實現防止ARP欺騙功能。
打開“靜態ARP綁定設置”窗口如下:
注意,默認情況下ARP綁定功能是關閉,請選中啟用后,點擊保存來啟用。
在添加IP與MAC地址綁定的時候,可以手工進行條目的添加,也可以通過“ARP映射表”查看IP與MAC地址的對應關系,通過導入后,進行綁定。
1、手工進行添加,單擊“增加單個條目”。
填入電腦的MAC地址與對應的IP地址,然后保存,就實現了IP與MAC地址綁定。
2、通過“ARP映射表”,導入條目,進行綁定。
打開“ARP映射表”窗口如下:
這是路由器動態學習到的ARP表,可以看到狀態這一欄顯示為“未綁定”。如果確認這一個動態學習的表沒有錯誤,也就是說當時不存在arp欺騙的情況下,把條目導入,并且保存為靜態表,這樣路由器重啟后這些條目都會存在,實現綁定的效果。
若存在許多計算機,可以點擊“全部導入”,自動導入所有計算機的IP與MAC信息。
導入成功以后,即已完成IP與MAC綁定的設置。如下:
可以看到狀態中已經為已綁定,這時候,路由器已經具備了防止ARP欺騙的功能,上面的示范中只有一個條目,如果您的電腦多,操作過程也是類似的。有些條目如果沒有添加,也可以下次補充上去。除了這種利用動態學習到的ARP表來導入外,也可以使用手工添加的方式,只要知道電腦的MAC地址,手工添加相應條目就可。
在“ARP映射表”中可以看到,此計算機的IP地址與MAC地址已經綁定,在路由器重啟以后,該條目仍然生效
三、設置電腦防止ARP欺騙
路由器已經設置了防止ARP欺騙功能,接下來我們就來設置電腦的防止ARP欺騙了。微軟的操作系統中都帶有ARP這一命令行程序,我們可以在windows的命令行界面來進行配置。
Windows XP系統的設置方法:
點擊“開始”,選擇“運行”,輸入“cmd”,打開windows的命令行提示符如下:
通過“arp –s 路由器IP+路由器MAC”這一條命令來實現對路由器的ARP條目的靜態綁定,如:arp –s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的輸出中,已經有了我們剛才添加的條目,Type類型為static表示是靜態添加的。至此,我們也已經設置了電腦的靜態ARP條目,這樣電腦發送到路由器的數據包就不會發送到錯誤的地方去了。
怎么知道路由器的MAC地址是多少呢?可以打開路由器的管理界面,進入“網絡參數”->“LAN口設置”:
LAN口的MAC地址就是電腦的網關的MAC地址。
細心的人可能已經發現了,如果使用上面的方法,電腦每次在重啟后都需要輸入上面的命令來實現防止ARP欺騙,有沒有更簡單的方法自動來完成,不用手工輸入呢?有!
我們可以新建一個批處理文件如static_arp.bat,注意后綴名為bat。編輯它,在里面加入我們剛才的命令:
保存就可以了,以后可以通過雙擊它來執行這條命令,還可以把它放置到系統的啟動目錄下來實現啟動時自己執行。打開電腦“開始”->“程序”,雙擊“啟動”打開啟動的文件夾目錄,把剛才建立的static_arp.bat復制到里面去:
好了,以后電腦每次啟動時就會自己執行arp –s命令了,在以后使用網絡的時候,不再受到ARP攻擊的干擾。
Windows Vista和Windows 7系統的設置方法:
1、管理員身份運行命令提示符。
2、命令:netsh -c i i show in 查看網絡連接準確名稱。如:本地連接、無線網絡連接。
3、執行綁定:netsh -c i i add neighbors "網絡連接名稱" "IP地址" "MAC地址"。
4、綁定完成,電腦重啟靜態ARP不失效,不用像XP一樣建批處理文件。
如圖所示: