61阅读

路由器防止外网arp-路由器对内网ARP的病毒防御解决方案

发布时间:2017-12-12 所属栏目:网络安全

一 : 路由器对内网ARP的病毒防御解决方案

路由器在网吧应用中的现实情况往往是,路由换了一个又一个,网吧该掉还是掉,现实面前,网吧经营者们带着太多的疑惑和失望。下面我们来看看内网Arp欺骗影响网吧掉线的主要原因:

内网Arp造成掉线

Arp欺骗已经成为网络公害,几乎8成的网吧都发生过Arp攻击造成的掉线故障。Arp掉线是通过伪造MAC地址,欺骗路由、伪造网关进行的,其具体原理如下:

大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是欣联NATEASY路由器的内网IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NATEASY路由器的内部网,由NATEASY路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。

每台计算机在网络上,都存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,这个地址在一个网络内是唯一的,在一个正常的通讯过程中,这个地址是对应并且不应改变的,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过Arp去查询NATEASY路由器的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。

所以在每台PC上,都有Arp的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过Arp和RArp报文进行更新的。

目前在网络上的Arp病毒,会发送假冒的Arp报文,比如发送网关IP地址的Arp报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的Arp报文在网络中广播,所有的内部PC就会更新了这个IP和 MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。

这就是Arp地址欺骗,该病毒在一段时间内特别的猖獗。针对这种情况,防Arp地址欺骗的功能也相继出现在一些专业路由器产品上。

路由器对Arp病毒防御主要通过以下几种手段解决:

1、主动广播正确的网关地址,有很多路由器一接到网络上,就无法正常访问,这种情况一般是因为内网中有一台机器在伪造网关,不信的向内网其他机器发送虚假网关信息,有些的路由器支持广播正确网关地址的功能,只需勾取此功能,即可对以上第一种Arp欺骗进行防范。

2、提供IP地址和MAC地址双向绑定的功能,双向绑定能够彻底解决Arp病毒欺骗的问题。目前在市面上宣传有此功能的厂家不少,但是在实际测试过程中发现一般有以下几个问题:

1)有些品牌的路由器不提供自动扫描功能,这样需使用其他软件扫描后,再将对应的IP/MAC绑定表复制到路由器中,操作起来非常麻烦,且容易出错,一般人员无法进行。

2)有些品牌的路由器产品虽然提供了自动扫描功能,但其对所扫描的MAC地址不做判断,导致所扫描出来的MAC地址本身就有很多是重复的,同样解决不了Arp欺骗的问题。

3)一般的路由器在做双向绑定到100条左右路由器就会崩溃,出现频繁的掉线,重启等现象,这是因为软件算法不同造成的,而有些路由器在实际工作中绑定了300条以上照样非常稳定的工作。

3、病毒隔离功能。一般的宽带路由器并无此防范功能,有些带有病毒隔离功能的路由器智能的将内网“中毒”主机自动进行隔离免疫,有效的防止“一台机器中毒,整个网络遭殃”的局面出现。

4、内网广播风暴抑制,synFlooding,UDPFlooding的防御,外网的synFlooding、DDOS攻击防御。

5、有些路由器还支持自动扫描,并且能够对扫描的MAC地址进行判断,不会出现误扫的情况,因为这些路由器在实际使用过程中,绑定到300个以上的IP/MAC地址,同时做了300个以上的主机流控,仍然非常稳定的运行。

路由器对内网ARP的病毒防御的分析就是这么多内容,您在选择路由器时可根据本文内容进行参考,因为路由器的功能上存在差异,所以选择适合的路由是很重要的。

二 : 网吧路由器防ARP地址诈骗功用

网吧路由器有许多值得学习的地点,这里我们首要简介网吧路由器防ARP地址诈骗功用。以前有一个帖子,为了搞跨某个站点,只需有大量的人去ping这个站点,这个站点就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据央求,让他无暇顾及正常的网络央求。

网络上的黑客在发起攻击前,都要对网络上的各个IP地址执行扫描,其中一个多见的扫描方法就是ping,假设有应对,则标明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目的,同时假设在外部也有大量的报文对RG-NBR系列路由器发起Ping央求,也会把网吧的RG-NBR系列路由器拖跨掉。如今非少数网吧路由器都设计了一个WAN口防止ping的功用,可以容易简约的开启,一切外面过去的ping的数据报文央求,都装聋作哑,这样既不会暴露自己的目的,同时关于外部的ping攻击也是一个防范。

防ARP地址诈骗功用

群众都知晓,内部PC要上网,则要配置PC的IP地址,尚有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器执行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给有关的内部PC,完成一次网络的访问。

在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关闭,最先依据网关的IP地址,议决ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,一切报文要发送,开头都是发送到有关的MAC地址上的。所以在每台PC上,都有ARP的对应联系,就是IP地址和MAC地址的对应表,这些对应联系就是议决ARP和RARP报文执行更新的。

现在在网络上有一种病毒,会发送冒充的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或许一个不存在的MAC地址上去,同时把这冒充的ARP报文在网络中广播,一切的内部PC就会更新了这个IP和 MAC的对应表,下次上网的时分,就会把原本发送给网关的MAC的报文,发送到一个不存在或许错误的MAC地址上去,这样就会形成断线了。这就是ARM地址诈骗,这就是形成内部PC和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防ARP地址诈骗的功用也相继出如今一些专业路由器产品上。

负载平衡和线路备份

举例来说,如锐捷RG-NBR系列路由器一切支持VRRP热备份协议,最多可以设定 2-255台的NBR路由器,同时链接2-255条宽带线路,这些NBR和宽带线路之间,完成负载平衡和线路备份,万一线路断线或许网络配备损坏,可以自动完成的备份,在线路和网络配备都正常的情况下,便可以完成负载平衡。该功用在锐捷的一切的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2个WAN口,假设有须要,尚有一个模块扩展插槽,可以插上电口或许光接口模块,同时链接3条宽带线路,这3条宽带线路之间,可以完成负载平衡和线路备份,可以基于带宽的负载平衡,也可以够对内部PC执行分组的负载平衡,还可以配置访问网通资源走网通线路,访问电信资源走电信线路的负载平衡。

综合功用

网吧路由器承当的职务十分冗杂,所以单是某方面突出是不可以的,还须要功用、功用、安全性等各个方面的周到生长才干良好的发扬其优势,简述为“多、快、好、省、稳、简、静、强”,8条腿走路,四平八稳,上万条NAT并发链接,线速下载的功用,容易的配置方式,安静的运用特征,关于恶劣运用环境的顺应性,可以对内部执行限速功用,电信级的网络操作系统,在要求苛刻的环境的固定使用等等,这些强悍综合功用,才干成就一款精彩的网吧路由器。

如今做网吧路由器的厂商都在不时改进自己的软件设计以顺应网吧使用的生长改动,我们即日为群众简介的这些功用当然是十分适用的,不过同时照旧须要网吧维护和技术人员也更多的明白网吧路由器的新功用新技术,提高自己的才干,对网络执行更为迷信合理的维护配置,这样才干借助一款不掉线的网吧路由器合力打造一个不掉线的网吧。

三 : 防止网吧出现掉线现象的高级路由技术

  目前,网吧用户基于网络的应用已经从简单的网页浏览,扩展到视频QQ聊天、VOD点播、网络游戏、教育培训、IP电话等更为广泛的领域,这些应用的增多对网络的速度和稳定性提出了越来越高的要求,因此现在网吧对路由器的性能要求也在相应提高:

  首先,越来越多的功能要求以硬件方式来实现;

  其次,要求路由器采用分布式处理技术,以提高路由处理能力和速度;  

  第三,逐渐抛弃易造成拥塞的共享式总线,采用交换式路由技术,保障网络的稳定性。

  正是由于网吧应用的复杂化,使得网络资源变得更加紧张,在这样的环境下,网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病,而为了避免出现掉线,各大网络设备生产商也在网吧路由器产品上面下了不少功夫,大家经过长期对网吧网络应用环境的研究分析,开发出一系列针对复杂应用环境下网络应用的优化措施和高级功能,下面我们就来看看网吧路由器上面都采用了哪些特别的技术可以防止掉线:

  内部PC基于IP地址限速   

  现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10MB,每台内部PC的平均带宽为50KB左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个BYTE,也就是1.5KB,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。

 
  一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40KB的带宽,可以设置在100-400KB比较合适。
  内部PC限制NAT的链接数量

  NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?

  答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG-NBR系列路由器来说,这些时间都是可以设置的)
本文标题:路由器防止外网arp-路由器对内网ARP的病毒防御解决方案
本文地址: http://www.61k.com/1129035.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1