路由器在網(wǎng)吧應(yīng)用中的現(xiàn)實(shí)情況往往是，路由換了一個又一個，網(wǎng)吧該掉還是掉，現(xiàn)實(shí)面前，網(wǎng)吧經(jīng)營者們帶著太多的疑惑和失望。下面我們來看看內(nèi)網(wǎng)Arp欺騙影響網(wǎng)吧掉線的主要原因：

內(nèi)網(wǎng)Arp造成掉線

Arp欺騙已經(jīng)成為網(wǎng)絡(luò)公害，幾乎8成的網(wǎng)吧都發(fā)生過Arp攻擊造成的掉線故障。Arp掉線是通過偽造MAC地址，欺騙路由、偽造網(wǎng)關(guān)進(jìn)行的，其具體原理如下：

大家都知道，內(nèi)部PC要上網(wǎng)，則要設(shè)置PC的IP地址，還有網(wǎng)關(guān)地址，這里的網(wǎng)關(guān)地址就是欣聯(lián)NATEASY路由器的內(nèi)網(wǎng)IP地址，內(nèi)部PC是如何訪問外部網(wǎng)絡(luò)呢？就是把訪問外部網(wǎng)的報文發(fā)送給NATEASY路由器的內(nèi)部網(wǎng)，由NATEASY路由器進(jìn)行NAT地址轉(zhuǎn)發(fā)后，再把報文發(fā)送到外部網(wǎng)絡(luò)上，同時又把外部回來的報文，去查詢路由器內(nèi)部的NAT鏈接，回送給相關(guān)的內(nèi)部PC，完成一次網(wǎng)絡(luò)的訪問。

每臺計算機(jī)在網(wǎng)絡(luò)上，都存在兩個地址，一個是IP地址，一個是MAC地址，MAC地址就是網(wǎng)絡(luò)物理地址，這個地址在一個網(wǎng)絡(luò)內(nèi)是唯一的，在一個正常的通訊過程中，這個地址是對應(yīng)并且不應(yīng)改變的，內(nèi)部PC要把報文發(fā)送到網(wǎng)關(guān)上，首先根據(jù)網(wǎng)關(guān)的IP地址，通過Arp去查詢NATEASY路由器的MAC地址，然后把報文發(fā)送到該MAC地址上，MAC地址是物理層的地址，所有報文要發(fā)送，最終都是發(fā)送到相關(guān)的MAC地址上的。

所以在每臺PC上，都有Arp的對應(yīng)關(guān)系，就是IP地址和MAC地址的對應(yīng)表，這些對應(yīng)關(guān)系就是通過Arp和RArp報文進(jìn)行更新的。

目前在網(wǎng)絡(luò)上的Arp病毒，會發(fā)送假冒的Arp報文，比如發(fā)送網(wǎng)關(guān)IP地址的Arp報文，把網(wǎng)關(guān)的IP對應(yīng)到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的Arp報文在網(wǎng)絡(luò)中廣播，所有的內(nèi)部PC就會更新了這個IP和 MAC的對應(yīng)表，下次上網(wǎng)的時候，就會把本來發(fā)送給網(wǎng)關(guān)的MAC的報文，發(fā)送到一個不存在或者錯誤的MAC地址上去，這樣就會造成斷線了。

這就是Arp地址欺騙，該病毒在一段時間內(nèi)特別的猖獗。針對這種情況，防Arp地址欺騙的功能也相繼出現(xiàn)在一些專業(yè)路由器產(chǎn)品上。

路由器對Arp病毒防御主要通過以下幾種手段解決：

1、主動廣播正確的網(wǎng)關(guān)地址，有很多路由器一接到網(wǎng)絡(luò)上，就無法正常訪問，這種情況一般是因?yàn)閮?nèi)網(wǎng)中有一臺機(jī)器在偽造網(wǎng)關(guān)，不信的向內(nèi)網(wǎng)其他機(jī)器發(fā)送虛假網(wǎng)關(guān)信息，有些的路由器支持廣播正確網(wǎng)關(guān)地址的功能，只需勾取此功能，即可對以上第一種Arp欺騙進(jìn)行防范。

2、提供IP地址和MAC地址雙向綁定的功能，雙向綁定能夠徹底解決Arp病毒欺騙的問題。目前在市面上宣傳有此功能的廠家不少，但是在實(shí)際測試過程中發(fā)現(xiàn)一般有以下幾個問題：

1）有些品牌的路由器不提供自動掃描功能，這樣需使用其他軟件掃描后，再將對應(yīng)的IP／MAC綁定表復(fù)制到路由器中，操作起來非常麻煩，且容易出錯，一般人員無法進(jìn)行。

2）有些品牌的路由器產(chǎn)品雖然提供了自動掃描功能，但其對所掃描的MAC地址不做判斷，導(dǎo)致所掃描出來的MAC地址本身就有很多是重復(fù)的，同樣解決不了Arp欺騙的問題。

3）一般的路由器在做雙向綁定到100條左右路由器就會崩潰，出現(xiàn)頻繁的掉線，重啟等現(xiàn)象，這是因?yàn)檐浖惴ú煌斐傻模行┞酚善髟趯?shí)際工作中綁定了300條以上照樣非常穩(wěn)定的工作。

3、病毒隔離功能。一般的寬帶路由器并無此防范功能，有些帶有病毒隔離功能的路由器智能的將內(nèi)網(wǎng)“中毒”主機(jī)自動進(jìn)行隔離免疫，有效的防止“一臺機(jī)器中毒，整個網(wǎng)絡(luò)遭殃”的局面出現(xiàn)。

4、內(nèi)網(wǎng)廣播風(fēng)暴抑制，synFlooding，UDPFlooding的防御，外網(wǎng)的synFlooding、DDOS攻擊防御。

5、有些路由器還支持自動掃描，并且能夠?qū)呙璧腗AC地址進(jìn)行判斷，不會出現(xiàn)誤掃的情況，因?yàn)檫@些路由器在實(shí)際使用過程中，綁定到300個以上的IP／MAC地址，同時做了300個以上的主機(jī)流控，仍然非常穩(wěn)定的運(yùn)行。

路由器對內(nèi)網(wǎng)ARP的病毒防御的分析就是這么多內(nèi)容，您在選擇路由器時可根據(jù)本文內(nèi)容進(jìn)行參考，因?yàn)槁酚善鞯墓δ苌洗嬖诓町悾赃x擇適合的路由是很重要的。

【編輯推薦】

1. UPC路由器 建立不安全無線網(wǎng)絡(luò)
2. 如何解決ARP攻擊和瀏覽器挾持
3. 防止DoS攻擊 路由器來把關(guān)
4. 如何避免無線路由器遭受ARP攻擊故障
5. 預(yù)警：“ARP蝸牛”攻擊堵塞局域網(wǎng)