xunfei-1000网络管理系统ARP欺骗攻击解决方案

xunfei-1000网络管理系统ARP欺骗攻击解决方案

　近期，国内许多企业和政府部门的网络出现短时间内断线(全断或部分断)的现象，但会在很短的时间内会自动恢复。这是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者路由器之类的NAT设备，那么全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。此类情况就是网络受到了ARP病毒攻击的明显表现，其目的在于，该病 毒破解加密 解密算法，通过截取局域网中的数据包，然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中用户的详细信息，盗取用户帐号信息。下面我们谈谈如何防制这种攻击。

　　首先，我们先简单了解一下什么是ARP病毒攻击，这种病毒是对内网的PC进行攻击，使内网PC机的ARP表混乱，在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。这些情况主要出现在网吧用户，造成网吧部分机器或全部机器暂时掉线或者不可以上网，在重新启动后可以解决，但保持不了多久有会出现这样的问题，网吧管理员对每台机器使用arp –a命令来检查ARP表的时候发现路由器的IP和MAC被修改，这就是ARP病毒攻击的典型症状。

　　这种病毒的程序多属于木马程序/蠕虫类病毒，Windows 95/98/Me/NT/2000/XP/2003将受到影响，病毒攻击的方式对影响网络连接畅通来看有两种——对路由器的ARP表的欺骗和对内网PC网关的欺骗，前者是先截获网关数据，再将一系列的错误的内网MAC信息不停的发送给路由器，造成路由器发出的也是错误的MAC地址，造成正常PC无法收到信息。后者ARP攻击是伪造网关，它先建立一个假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。在网络用户看来，就是上不了网了，“网络掉线了”。

　　就这两种情况而言，如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制ARP病毒攻击的功能，Xunfei-1000网络管理系统正好提供了这样的功能，相比其他产品操作简单易学。下面具体谈谈Xunfei-1000网络管理系统是如何设置防止ARP病毒攻击的。

　　1.监测ARP病毒攻击：

　　输入路由器IP地址登陆路由器的Web管理页面，进入“信息监测”的基本页面，再在右边找到“ARP攻击检测” 点击“确认，通过检测可以看到明确ARP攻击信息。

　　2、 解决方法——用户MAC/IP地址绑定：

　　输入路由器IP地址登陆路由器的Web管理页面，进入“防火墙”的基本页面，再在右边找到“MAC/IP地址绑定”点击“确认，通过采用双向绑定的方法解决并且防止ARP欺骗。