《企业级路由器 [企业级路由器ARP欺骗防护功能的设置] .docx》由会员分享,可在线阅读,更多相关《企业级路由器 [企业级路由器ARP欺骗防护功能的设置] .docx(3页珍藏版)》请在金锄头文库上搜索。
1、本文格式为Word版,下载可任意编辑企业级路由器 企业级路由器ARP欺骗防护功能的设置 从影响网络连接通畅的方式来看,ARP哄骗有两种攻击可能,一种是对路由器ARP表的哄骗;另一种是对内网电脑ARP表的哄骗,当然也可能两种攻击同时进行。我为大家整理了企业级路由器ARP哄骗防护功能的设置,供大家参考阅读! 企业级路由器ARP哄骗防护功能的设置 一、设置前预备 当使用了防止ARP哄骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,由于电脑可能猎取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避开这一状况发生吧。 1)把路由器的DHCP功能关闭:打开路由器管理界面
2、,DHCP服务器-DHCP服务,把状态由默认的启用更改为不启用,保存并重启路由器。 2)给电脑手工指定IP地址、网关、DNS服务器地址,假如您不是很清晰当地的DNS地址,可以询问您的网络服务商。 二、设置路由器防止ARP哄骗 打开路由器的管理界面,在左侧的菜单中可以看到: IP与MAC绑定的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP哄骗功能。 打开静态ARP绑定设置窗口如下: 留意,默认状况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。 在添加IP与MAC地址绑定的时候,可以手工进行条目的添加,也可以通过ARP映射表查看IP与MAC地址的对应关系,通过导入后,进
3、行绑定。 1、手工进行添加,单击增加单个条目。 填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IP与MAC地址绑定。 2、通过ARP映射表,导入条目,进行绑定。 打开ARP映射表窗口如下: 这是路由器动态学习到的ARP表,可以看到状态这一栏显示为未绑定。假如确认这一个动态学习的表没有错误,也就是说当时不存在arp哄骗的状况下,把条目导入,并且保存为静态表,这样路由器重启后这些条目都会存在,实现绑定的效果。 若存在很多计算机,可以点击全部导入,自动导入全部计算机的IP与MAC信息。 导入胜利以后,即已完成IP与MAC绑定的设置。如下: 可以看到状态中已经为已绑定,这时候,路由器已经具备
4、了防止ARP哄骗的功能,上面的示范中只有一个条目,假如您的电脑多,操作过程也是类似的。有些条目假如没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。 在ARP映射表中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条目仍旧生效 三、设置电脑防止ARP哄骗 路由器已经设置了防止ARP哄骗功能,接下来我们就来设置电脑的防止ARP哄骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来进行配置。 Windows XP系统的设置方法: 点击开头,选择运
5、行,输入cmd,打开windows的命令行提示符如下: 通过arp s 路由器IP+路由器MAC这一条命令来实现对路由器的ARP条目的静态绑定,如:arp s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。 怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入网络参数-LAN口设置: LAN口的MAC地址就是电脑的网关的MAC地址。 细心的人可能已经发觉了,假如使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP哄骗,有没有更简洁的方法自动来完成,不用手工输入呢?有! 我们可以新建一个批处理文件如static_arp.bat,留意后缀名为bat。编辑它,在里面加入我们刚才的命令: 保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动名目下来实现启动时自己执行。打开电脑开头-程序,双击启动打开启动的文件夹名目,把刚才建立的static_arp.bat复制到里面去: 好了,以后电脑每次启动时就会自己执行arp s命令了,在以后使用网络的时候,不再受到ARP攻击的干扰。 第 1 页 共 1 页
