ARP攻击在网吧频繁发生,这使网吧整个网络将陷于瘫痪,影响网吧的正常运营,ARP的危害可真是让网管人员吃了不少苦头。ARP的主要用途是将局域网中的IP地址转换为MAC地址,而且ARP协议对网络安全具有重要的意义,目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击的,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,而且ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使内网pc机的ARP表混乱,从而无法通过路由器上网。
目前应对ARP病毒攻击的解决方案主要是通过在路由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防范工作的,但在路由器端和PC端对IP地址与MAC地址的绑定比较复杂,需要查找每台PC机的IP地址与MAC加大了工作量,操作过程中还容易出错。所以我们需要选用带防ARP功能的路由器,这样就可以轻松进行IP-MAC扫描和绑定列表,网管更可利用此功能来有效拒绝ARP对网关的欺骗,防止ARP病毒的攻击,而避免的手动编写IP地址和MAC列表的过程。下面笔者就为大家推荐几款这个类型的有产品。
(1)欣全向宽带路由器 参考价格:2560元
NuR5625是网吧专用的双WAN宽带路由器,采用Intel IXP高端网络专用处理器,主频有266MHz ,采用64MB的大容量SDRAM,具有高速、稳定、成熟的特质。NuR5625M可以对游戏进行优化、支持身份绑定(包括QQ、泡泡堂等特殊应用),而且拥有弹性带宽管理,实现全自动一吧双网,即能自动实现网通、电信互联互通,路由器内嵌网通、电信 IP地址段,WAN口上线自动识别并自动完成指定规则设定。通过双向DMZ,双向虚拟服务器,实现内、外网用户对内部服务器的无差异访问,支持网吧内部服务器架设。还能通过动态的QoS机制,平均分配网络带宽,保证每个用户都享有稳定的网络带宽。
在安全方面,欣全向路由器都有ARP先天免疫能力。欣向认为,网络问题需要网络解决,既然掉线很大程度上与内网有关,那就要从内网的根源下手。为此,欣向路由开发了免疫网络技术,向欣向用户和外界免费赠送“欣向巡路免疫网络工具”,全面向网吧掉线开战。“巡路”通过在每一台PC上安装免疫墙,同时在服务器端安装监控管理中心,就可以对内网发生的各种攻击了如指掌,起到监视、评估、定位、阻隔的作用。同时,“巡路”与路由器紧密配合,对每台PC做网关IP-Mac的看守式绑定,替代不可靠的静态绑定,对二代ARP的防范以及伪造IP、Mac的攻击都起到了根本的扼杀作用。
点评: NuR5625专为200台以下网吧而设计,虽然功能不是很强大,但是相对于2560元的售价来说,这可算是一款性价比极高的优秀产品。它拥有2个WAN口,可以接入2条不同的宽带外线。高速转发性能在200台以下网吧、接入总带宽小于40兆的环境中,不逊于其它同级硬件配置的产品。而且欣向路由器根本不需要IP-MAC绑定,没有那长长的一串地址表。对付ARP,只要做PC的单向绑定就可以了,省心省力。