QNO 俠諾科技 - Qno俠諾酒店用戶ARP病毒防制攻略

HOME > 技術文章 > 技術文章內容

Qno俠諾酒店用戶ARP病毒防制攻略

瀏覽次數：10813

在酒店的網路管理中，通常的作法，都會把客房的上網和內部辦公放在同一台路由器下面。這就面臨著安全問題，特別是ARP病毒的攻擊。Qno俠諾工程師在實際工作中，總結出一套專門針對酒店行業用戶的解決辦法，下面我們就向讀者介紹Qno俠諾在酒店行業ARP病毒防制的攻略手段。

由於ARP病毒變種太多，傳播速度太快，國內外的反病毒廠商都沒有很好的辦法來解決ARP病毒問題。一般都是在內網主機和路由器之間建立雙向的ARP綁定來解決這個問題，這也是目前看來最行之有效的解決方案。但酒店不同於網咖，隨著住宿客人的不斷更換，酒店客房裏的主機也是不斷變化的，這就意味著遭遇ARP病毒風暴時，不可能通過IP與MAC地址綁定的傳統方法解決此問題。同時，也很難讓住店的客人操作對路由器的ARP綁定，從而導致酒店會經常接到客戶對上網速度慢或上不去網的一些投訴。由於不能夠耽誤酒店的正常使用，所以整個網路也不能有太大改動。鑒於酒店的特殊性，針對Qno俠諾路由器酒店用戶，提出以下解決方案：

啟動防止ARP病毒攻擊功能，防止病毒的侵入；
利用Qno俠諾路由器多子網功能，加劃VLAN的方法，減少攻擊損害的影響；
辦公區做MAC綁定，設置訪問規則，更完整保護辦公區電腦。

首先，酒店客房通常是客人自備電腦入網，大多數酒店採用DHCP技術給上網用戶動態分配IP位址。在防火牆裏面開啟防止ARP病毒攻擊，這樣可以防止病毒的侵入。

啟動防止ARP病毒攻擊功能。輸入路由器IP位址登陸路由器的Web管理頁面，進入“防火牆配置”的“基本頁面”，再在右邊找到“防止ARP病毒攻擊”，在進行“啟動”。系統默認“防ARP攻擊每秒發送20筆”，建議設置為“2—5”筆，以防止發送廣播包過多而造成網路堵塞。如圖1

圖1: 啟動防止ARP病毒攻擊

其次，利用Qno俠諾路由器多子網功能，加劃VLAN的方法，對客房區和辦公區進行防ARP設置。結構圖如圖2所示。

圖2: 劃分VLAN結構圖

把路由器設定兩個網段，本身的網段給客房區客人用，再利用多子網功能，為辦公區設另一個網段內部辦公用。在路由器下面接出來兩個交換機，分別利用路由器的虛擬局域網功能劃出兩個VLAN，劃分VLAN可根據LAN口的數量而定，客房區應該盡可能多的劃分，以減少客房相互間的影響。如圖3所示。

圖3: 埠設置

此功能可以讓網管人員在自己的局域網內將每一個局域網埠設定1個或多個不同網段且無法互通的局域網埠，但都可以通過路由器上網。在同一個網段內的成員（在同一個VLAN區域網路內）可互相溝通並看得到對方，若不在同一個VLAN群組內的成員則無法得知其他成員的存在。

然後在防火牆設置裏，添加一條新訪問規則禁止客房區本身的網段訪問辦公區子網段。這樣做是為了防止ARP，使網路更加安全。如圖4所示。如也需要限制辦公區子網段不能訪問客房區網段，則需啟動前面一條規則。

圖4:設置訪問規則

Qno俠諾路由器在MAC綁定功能頁面下方有兩個選項，一個是“封鎖在對應列表中IP位址錯誤的MAC位址”，另一個是“封鎖不在對應列表中的MAC位址”。如圖5。

圖5: IP及MAC 地址綁定

大家知道要徹底的防止ARP病毒，需要做雙向綁定，但是客房是不能做綁定的，因為客人天天變，所以，不勾選“封鎖不在對應列表中的MAC地址”。但辦公區的網段是固定的，我們可以綁定在路由器上，並勾上“封鎖在對應列表中IP位址錯誤的MAC位址”，那麼設定為固定IP的電腦或通過此功能已發給特定IP的電腦擅自更改IP為非指定的IP地址時，則會無法上網。這樣，一則可以防止其他人亂改IP跟內部衝突，二則ARP病毒不會對辦公區產生影響。

如果內網發現ARP攻擊，排除方法可參考Qno俠諾關於排除防制ARP攻擊的技術文章“ARP攻擊防制進階篇---俠諾科技ARP防制經驗談”。

以上方法基本可以解決ARP病毒攻擊對網路造成相關問題，這樣客人的又可以從DHCP分IP，又不影響到酒店內部辦公。避免了因辦公網路癱瘓，而造成大部分房客check out時，手拎大包小包無限時在等的情況。ARP欺騙病毒在相當長的時間內還會繼續存在，俠諾科技將不斷的為用戶提供各種解決方案，幫助用戶打造一個安全穩定、高效的接入環境。

＃＃＃

什麼是ARP？
ARP（Address Resolution Protocol，位址解析協議）是一個位於TCP/IP協定棧中的低層協定，負責將某個IP地址解析成對應的MAC位址。

什麼是ARP欺騙?
從影響網路連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的閘道欺騙。

第一種ARP欺騙的原理是——截獲閘道資料。它通知路由器一系列錯誤的內網MAC位址，並按照一定的頻率不斷進行，使真實的位址資訊無法通過更新保存在路由器中，結果路由器的所有資料只能發送給錯誤的MAC位址，造成正常PC無法收到資訊。第二種ARP欺騙的原理是——偽造閘道。它的原理是建立假閘道，讓被它欺騙的PC向假閘道發資料，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網路斷線了”。

※ 文件下載