疯狂的ARP 痛苦的路由器
2008-03-27   IT168

全国性网吧问题

石家庄网络王网吧一直以来都为断线事件而头疼，广东的中山康健网吧也遇到同样的问题。根据他们介绍，这是一起全国性事件，各地网吧都存在这种状况，主要是ARP攻击引起的，由于变种太多，传播速度快，国内外的反病毒厂商都拿这个没招。

一个小小的ARP在短时间内疯狂地搅乱了全国地网吧网络环境。这一段时间以来，全国大大小小的网吧老板们一直饱受这种痛苦的煎熬，上网老断线，客源开始日渐流失，生意也一天不如一天。

石家庄网络王网吧技术经理赵磊说，我们调查过，发生ARP病毒攻击这种问题主要原因是传奇游戏引起的，特别发生在私服外挂等方面。该病毒主要目的在于破解游戏加密解密算法，通过截取局域网中的数据包，然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中游戏玩家的详细信息，盗取用户账号信息。

在掉线重启路由器后，ARP缓存表会自动刷新，网络会在短时间内恢复正常，待ARP攻击启动后，又重新出现断网现象，如此反复。很容易被误断为路由器“死机”，从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。

#p#副标题#e#

ARP“堵”死路由

根据拥有十年局域网管理经验的赵磊判断，还有一个原因是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者路由器之类的NAT设备，就会造成全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。

杨晓宇说，就这种情况而言，如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以网吧在选择路由器的时候，最好看看路由器是否带有防ARP病毒攻击的功能。

实际上，ARP协议靠维持在内存中保存的一张表来使IP得以在网络上被目标机器进行应答。所以，在局域网中的某台终端，反复向其他机器特别是向网关发送假冒的ARP应答信息包，就会造成严重的网络堵塞现象。

有些用户也通过路由器的解决方案，通过在路由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防范工作的，但在路由器端和PC端对IP地址与MAC地址的绑定比较复杂，需要查找每台PC机的IP地址与MAC加大了工作量，操作过程中还容易出错。

这种方法基本可以解决ARP病毒攻击对网络造成相关问题，以上方法也经过多个用户以及网吧实验，都达到了比较理想的效果。

网吧管理不易

网吧的管理一直是一道难题，由于网吧内缺乏一整套行之有效的管理方案和相应的设备，网吧的技术主管在配置网络的过程中，每次都要靠各种复杂的操作来恢复网络的正常运行，等问题解决了，玩家早已无法忍受。

如今没有几个玩家有耐心放着正进行中的游戏或者电影等着网络被调好。而当网络出现问题的时候，要查找错误更是麻烦，技术主管只能依靠从核心交换机到接入交换机顺次拔线来判断问题到底出在哪里——纯手工的操作不仅容易漏掉错误、耗费时间长，而且还存在一定安全问题。

安全问题是网吧经营中最重要的因素，因为网吧里接待各种各样的人，遭遇各种各样的病毒、木马也就不可避免。同时，BT下载占用过多资源等问题也困扰着网吧的经营者。

#p#副标题#e#

还可以采用基于IP地址的限速，可以对保障BT与迅雷等下载软件不会影响正常的网络应用，出口带宽不会被部分机器多占用，这样既保障了大多数的正常网络应用，又不会影响到上网人群的各种活动。

为了防范ARP攻击，侠诺科技的技术工程师建议通过以下七种手段来进行控制：

1、病毒源，对病毒源头的机器进行处理，杀毒或重新装系统。此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。

3、给系统安装补丁程序，通过Windows Update安装好系统补丁程序（关键更新、安全更新和Service Pack）。

4、给系统管理员账户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的账户。

5、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护。

6、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。