一、我的路由器遭到ARP攻擊

無線路由器受到ARP攻擊的解決方法：

1、解釋下ARP攻擊的原理：ARP攻擊：導致瞬間掉線和大面積斷網(wǎng)的罪魁禍首。

在局域網(wǎng)中，通過ARP協(xié)議來進行IP地址（第三層）與第二層物理地址（即MAC地址）的相互轉換。

網(wǎng)吧中的一些設備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表，以提高通信速度。

目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個特點來對網(wǎng)絡設備進行攻擊，通過偽造的MAC與局域網(wǎng)內(nèi)的IP地址對應，并修改路由器或電腦的ARP緩存表，使得具有合法MAC的電腦無法與IP對應，從而無法通過路由器上網(wǎng)。

在掉線重啟路由器后，ARP緩存表會刷新，網(wǎng)絡會在短時間內(nèi)恢復正常，待ARP攻擊啟動后，又出現(xiàn)斷網(wǎng)現(xiàn)象，如此反復，很容易被誤斷為路由器“死機”，從而使得導致網(wǎng)絡無法使用。

2、如果路由器上有“IP與MAC地址綁定”功能，一般可以有效防范ARP攻擊。

啟用IP與MAC地址綁定功能（如圖1），可將局域網(wǎng)內(nèi)的每一臺電腦的MAC與內(nèi)網(wǎng)IP建立一一對應的關系保存到ARP緩存表中（如圖2），此后，網(wǎng)吧即使受到ARP攻擊也不能修改ARP緩存表，從根本上排除ARP攻擊對路由器的影響：

設置IP與MAC綁定功能很簡便，無須逐一輸入電腦的IP與MAC，路由器工作正常時在路由器管理界面的ARP映射表中點擊一下“全部綁定”按鈕（如圖3），就可以完成IP與MAC綁定；點擊“全部導入”按鈕將已建立的IP與MAC綁定關系保存到系統(tǒng)，即使重新啟動也無需重新綁定。

3、在電腦上進行IP與MAC綁定也必不可少。

在電腦上進行IP與MAC綁定該如何操作就是在電腦的Windows命令行界面中輸入“arp　-s ＋路由器IP如192.168.1.1＋路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。

若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC，電腦每次在重啟后都需要先輸入ARP命令，還有更簡單的辦法，可以讓電腦每次啟動時，自動將路由器的IP與MAC綁定到電腦的ARP表中：

STEP 1 新建一個批處理文件如static_arp.bat，注意后綴名為bat。

編輯它，在里面加入ARP命令，并保存。

要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN運行狀態(tài)”。

STEP 2 將建立好的批處理文件static_arp.bat拷貝到系統(tǒng)的啟動目錄中。

電腦每次啟動時將自動運行該文件，自動綁定IP與MAC。

STEP 3 將static_arp.bat文件拷貝到所有電腦的系統(tǒng)啟動目錄中。

所有電腦都將路由器的IP與MAC綁定到ARP表中，無需再擔心因ARP攻擊而無法上網(wǎng)。

二、教你用路由器來防范網(wǎng)絡中的惡意攻擊

除了ADSL撥號上網(wǎng)外，小區(qū)寬帶上網(wǎng)也是很普遍的上網(wǎng)方式。

如果你采用的是小區(qū)寬帶上網(wǎng)，是否覺得路由器僅僅就是個上網(wǎng)工具呢?其實不然，利用好你的路由器，還能夠防范黑客的攻擊呢。

下面就讓我們來實戰(zhàn)一番。

用路由器來防范網(wǎng)絡中的惡意攻擊

目的： 限制外部電腦連接本小區(qū)的192.168.0.1這臺主機的23(telnet)、80(www)、3128等Port。

前提： Router接內(nèi)部網(wǎng)絡的接口是Ethernet0/1，每一個命令之后按Enter執(zhí)行，以Cisco路由為準。

步驟1 在開始菜單中選擇運行，在彈出的對話框中輸入“cmd”并回車，出現(xiàn)窗口后，在提示符下連接路由器，指令格式為“telnet路由器IP地址”。

當屏幕上要求輸入telnetpassword時(多數(shù)路由器顯示的是“Login”字樣)，輸入密碼并確認無誤后，再輸入指令enable，屏幕上顯示要求輸入enablepassword時輸入密碼。

提示：這兩個密碼一般由路由器生產(chǎn)廠商或者經(jīng)銷商提供，可以打電話查詢。

步驟2 輸入指令Router#configuretermihal即可進入路由器的配置模式，只有在該模式下才能對路由器進行設置。

步驟3 進入配置模式后，輸入指令Router(config)#access-list101denytcpanyhost192.168.0.1eqtelnet，該指令的作用是設定訪問列表(accesslist)，該命令表示拒絕連接到IP地址為192.168.0.1的主機的屬于端口(Port)23(telnet)的`任何請求。

步驟4 輸入Router(config)#aecess-list101denytcpanyhost192.168.0.1eqwww指令以拒絕來自任何地方對IP地址為192.168.0.1的主機的屬于端口80(www)的請求。

步驟5 最后需要拒絕的是來自任何地方對IP地址為192.168.0.1的主機屬于端口3128的訪問，這需要輸入指令Router(config)#accesslist101denytcpanyhost192.168.0.1eq3128來完成。

步驟6 到此，已經(jīng)設置好我們預期的訪問列表了，但是，為了讓其他的所有IP能夠順利訪問，我們還需要輸入Router(config)#aceess-list101permitipanyany來允許其他訪問請求。

但是，為了讓路由器能夠執(zhí)行我們所做的訪問列表，我們還需要把這個列表加入到接口檢查程序，具體操作如下。

輸入指令Router(config)#interfaceeO/1進入接口(interface)ethernet0/1，然后鍵入指令Router(config-if)#ipaccess-group101out將訪問列表實行于此接口上。

這樣一來，任何要離開接口的TCP封包，均須經(jīng)過此訪問列表規(guī)則的檢查，即來自任何地方對IP地址為192.168.0.1的主機，端口(port)屬于telnet(23)，www(80)，3128的訪問一律拒絕通過。

最后，輸入指令write將設定寫入啟動配置，就大功告成了。

這樣一來，你的主機就安全多了，雖然只是禁止了幾個常用端口，但是能把不少搞惡作劇的人拒之門外。

如果看見有什么端口可能會遭到攻擊或者有漏洞了，你也可以通過上面的方法來將漏洞堵住。