一、防止ARP攻擊路由

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。

第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

常用的解決辦法就是一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫路由器IP-MAC綁定。二、在內網所有PC上設置網關的靜態ARP信息，這叫PC機IP-MAC綁定。三是前兩種辦法的組合，稱其為IP-MAC雙向綁定。

方法是有效的，但工作很繁瑣，管理很麻煩。每臺PC綁定本來就費力，在路由器中添加、維護、管理那么長長的一串列表，更是苦不堪言。一旦將來擴容調整，或更換網卡，又很容易由于疏忽造成混亂。況且ARP出現了新變種，二代ARP攻擊已經具有自動傳播能力，已有的宏文件綁定方式已經被破，主要表現在病毒通過網絡訪問或是主機間的訪問互相傳播。由于病毒已經感染到電腦主機，可以輕而易舉的清除掉客戶機電腦上的ARP靜態綁定，伴隨著綁定的取消，錯誤的網關IP和MAC的對應并可以順利的寫到客戶機電腦，錯誤的網關IP和MAC的對應并可以順利的寫到客戶機電腦，ARP的攻擊又暢通無阻了。

我也曾受過arp的毒害，辛辛苦苦做的雙向綁定遇到二代arp攻擊變的是無所遁形，我覺得要想真正的杜絕arp攻擊還是要我們內網每臺電腦都聯動起來，共同防范，共同抑制，光裝防arp攻擊的防火墻是遠遠不夠的，這只能保證你可能不被攻擊，但不能杜絕你不發arp攻擊，這樣是治標不治本的，因此要想真正杜絕arp最治本的方法還是從源頭抑制，即從每個終端上抑制arp攻擊的發出，因此要想完全的杜絕arp攻擊要靠軟硬件的結合，單靠硬件是無法實現的

聽說最近市面上正流行一種叫免疫墻的效果不錯，解決ARP攻擊比較徹底，你可以試試。

二、如何避免無線路由器遭受ARP攻擊

隨著現在社會信息技術的飛速發展，如今企業網絡辦公化也正式步入了無線網的領域中。構建無線網最大的好處就是組網無需布線，使用便捷，經濟。所以對多數企業來說，無疑是組網方案的最佳選擇。 大量的無線路由器被用于企業中，使得針對無線網絡的故障診斷和安全保障變得與有線網絡一樣重要。 在企業無線網辦公中經常會出現一些使用手冊上未涉及到疑難和故障，有時難以應付，無法解決。下面就無線網絡中由路由器引發的典型故障進行分析，并提供解決方案。 連接錯誤線路不通 網絡線路不通有很多原因造成，但首先要檢查的是連接配置上有無錯誤。 在確保路由器電源正常的前提下首先查看寬帶接入端。路由器上的指示燈可以說明寬帶線路接入端是否正常，由說明書上可以辨認哪一個亮燈為寬帶接入端及用戶端，觀察其燈閃亮狀態，連續閃爍為正常，不亮或長亮不閃爍為故障。我們可以換一根寬帶膠線代替原來的線路進行連接。 如果故障依舊，請查看路由器的擺放位置與接收電腦的距離是否過遠或中間有大型障礙物阻隔。這時請重新放置路由器，使無線路由器與接收電腦不要間隔太多障礙物，并使接收電腦在無線路由器的信號發射范圍之內即可。 無線網卡的檢查也必不可少，可以更換新的網卡并重新安裝驅動程序進行調試，再網卡中點擊“查看可用的無線連接”刷新“網絡列表”后設置網卡參數，并再“屬性”中查看有無數據發送和接收情況，排除故障。 當然路由器自身的硬件故障也是導致線路不通的直接原因，但這并不是我們所能解決的范圍，應及時聯系廠商進行維修或更換。 設置不當無法連接 “設置”可以分為計算機設置和路由器設置兩個方面。 計算機的設置相對簡單，點擊進入“網上鄰居”屬性，開啟“無線網絡連接”，然后設置“IP地址”“子網掩碼”及“網關”，只要使計算機的IP地址與無線路由器的IP地址在同一網段即可。“網關”的設置可以參見網卡說明說中所述，一般情況下與路由器IP地址相同。 路由器的設置相對較為專業，復雜些。首先在系統瀏覽器中輸入無線路由器IP地址，在彈出的登錄界面中輸入路由器的管理員登錄名及密碼即可進入設置界面。此時需要檢查網絡服務商所給你的寬帶帳號及口令是否正確，如不正確，更正后嘗試連接，如果連接后仍無法打開頁面請點擊進入路由器中的“安全設置”選項，查看是否開啟“網絡防火墻”，“IP地址過濾”以及“MAC地址過濾”選項，并做更正和設置，排除無法開啟網絡的故障。 網絡攻擊導致聯網異常 ARP攻擊以及非法入侵未設防的無線局域網已經是現在導致聯網異常的典型案例了。由于安全設置的疏忽以及后期安全防護的不足，導致少數具有惡意的黑客對企業的重要信息及保密數據造成了極大的危害。 ARP攻擊會造成網絡IP沖突，數據的丟失及溢出，更有甚者會導致網絡癱瘓。這些現象對企業組網的威脅都是很大的。 首先進入“帶有網絡的安全模式”，在無線網卡屬性處更換電腦的IP地址，之后查看是否可以聯網。另外購買安裝專業的殺毒軟件及網絡防火墻是比較捷徑的方法之一。 其次進入路由器“安全設置”選項進行高級設置。現在的大部分無線路由器都具有WEP的密碼編碼功能，用最長128bit的密碼鍵對數據進行編碼，在無線路由器上進行通信，密碼鍵長度可以選擇40bit或128bit，利用MAC地址和預設的網絡ID來限制哪些無線網卡和接入點可以進入網絡，完全可以確保網絡安全，對于非法的接收這來說，截聽無線網的信號是非常困難的，從而可以有效的防范黑客的入侵破壞和非法用戶惡意的網絡攻擊。 最后要注意，在沒有特殊需要或不具有專業技能的情況下禁止開啟路由器中的“遠程WEB管理”，功能選項。 路由器部分功能失靈無法使用 這個問題大多存在于一些老款的無線路由器中，當我們在配置路由器高級功能選項的時候，在反復確認連接無誤的情況下就是有部分功能無法開啟使用，這時你也許第一想到是否是硬件出了故障，其實不然。 首先我們要查看下路由器系統的版本，在查閱無線路由器說明書后，看該功能是否支持這個版本的路由器系統。路由器的系統通常有許多版本，每個版本支持不同的功能。如果你當前的軟件版本不支持這個功能，那就應該找到相應的軟件，先進行升級。 點擊進入無線路由器的“系統工具”選項，進入后選擇“軟件升級”，此時在對話界面中會顯示出當前的軟件版本和硬件版本，在彈出的對話框中輸入“文件名”(即系統升級的文件名)和“TFTP服務器IP”后點擊“升級”即可。 升級時要注意：選擇與當前硬件版本一致的軟件進行升級，在升級過程中千萬不要關閉路由器的電源，否則將導致路由器損壞而無法使用，在網絡穩定的情況下升級過程很短整個過程不會超過一分鐘。當你發現路由器在升級完畢后重啟，請不要擔心這是正常的。一般升級過后，路由器工作情況會更加穩定，并增加一些適用于此版本更多的新功能。

三、保護路由器如何才能防止網絡黑客入侵

更新路由器操作系統：就像網絡操作系統一樣，路由器操作系統也需要更新，以便糾正編程錯誤、軟件瑕疵和緩存溢出的問題。要經常向路由器廠商查詢當前的更新和操作系統的版本。

修改默認的口令：據卡內基梅隆大學的計算機應急反應小組稱，80%的安全事件都是由于較弱或者默認的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強大的口令規則。

禁用HTTP設置和SNMP（簡單網絡管理協議）：你的路由器的HTTP設置部分對于一個繁忙的網絡管理員來說是很容易設置的。但是，這對路由器來說也是一個安全問題。如果路由器有一個命令行設置，禁用HTTP方式并且使用這種設置方式。如果你沒有使用路由器上的SNMP,那么就不需要啟用這個功能。

封鎖ICMP（互聯網控制消息協議）ping請求：ping和其它ICMP功能對于網絡管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網絡的信息。

禁用來自互聯網的telnet命令：在大多數情況下，不需要來自互聯網接口的主動的telnet會話。如果從內部訪問路由器設置會更安全一些。