酒店网络系统ＡＲＰ欺骗的解决方案

[摘 要] 介绍了酒店网络系统防止arp欺骗必要性。通过分析arp协议的工作原理，探讨了arp欺骗的危害性。最后，从酒店网络系统安全的维护工作出发，介绍了ip地址和mac地址绑定、交换机端口和mac地址绑定、静态配置路由arp条目等技术能够有效防御arp欺骗攻击的安全防范策略。
　　[关键词] 网络系统 arp欺骗
　　
　　近几年来，国内经济的高速发展，带来了蓬勃发展的旅游业和频繁的商务旅行活动。这些又为酒店行业带来了无限商机。如何提升酒店品牌新象，提高服务档次，能更好的满足顾客的要求从而扩大市场，成了各个酒店亟待解决的问题。
　　现在，顾客选择酒店时既看重基础设施的建设状况，也更加酒店信息化建设状况。顾客入住酒店不再只是解决住宿，还有娱乐、商务等需求。从市场调查来看，酒店的客流很大比例在于商务需要。而商务顾客都把客房当作临时的办公室。在里面办公，撰写word资料，准备ppt文稿，收发电子邮件等等。这些很大程度上取决于酒店对于互联网的接入服务是否完善。
　　酒店的网络应用情况非常复杂，使用的人员流动性大，对酒店网络建设提出了比较高的需求，需要解决因病毒攻击而引发的客户投诉的问题。这其中经常碰到的会引起所有用户不能正常上网的是arp欺骗。近段时间，国内网吧、企业、酒店等行业大都出现过由于arp欺骗引起的断线(全断或部分断线)的现象，由于该欺骗变种太多，传播速度太快，国内外的反病毒厂商都没有很好的办法来解决arp欺骗问题。
　　一、什么是arp欺骗
　　从影响网络连接通畅的方式来看，arp欺骗分为二种：一种是对路由器arp表的欺骗；另一种是对内网pc的网关欺骗：
　　第一种arp欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网mac地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的mac地址，造成正常pc无法收到信息。
　　第二种arp欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的pc向假网关发数据，而不是通过正常的路由器途径上网。在pc看来，就是上不了网了，“网络掉线了”。
　　二、arp欺骗的危害
　　arp欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说ip地址的冲突我们可以通过多种方法和手段来避免，而arp协议工作在更低层，隐蔽性更高。系统并不会判断arp缓存的正确与否，无法像ip地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送arp欺骗数据包和arp恢复数据包，这样就可以实现在一台普通计算机上通过发送arp数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说arp欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送arp欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。

　　三、解决arp攻击的方法
　　绝大多数路由器厂商建议用户在内网主机和路由器之间建立双向的arp绑定来解决这个问题，这也是目前看来最行之有效的解决方案
　　但是在酒店却很难使用这个方案，随着住店客人的不断更换，酒店客房里的主机是不断变化的，这就意味着遭遇arp欺骗时，不可能在路由器上通过绑定内网主机arp信息的传统方法解决此问题。同时，也很难让住店的客人操作对路由器的arp绑定。
　　针对使用hiper路由器的酒店用户特提出以下解决方案：
　　1.解决路由器被arp欺骗的问题
　　绝大多数酒店采用dhcp技术给上网用户动态分配ip地址，hiper新一代reos版本vstar根据这个特点，对路由器dhcp动态分配ip地址的用户自动进行arp绑定，待该ip地址租约到期未续租时将其自动解除绑定的功能。这样当路由器收到内网虚假的arp信息的时候就会主动拒绝。
　　2.解决内网主机被arp欺骗的问题
　　方法1：通过路由器按照一定频率发送申明自己的广播包，告知内网每台主机正确的网关arp信息。
　　方法2：一旦arp欺骗发包的频率高于网关的发送频率，方法1的防御方法就会失效。这时候我们就可以配合内网安全交换机端口隔离功能来解决这个问题，在内网的交换安全交换机上配置每个端口为独立的vlan（可以采用802.1qvlan或者port vlan技术）。这样，内网即使有主机发起arp欺骗，也不会影响到内网的其他主机的正常上网。
　　3.过渡方法
　　暂时没有安全交换机的酒店网络也可以使用过渡方法，在内网的服务器上共享一个主机绑定路由器arp信息的批处理文件，并且在每个房间网线接口旁摆放一个卡片，指导用户如何找到这个批处理文件，如何执行该批处理文件。这样就可以在内网主机上完成对路由器arp信息的绑定。
　　四、结束语
　　arp欺骗在相当长的时间内还会继续存在，不断的为用户提供各种解决方案，帮助用户打造一个稳定、高效的接入环境，将是酒店网络系统的最主要功能。
　　参考文献:
　　[1]曹 磊:局域网中arp的欺骗攻击.气象科技，2007，12
　　[2]刘 舫:企业局域网感染arp病毒的处理方法.科技情报开发与经济，2007，31
本文链接：http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/244499.html