V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vimac
V2EX  ›  问与答

路由器如何防范来自WAN的ARP欺骗攻击

  •  
  •   vimac · 2013-08-28 23:11:21 +08:00 · 5981 次点击
    这是一个创建于 4089 天前的主题,其中的信息可能已经有所发展或是发生改变。
    网络结构很简单,就是普通的小区ADSL,一个有线路由器的WAN接在这个ADSL上,LAN三个用户分享,然后我用一个无线路由器放在这个路由器的LAN中
    但最近经常出现无法ping通第一级路由器的情况(当然更谈不了访问其它网站了),拔掉其中某根用户的LAN网线之后就访问正常,所以怀疑是我的无线路由器被来自有线路由器LAN上的这台机器攻击了,看来出租屋隔壁的某个哥们最近想抢网速有点想疯了

    当然了,最终解决方案肯定是和他当面交涉,但是想了解技术上是否有防范这种攻击的可能。

    补充一下: 我的路由器是TL-WR702N,那个有线路由器也是一个TPLINK,但是我不知道账号密码
    22 条回复    1970-01-01 08:00:00 +08:00
    xinhugo
        1
    xinhugo  
       2013-08-28 23:15:59 +08:00   ❤️ 1
    IP 与 MAC 地址绑定。
    sdysj
        2
    sdysj  
       2013-08-28 23:17:08 +08:00   ❤️ 1
    以前大学时候有人搞ARP欺骗来卡我下载,然后俺手执dsniff工具组里的arpspoof反击之,世界清静了。
    pubby
        3
    pubby  
       2013-08-28 23:18:02 +08:00
    当故障出现的时候,那跟LAN线上的电脑能上网吗?

    对链路层不太熟悉,不知道无线路由器的LAN接在一级路由的LAN上会不会有问题,

    假设有一个笔记本电脑网线连一级路由的LAN,然后无线网卡又连上了你的无线路由器,
    那会不会造成回路啊?
    sdysj
        4
    sdysj  
       2013-08-28 23:18:48 +08:00
    PS:原理就是向一级路由强调爷才是这IP的。
    vimac
        5
    vimac  
    OP
       2013-08-28 23:36:39 +08:00
    @xinhugo 感谢回复,但是这个方案不可行,正如你所见,我不知道一级路由的用户名密码
    vimac
        6
    vimac  
    OP
       2013-08-28 23:40:58 +08:00
    @sdysj 感谢回复,反复向上层路由器发送ARP的方案是有想到的,看来还是只能安装一个OpenWRT么……
    vimac
        7
    vimac  
    OP
       2013-08-28 23:43:44 +08:00
    @pubby 感谢回复,有线路由器的LAN上的其它电脑能不能上网这点我这个没有验证过,因为各个屋子里的人都不怎么熟悉打照面,然后我的设备都是无线的,不存在有线的设备

    但至于你后面的问题,我觉得应该只是一个默认路由的问题
    cloudream
        8
    cloudream  
       2013-08-28 23:46:38 +08:00
    买个(带限速的)路由换上去,然后就你说了算了。
    vimac
        9
    vimac  
    OP
       2013-08-28 23:49:51 +08:00
    @cloudream 感谢回复。单纯的限速按照我的理解应该是无法解决ARP攻击的问题的,只是别人无法抢网速,但一旦攻击还是可以造成你无法上网。
    pubby
        10
    pubby  
       2013-08-29 00:01:19 +08:00   ❤️ 1
    @v iMac 公司发生过类似情况

    不定时出现无法连接网关,交换机重启后恢复,某网线拔掉后也可恢复。

    故障发生的时候交换机下所有机器不能互联。因为没检测到ARP攻击,怀疑有回路导致交换机罢工了,不过没专业设备检测。

    后来把无线路由独立出去,WAN口单独链接到网关的一个空闲网卡,并配置不同的网段。


    交换机:一个华为24口低端交换机
    无线路由:一个华为企业级无线路由
    网关:一台退役的老Dell服务器,插了很多网卡,
    网卡1. 连大楼交换机
    网卡2. 连电信ADSL猫(备用线路)
    网卡3. 连内网无线路由WAN口
    网卡4. 连内网交换机
    cloudream
        11
    cloudream  
       2013-08-29 00:10:55 +08:00
    @v iMac 都换了你的路由里还不绑定IP? 如果这个路由直接连自己拨号的ADSL猫,那不需要任何设置就可以直接替换掉才对……几十人民币就搞定……
    cloudream
        12
    cloudream  
       2013-08-29 00:11:56 +08:00
    才发现系统自作聪明的把id里的 iMac 大小写改了再加个空格 XD
    pubby
        13
    pubby  
       2013-08-29 00:13:27 +08:00
    @cloudream 发现了,这么说 v iMac 永远收不到回复提醒 -_-
    msg7086
        14
    msg7086  
       2013-08-29 01:34:09 +08:00
    @livid @v iMac
    messense
        15
    messense  
       2013-08-29 07:35:56 +08:00 via iPhone   ❤️ 1
    会不会是隔壁哥们也在用无线路由而且把网线插进 LAN 口还开了 DHCP ?
    jasontse
        16
    jasontse  
       2013-08-29 09:23:26 +08:00 via iPad   ❤️ 1
    ARP双向绑定才能完全避免,如果你没有一级路由的权限那就只能对攻了
    vimac
        17
    vimac  
    OP
       2013-08-29 10:15:24 +08:00
    @pubby 再次感谢,我会再排查下看看,不过应该不是这种情况,我经常改个MAC+换个IP就又可以短暂的ping通一级路由。另外其实我能接收到回复通知的,因为帖子是我开的 :)
    vimac
        18
    vimac  
    OP
       2013-08-29 10:16:35 +08:00
    @cloudream 呵呵,主要的问题还是因为我没有那个一级路由器的权限,也不知道ADSL的账号密码(房东自己都不清楚了,不过应该主要是她懒得去翻箱倒柜找纸条)
    vimac
        19
    vimac  
    OP
       2013-08-29 10:18:42 +08:00
    @messense 感谢回复,我会再排查下看看
    caomu
        20
    caomu  
       2013-08-29 12:28:55 +08:00
    @livid 你这大小写强迫症也太那啥了。。。
    xmbaozi
        21
    xmbaozi  
       2013-08-29 12:47:01 +08:00
    @vimac

    这id..
    Livid
        22
    Livid  
    MOD
       2013-08-30 08:02:45 +08:00
    @caomu 在正文中确实不应该有这样的文字拼写纠正,这是一个 bug。

    已经去掉。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.