酒店網(wǎng)絡(luò)系統(tǒng)ＡＲＰ欺騙的解決方案

1、酒店網(wǎng)絡(luò)系統(tǒng)欺騙的解決方案摘要介紹了酒店網(wǎng)絡(luò)系統(tǒng)防止arp欺騙必要性。通過分析arp協(xié)議的工作原理，討論了arp欺騙的危害性。最后，從酒店網(wǎng)絡(luò)系統(tǒng)平安的維護(hù)工作出發(fā)，介紹了ip地址和a地址綁定、交換機(jī)端口和a地址綁定、靜態(tài)配置路由arp條目等技術(shù)可以有效防御arp欺騙攻擊的平安防范策略。關(guān)鍵詞網(wǎng)絡(luò)系統(tǒng)arp欺騙近幾年來，國(guó)內(nèi)經(jīng)濟(jì)的高速開展，帶來了蓬勃開展的旅游業(yè)和頻繁的商務(wù)旅行活動(dòng)。這些又為酒店行業(yè)帶來了無限商機(jī)。如何提升酒店品牌新象，進(jìn)步效勞檔次，能更好的滿足顧客的要求從而擴(kuò)大市場(chǎng)，成了各個(gè)酒店亟待解決的問題。如今，顧客選擇酒店時(shí)既看重根底設(shè)施的建立狀況，也更加酒店信息化建立狀況。顧客入住酒

2、店不再只是解決住宿，還有娛樂、商務(wù)等需求。從市場(chǎng)調(diào)查來看，酒店的客流很大比例在于商務(wù)需要。而商務(wù)顧客都把客房當(dāng)作臨時(shí)的辦公室。在里面辦公，撰寫rd資料，準(zhǔn)備ppt文稿，收發(fā)電子郵件等等。這些很大程度上取決于酒店對(duì)于互聯(lián)網(wǎng)的接入效勞是否完善。酒店的網(wǎng)絡(luò)應(yīng)用情況非常復(fù)雜，使用的人員流動(dòng)性大，對(duì)酒店網(wǎng)絡(luò)建立提出了比較高的需求，需要解決因病毒攻擊而引發(fā)的客戶投訴的問題。這其中經(jīng)常碰到的會(huì)引起所有用戶不能正常上網(wǎng)的是arp欺騙。近段時(shí)間，國(guó)內(nèi)網(wǎng)吧、企業(yè)、酒店等行業(yè)大都出現(xiàn)過由于arp欺騙引起的斷線(全斷或部分?jǐn)嗑€)的現(xiàn)象，由于該欺騙變種太多，傳播速度太快，國(guó)內(nèi)外的反病毒廠商都沒有很好的方法來解決arp欺

3、騙問題。一、什么是arp欺騙從影響網(wǎng)絡(luò)連接通暢的方式來看，arp欺騙分為二種：一種是對(duì)路由器arp表的欺騙；另一種是對(duì)內(nèi)網(wǎng)p的網(wǎng)關(guān)欺騙：第一種arp欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)a地址，并按照一定的頻率不斷進(jìn)展，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的a地址，造成正常p無法收到信息。第二種arp欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的p向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在p看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了。二、arp欺騙的危害arp欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)，

4、讓網(wǎng)關(guān)無法和客戶端正常通信。實(shí)際上他的危害還不僅僅如此，一般來說ip地址的沖突我們可以通過多種方法和手段來防止，而arp協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會(huì)判斷arp緩存的正確與否，無法像ip地址沖突那樣給出提示。而且很多黑客工具例如網(wǎng)絡(luò)剪刀手等，可以隨時(shí)發(fā)送arp欺騙數(shù)據(jù)包和arp恢復(fù)數(shù)據(jù)包，這樣就可以實(shí)如今一臺(tái)普通計(jì)算機(jī)上通過發(fā)送arp數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)的上網(wǎng)與否，甚至還可以直接對(duì)網(wǎng)關(guān)進(jìn)展攻擊，讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無法正常上網(wǎng)。這點(diǎn)在以前是不可能的，因?yàn)槠胀ㄓ?jì)算機(jī)沒有管理權(quán)限來控制網(wǎng)關(guān)，而如今卻成為可能，所以說arp欺騙的危害是宏大的，而且非常難對(duì)付，非法用戶和

5、惡意用戶可以隨時(shí)發(fā)送arp欺騙和恢復(fù)數(shù)據(jù)包，這樣就增加了網(wǎng)絡(luò)管理員查找真兇的難度。三、解決arp攻擊的方法絕大多數(shù)路由器廠商建議用戶在內(nèi)網(wǎng)主機(jī)和路由器之間建立雙向的arp綁定來解決這個(gè)問題，這也是目前看來最行之有效的解決方案但是在酒店卻很難使用這個(gè)方案，隨著住店客人的不斷更換，酒店客房里的主機(jī)是不斷變化的，這就意味著遭遇arp欺騙時(shí)，不可能在路由器上通過綁定內(nèi)網(wǎng)主機(jī)arp信息的傳統(tǒng)方法解決此問題。同時(shí)，也很難讓住店的客人操作對(duì)路由器的arp綁定。針對(duì)使用hiper路由器的酒店用戶特提出以下解決方案：1.解決路由器被arp欺騙的問題絕大多數(shù)酒店采用dhp技術(shù)給上網(wǎng)用戶動(dòng)態(tài)分配ip地址，hiper

6、新一代res版本vstar根據(jù)這個(gè)特點(diǎn)，對(duì)路由器dhp動(dòng)態(tài)分配ip地址的用戶自動(dòng)進(jìn)展arp綁定，待該ip地址租約到期未續(xù)租時(shí)將其自動(dòng)解除綁定的功能。這樣當(dāng)路由器收到內(nèi)網(wǎng)虛假的arp信息的時(shí)候就會(huì)主動(dòng)回絕。2.解決內(nèi)網(wǎng)主機(jī)被arp欺騙的問題方法1：通過路由器按照一定頻率發(fā)送申明自己的播送包，告知內(nèi)網(wǎng)每臺(tái)主機(jī)正確的網(wǎng)關(guān)arp信息。方法2：一旦arp欺騙發(fā)包的頻率高于網(wǎng)關(guān)的發(fā)送頻率，方法1的防御方法就會(huì)失效。這時(shí)候我們就可以配合內(nèi)網(wǎng)平安交換機(jī)端口隔離功能來解決這個(gè)問題，在內(nèi)網(wǎng)的交換平安交換機(jī)上配置每個(gè)端口為獨(dú)立的vlan可以采用802.1qvlan或者prtvlan技術(shù)。這樣，內(nèi)網(wǎng)即使有主機(jī)發(fā)起arp欺騙，也不會(huì)影響到內(nèi)網(wǎng)的其他主機(jī)的正常上網(wǎng)。3.過渡方法暫時(shí)沒有平安交換機(jī)的酒店網(wǎng)絡(luò)也可以使用過渡方法，在內(nèi)網(wǎng)的效勞器上共享一個(gè)主機(jī)綁定路由器arp信息的批處理文件，并且在每個(gè)房間網(wǎng)線接口旁擺放一個(gè)卡片，指導(dǎo)用戶如何找到這個(gè)批處理文件，如何執(zhí)行該批處理文件。這樣就可以在內(nèi)網(wǎng)主機(jī)上完成對(duì)路由器arp信息的綁定。四、完畢語(yǔ)arp欺騙在相當(dāng)長(zhǎng)的時(shí)間內(nèi)還會(huì)繼續(xù)存在，不斷的為用戶提供各種解決方案，幫助