路由器如何防范来自WAN的ARP欺骗攻击

2013-08-28 23:11:21 +08:00

vimac

网络结构很简单，就是普通的小区ADSL，一个有线路由器的WAN接在这个ADSL上，LAN三个用户分享，然后我用一个无线路由器放在这个路由器的LAN中
但最近经常出现无法ping通第一级路由器的情况（当然更谈不了访问其它网站了），拔掉其中某根用户的LAN网线之后就访问正常，所以怀疑是我的无线路由器被来自有线路由器LAN上的这台机器攻击了，看来出租屋隔壁的某个哥们最近想抢网速有点想疯了

当然了，最终解决方案肯定是和他当面交涉，但是想了解技术上是否有防范这种攻击的可能。

补充一下: 我的路由器是TL-WR702N，那个有线路由器也是一个TPLINK，但是我不知道账号密码

5838 次点击

所在节点

问与答

22 条回复

xinhugo

2013-08-28 23:15:59 +08:00

IP 与 MAC 地址绑定。

sdysj

2013-08-28 23:17:08 +08:00

以前大学时候有人搞ARP欺骗来卡我下载，然后俺手执dsniff工具组里的arpspoof反击之，世界清静了。

pubby

2013-08-28 23:18:02 +08:00

当故障出现的时候，那跟LAN线上的电脑能上网吗？

对链路层不太熟悉，不知道无线路由器的LAN接在一级路由的LAN上会不会有问题，

假设有一个笔记本电脑网线连一级路由的LAN，然后无线网卡又连上了你的无线路由器，
那会不会造成回路啊？

sdysj

2013-08-28 23:18:48 +08:00

PS:原理就是向一级路由强调爷才是这IP的。

vimac

2013-08-28 23:36:39 +08:00

@xinhugo 感谢回复，但是这个方案不可行，正如你所见，我不知道一级路由的用户名密码

vimac

2013-08-28 23:40:58 +08:00

@sdysj 感谢回复，反复向上层路由器发送ARP的方案是有想到的，看来还是只能安装一个OpenWRT么……

vimac

2013-08-28 23:43:44 +08:00

@pubby 感谢回复，有线路由器的LAN上的其它电脑能不能上网这点我这个没有验证过，因为各个屋子里的人都不怎么熟悉打照面，然后我的设备都是无线的，不存在有线的设备

但至于你后面的问题，我觉得应该只是一个默认路由的问题

cloudream

2013-08-28 23:46:38 +08:00

买个(带限速的)路由换上去，然后就你说了算了。

vimac

2013-08-28 23:49:51 +08:00

@cloudream 感谢回复。单纯的限速按照我的理解应该是无法解决ARP攻击的问题的，只是别人无法抢网速，但一旦攻击还是可以造成你无法上网。

pubby

2013-08-29 00:01:19 +08:00

@v iMac 公司发生过类似情况

不定时出现无法连接网关，交换机重启后恢复，某网线拔掉后也可恢复。

故障发生的时候交换机下所有机器不能互联。因为没检测到ARP攻击，怀疑有回路导致交换机罢工了，不过没专业设备检测。

后来把无线路由独立出去，WAN口单独链接到网关的一个空闲网卡，并配置不同的网段。

交换机：一个华为24口低端交换机
无线路由：一个华为企业级无线路由
网关：一台退役的老Dell服务器，插了很多网卡，
网卡1. 连大楼交换机
网卡2. 连电信ADSL猫（备用线路）
网卡3. 连内网无线路由WAN口
网卡4. 连内网交换机

cloudream

2013-08-29 00:10:55 +08:00

@v iMac 都换了你的路由里还不绑定IP？如果这个路由直接连自己拨号的ADSL猫，那不需要任何设置就可以直接替换掉才对……几十人民币就搞定……

cloudream

2013-08-29 00:11:56 +08:00

才发现系统自作聪明的把id里的 iMac 大小写改了再加个空格 XD

pubby

2013-08-29 00:13:27 +08:00

@cloudream 发现了，这么说 v iMac 永远收不到回复提醒 -_-

msg7086

2013-08-29 01:34:09 +08:00

@livid @v iMac

messense

2013-08-29 07:35:56 +08:00

会不会是隔壁哥们也在用无线路由而且把网线插进 LAN 口还开了 DHCP ？

jasontse

2013-08-29 09:23:26 +08:00

ARP双向绑定才能完全避免，如果你没有一级路由的权限那就只能对攻了

vimac

2013-08-29 10:15:24 +08:00

@pubby 再次感谢，我会再排查下看看，不过应该不是这种情况，我经常改个MAC+换个IP就又可以短暂的ping通一级路由。另外其实我能接收到回复通知的，因为帖子是我开的 :)

vimac

2013-08-29 10:16:35 +08:00

@cloudream 呵呵，主要的问题还是因为我没有那个一级路由器的权限，也不知道ADSL的账号密码（房东自己都不清楚了，不过应该主要是她懒得去翻箱倒柜找纸条）

vimac

2013-08-29 10:18:42 +08:00

@messense 感谢回复，我会再排查下看看

caomu

2013-08-29 12:28:55 +08:00

@livid 你这大小写强迫症也太那啥了。。。

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/80562

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.