酒店網(wǎng)絡系統(tǒng)ＡＲＰ欺騙的解決方案

1、酒店網(wǎng)絡系統(tǒng)欺騙的解決方案摘要介紹了酒店網(wǎng)絡系統(tǒng)防止arp欺騙必要性。通過分析arp協(xié)議的工作原理，討論了arp欺騙的危害性。最后，從酒店網(wǎng)絡系統(tǒng)平安的維護工作出發(fā)，介紹了ip地址和a地址綁定、交換機端口和a地址綁定、靜態(tài)配置路由arp條目等技術可以有效防御arp欺騙攻擊的平安防范策略。關鍵詞網(wǎng)絡系統(tǒng)arp欺騙近幾年來，國內(nèi)經(jīng)濟的高速開展，帶來了蓬勃開展的旅游業(yè)和頻繁的商務旅行活動。這些又為酒店行業(yè)帶來了無限商機。如何提升酒店品牌新象，進步效勞檔次，能更好的滿足顧客的要求從而擴大市場，成了各個酒店亟待解決的問題。如今，顧客選擇酒店時既看重根底設施的建立狀況，也更加酒店信息化建立狀況。顧客入住酒

2、店不再只是解決住宿，還有娛樂、商務等需求。從市場調(diào)查來看，酒店的客流很大比例在于商務需要。而商務顧客都把客房當作臨時的辦公室。在里面辦公，撰寫rd資料，準備ppt文稿，收發(fā)電子郵件等等。這些很大程度上取決于酒店對于互聯(lián)網(wǎng)的接入效勞是否完善。酒店的網(wǎng)絡應用情況非常復雜，使用的人員流動性大，對酒店網(wǎng)絡建立提出了比較高的需求，需要解決因病毒攻擊而引發(fā)的客戶投訴的問題。這其中經(jīng)常碰到的會引起所有用戶不能正常上網(wǎng)的是arp欺騙。近段時間，國內(nèi)網(wǎng)吧、企業(yè)、酒店等行業(yè)大都出現(xiàn)過由于arp欺騙引起的斷線(全斷或部分斷線)的現(xiàn)象，由于該欺騙變種太多，傳播速度太快，國內(nèi)外的反病毒廠商都沒有很好的方法來解決arp欺

3、騙問題。一、什么是arp欺騙從影響網(wǎng)絡連接通暢的方式來看，arp欺騙分為二種：一種是對路由器arp表的欺騙；另一種是對內(nèi)網(wǎng)p的網(wǎng)關欺騙：第一種arp欺騙的原理是截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)a地址，并按照一定的頻率不斷進展，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的a地址，造成正常p無法收到信息。第二種arp欺騙的原理是偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺騙的p向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在p看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了。二、arp欺騙的危害arp欺騙可以造成內(nèi)部網(wǎng)絡的混亂，讓某些被欺騙的計算機無法正常訪問內(nèi)外網(wǎng)，

4、讓網(wǎng)關無法和客戶端正常通信。實際上他的危害還不僅僅如此，一般來說ip地址的沖突我們可以通過多種方法和手段來防止，而arp協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會判斷arp緩存的正確與否，無法像ip地址沖突那樣給出提示。而且很多黑客工具例如網(wǎng)絡剪刀手等，可以隨時發(fā)送arp欺騙數(shù)據(jù)包和arp恢復數(shù)據(jù)包，這樣就可以實如今一臺普通計算機上通過發(fā)送arp數(shù)據(jù)包的方法來控制網(wǎng)絡中任何一臺計算機的上網(wǎng)與否，甚至還可以直接對網(wǎng)關進展攻擊，讓所有連接網(wǎng)絡的計算機都無法正常上網(wǎng)。這點在以前是不可能的，因為普通計算機沒有管理權(quán)限來控制網(wǎng)關，而如今卻成為可能，所以說arp欺騙的危害是宏大的，而且非常難對付，非法用戶和

5、惡意用戶可以隨時發(fā)送arp欺騙和恢復數(shù)據(jù)包，這樣就增加了網(wǎng)絡管理員查找真兇的難度。三、解決arp攻擊的方法絕大多數(shù)路由器廠商建議用戶在內(nèi)網(wǎng)主機和路由器之間建立雙向的arp綁定來解決這個問題，這也是目前看來最行之有效的解決方案但是在酒店卻很難使用這個方案，隨著住店客人的不斷更換，酒店客房里的主機是不斷變化的，這就意味著遭遇arp欺騙時，不可能在路由器上通過綁定內(nèi)網(wǎng)主機arp信息的傳統(tǒng)方法解決此問題。同時，也很難讓住店的客人操作對路由器的arp綁定。針對使用hiper路由器的酒店用戶特提出以下解決方案：1.解決路由器被arp欺騙的問題絕大多數(shù)酒店采用dhp技術給上網(wǎng)用戶動態(tài)分配ip地址，hiper

6、新一代res版本vstar根據(jù)這個特點，對路由器dhp動態(tài)分配ip地址的用戶自動進展arp綁定，待該ip地址租約到期未續(xù)租時將其自動解除綁定的功能。這樣當路由器收到內(nèi)網(wǎng)虛假的arp信息的時候就會主動回絕。2.解決內(nèi)網(wǎng)主機被arp欺騙的問題方法1：通過路由器按照一定頻率發(fā)送申明自己的播送包，告知內(nèi)網(wǎng)每臺主機正確的網(wǎng)關arp信息。方法2：一旦arp欺騙發(fā)包的頻率高于網(wǎng)關的發(fā)送頻率，方法1的防御方法就會失效。這時候我們就可以配合內(nèi)網(wǎng)平安交換機端口隔離功能來解決這個問題，在內(nèi)網(wǎng)的交換平安交換機上配置每個端口為獨立的vlan可以采用802.1qvlan或者prtvlan技術。這樣，內(nèi)網(wǎng)即使有主機發(fā)起arp欺騙，也不會影響到內(nèi)網(wǎng)的其他主機的正常上網(wǎng)。3.過渡方法暫時沒有平安交換機的酒店網(wǎng)絡也可以使用過渡方法，在內(nèi)網(wǎng)的效勞器上共享一個主機綁定路由器arp信息的批處理文件，并且在每個房間網(wǎng)線接口旁擺放一個卡片，指導用戶如何找到這個批處理文件，如何執(zhí)行該批處理文件。這樣就可以在內(nèi)網(wǎng)主機上完成對路由器arp信息的綁定。四、完畢語arp欺騙在相當長的時間內(nèi)還會繼續(xù)存在，不斷的為用戶提供各種解決方案，幫助