ARP欺骗和攻击已成网吧大害。如何防范网吧ARP？“简单！”，对这个问题，会有一群的“行家”跳出来说，“双向绑定”啊，甚至还有更“专业”的，一口咬定：双向绑定是王道。

果真如此吗？

众所周知，ARP欺骗病毒是个双头怪，它一头咬向PC，另一头咬向路由器。所以，防ARP所需要做的IP-MAC的静态绑定，在PC端要绑，路由器端也要绑，这就是“双向绑定”的由来。

这么说来，“双向绑定”肯定是顺理成章的了。那怎么还有“单向绑定”一说呢？“单向绑定”有效吗？

先说在网吧客户机端的防护。客户机一般都是windows，ARP要骗客户机，要避免被骗只能在windows上解决，但微软大哥不管这事，那就只有我们自己做IP和MAC的静态绑定了，也就是“必绑”了。

那路由器这端呢？路由器可不是微软做的，要找路由器厂家来解决了。不负责的厂商肯定不管；负责任的厂商给你搞一个“IP-MAC”绑定表，告诉你要“双绑”；负责且能力强的厂商就提供了技术的方法，让你根本不用绑，一样能防范ARP对路由的欺骗。

路由“不绑”听说过吗？这就是欣向路由的“先天免疫”技术。

一般，路由器设计普遍采用一些通用的系统，其中很多协议的实现方法都是抄来、借来的。正因如此，通用系统就容易被人研究，并从中发现漏洞。其中“IP-MAC”映射表的不设防就是一个明显的大漏洞。ARP病毒就是通过对路由系统中“IP-MAC”映射表的更改，利用了这个漏洞，从而实现欺骗的。而在欣向路由中，NAT转发没有采用通用的方式，而是采用自创的技术方式进行，不使用系统的“IP-MAC”映射表，从而成功地回避了这个漏洞。因此，欣向路由不怕ARP对网关的欺骗。

在使用欣向路由的网吧中，因为有欣向“先天免疫”技术，路由器上不绑，只需要PC上绑定，所以从来都是“单向绑定”的！

 

那么，“单向绑定”有什么好处呢？哈，那就看看网吧老板们反映“双向绑定”的繁琐和不便，从反面体会一下吧。

“双绑”中，路由器“静态绑定”就是沿用客户机的防护机制，将路由器中ARP表通过手动静态锁定的方式进行固化，这样路由器这台“客户机”也一样不受ARP攻击影响了。让我们来看下路由器绑定的操作过程：将网吧所有客户机及网络设备开机，保证全部正常接入局域网；在路由器的ARP静态绑定功能页中进行全网扫描，然后确认扫描到的客户机数量是否准确；启用路由器的ARP绑定。

实际应用过程中，这种绑定方式不断暴露出一些使用上的问题，网吧老板真的烦了：

1、               每次扫描都会有几个客户机没有扫描到，这是常事。再扫描上次没扫到的这次扫到了，上次扫到的这次又没了….再扫描几次，依旧，只能在全网吧几百台电脑中慢慢找没扫到的几个，手动添加。千万别遗漏哦，哪个漏掉，哪个就掉线呀。

2、               扫描时，局域网可不能有ARP攻击，这会儿网吧所有电脑一定是干净的，否则路由器扫描到的全部是ARP攻击的信息，绑定表里的全是错的。这样的绑定要是启用了，可是还没攻击就自己先乱了啊。怎么办，还是要手动添加，几百台电脑填上个几百条，要认真哦，错一个也不行啊，睁大眼睛！

3、               网吧更换网卡或是更换主机，怎么会上不了网呢，别忘了要把路由器里对应的ARP绑定修改了，改哪条呢，找吧……重新扫描不得了吗，别，如果扫描时有ARP攻击，错的可不止这一台，可要停业重做路由器绑定了。谨慎哦。

4、               平时网吧出现部分掉线，找路由器客服，一准儿告诉你路由器里的绑定有错，自己查吧，不多，才几百条…..晕倒！

5、               内网通过路由器绑定解决了一定问题，外网ARP怎么办？电信不知怎么搞的，外网也是由一堆电脑组成的网络，难不成路由器中再有一个外网的静态绑定表？电信老大愿绑吗？

 

经历了n次路由绑定修改风波，网吧老板毅然决定，网管谁也不许碰路由器，谁不小心改乱了路由器的ARP绑定，“剁”了他手指。。。

 

现在看来，“单向绑定”太省心了。路由器上不做绑定，也就避免了绑定不全面、绑定不正确、修改不便利、维护难下手、问题难定位的问题，对外网ARP也有防范作用。对比“双向绑定”，“单向绑定”优势明显啊，那可都是技术换来的。

目前，欣向路由的“先天免疫”技术增强了网吧网络的稳定性和易用性，成为网吧应对ARP攻击的有力保障。数万家欣向路由的网吧一直在“单向绑定”着，达到或超过了“双向绑定”的效果，表现确实没得说。

“双向绑定是王道？”，话说得太满了。明白欣向路由先天免疫功能之后，我们会说­ ——技术就是技术，“单向绑定”才是王中王！

 

后记：“单向绑定”和“双向绑定”都是属于静态方式，这种方式应付普通的ARP欺骗是有效的。但自从2007年起，新型的ARP以更疯狂的方式发起攻击，这种静态方式面临失效，因此，欣向开发了“巡路免疫墙”，采用了“看守式绑定”和客户端拦截、监控端告警方式进行立体防范，上万家欣向路由网吧已成功采用这种最新的科技方案。“单向”还是“单向”，防ARP技术却又上了新的台阶。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: