前言

12月21日，有黑客在网上公开了CSDN网站用户数据库，包括600余万个明文的注册邮箱帐号和密码;12月22日，网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用明文密码，用户数据资料被放到网上公开下载。你的密码泄露了!各种广告，各种垃圾邮件纷至沓来，怎么呢?!别急，艾泰路由轻松设置就能防御各种内网攻击、外网攻击、ARP欺骗，建立最强防火墙。
 

常见问题分析

一、ARP攻击防御

判断内网有ARP攻击的方法是在WEBUI-> 系统状态 -> 日志管理 -> 日志管理信息页面看到多条(每条信息的MAC Old相同或每条信息的MAC New相同)该IP地址的MAC地址变化信息。如下，表示内网可能有ARP欺骗的情况出现。

【00:04:44 MAC Old 00:01:6c:32:94:f1

00:04:44 MAC New 00:05:5d:60:c7:18

00:04:44 ARP SPOOF 10.128.103.124

00:04:44 MAC Old 00:01:6c:36:d1:7f

00:04:44 MAC New 00:05:5d:60:c7:18

00:04:44 ARP SPOOF 10.128.103.123】

解决之道1：如图1，在WEBUI-> 网络安全 -> 攻击防御 -> 内网防御 当中，选中“启用ARP欺骗防御”前面的复选框，设置“ARP广播的间隔”，默认的100毫秒，如果内网ARP欺骗源为“P2P终结者”等类似软件的攻击频率低于这个数值，则可以保证内网不受ARP攻击源的影响。如果ARP攻击频率很高，推荐使用其他方法。

　　图1

解决之道2：如图2，在WEBUI-> 网络安全 -> IP/MAC绑定 -> IP/MAC绑定列表当中，点击“导出ARP绑定脚本文件”，将此“arp.bat”文件放在WINDOWS的“开始”->“程序”->“启动”文件夹当中。然后在WEBUI-> 网络安全 -> IP/MAC绑定 -> IP/MAC绑定配置当中，如图3所示，先点击“扫描”，内网所有的IP/MAC信息都会显示出来，之后点击右下角的“绑定”按钮。就会将所有内网的IP地址和MAC地址的信息进行绑定，从根本上解决ARP欺骗问题。

　　图2

　　图3

解决之道3：可以使用PPPoE服务器，如图4所示，在WEBUI -> PPPoE -> 全局配置 给内网所有的电脑分配一个PPPoE帐号，从根本上解决了ARP欺骗现象，这种普遍适用于小区或者出租屋环境。

　　图4

二、内网攻击防御

在WEBUI-> 系统状态 -> 日志管理 -> 日志管理信息页面看到如下信息：

【NAT exceeded 192.168.16.221 ，表明有以下几种可能：

1、蠕虫病毒的DoS攻击，比如冲击波、SQL蠕虫等。

2、P2P软件/CS游戏等开始连接远端的时候，会发出很多连接，往往这时候会话会超限，一段时间后下载/游戏真正开始的时候会复正常。(例如QQlive)

3、用户正在上网，使用了几百条会话，该用户的电脑突然死机/断电，那么它原来的几百条会话仍然会保留在路由器的NAT列表内直到超时(不同的应用超时时间不一样)。 】

为了防止DDoS攻击，在WEBUI -> 网络安全 -> 连接限制 -> 点击系统默认连接后面的“编辑”如图5所示，在这里定义了每个用户同时能够并发的NAT会话的数量，如果某用户使用的NAT会话超过了这个数字，那么在WEBUI -> 系统状态 -> 日志管理 -> 日志管理信息里面就会有“NAT exceeded”的消息，可以根据实际情况调整最大会话数来达到抵御攻击的效果。

　　图5

一键解决常见内网攻击问题。 可以在WEBUI-> 网络安全 -> 攻击防御 -> 内网攻击页面，将常见的“启用冲击波病毒防御”、“启用IP欺骗防御”(启用这个之后位于3层交换机后面的电脑将无法上网。)、“启用UDP FLOOD防御”、“启用ICMP FLOOD防御”、“启用SYN FLOOD防御”、“启用ARP欺骗防御”、“启用DDoS攻击防御”、“启用端口扫描防御”全部选中。“允许通过的数据包”的个数这里可以设置一个适当的值，推荐设置在300至600之间，来达到对路由器的一个保护。

　　图6

三、内网DHCP主机冲突。

当遇到内网PC DHCP自动获取IP上网，获取到地址，但无法上网。 查看TCP/IP 发现IP地址不是艾泰路由上所设置的地址池里的IP。遇到这种情况，在WEBUI -> 系统状态 -> 日志管理 -> 系统日志信息里面看到如下信息：

【2011-11-11 11:11:11 DHCPS: server conflict conflict ip=192.168.1.1,

mac=00:22:11:5b:dc:1d】

说明内网有一台192.168.1.1的IP地址的DHCP服务器与路由器的DHCP服务器冲突，可以找到那台设备然后关闭DHCP功能。如果内网是无盘环境，IP地址的分配是由无盘服务器来执行的，可以关闭此功能，如图7所示，在WEBUI -> 系统状态 -> 日志管理 -> 系统日志配置 当中去掉“启用DHCP日志”前面的复选框。

　　图7

(责任编辑：)