一、路由器遭受ARP攻擊怎么辦

網(wǎng)上有很多教程的，現(xiàn)在用的版本是2.9.27 他可以實現(xiàn)路由客戶機器雙向綁定，也可以設(shè)置成route os pppoe撥號上網(wǎng) 其中后一種方式100%防ARP攻擊, 希望對你有所幫助 為了防范ARP攻擊，使用以下七種手段來進行控制： 1、病毒源，對病毒源頭的機器進行處理，殺毒或重新裝系統(tǒng)。此操作比較重要，解決了ARP攻擊的源頭PC機的問題，可以保證內(nèi)網(wǎng)免受攻擊。 2、網(wǎng)吧管理員檢查局域網(wǎng)病毒，安裝殺毒軟件（江民/瑞星，必須要更新病毒代碼），對機器進行病毒掃描。 3、給系統(tǒng)安裝補丁程序，通過Windows Update安裝好系統(tǒng)補丁程序（關(guān)鍵更新、安全更新和Service Pack）。 4、給系統(tǒng)管理員賬戶設(shè)置足夠復雜的強密碼，最好能是12位以上，字母+數(shù)字+符號的組合；也可以禁用/刪除一些不使用的賬戶。 5、經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。安裝并使用網(wǎng)絡防火墻軟件，網(wǎng)絡防火墻在防病毒過程中也可以起到至關(guān)重要的作用，能有效地阻擋自來網(wǎng)絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，不妨通過使用網(wǎng)絡防火墻等其它方法來做到一定的防護。 6、關(guān)閉一些不需要的服務，條件允許的可關(guān)閉一些沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶也可直接關(guān)閉Server服務。

二、無線路由器遭到DoS攻擊該怎么辦

步驟/方法

(1)定期掃描

要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此 對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

(2)在骨干節(jié)點配置防火墻

防火墻本身能抵御Ddos攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。

(3)用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡實際運行情況不相符。

(4)充分利用網(wǎng)絡設(shè)備保護網(wǎng)絡資源

所謂網(wǎng)絡設(shè)備是指路由器、防火墻等負載均衡設(shè)備，它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重 啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載 均衡設(shè)備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了Ddos的攻擊。

(5)過濾不必要的服務和端口

可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的 CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

(6)檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶， 很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡安全性。

(7)過濾所有RFC1918 IP地址

RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網(wǎng)段的固定的IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問，而是將攻擊時偽造的大量虛假內(nèi)部IP過濾，這樣也可以減輕Ddos的攻擊。

(8)限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的SYN/ICMP流量 時，說明不是正常的網(wǎng)絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于Ddos效果不太明顯了， 不過仍然能夠起到一定的作用。

三、我的路由器遭到ARP攻擊

無線路由器受到ARP攻擊的解決方法：

1、解釋下ARP攻擊的原理：ARP攻擊：導致瞬間掉線和大面積斷網(wǎng)的罪魁禍首。在局域網(wǎng)中，通過ARP協(xié)議來進行IP地址（第三層）與第二層物理地址（即MAC地址）的相互轉(zhuǎn)換。網(wǎng)吧中的一些設(shè)備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表，以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個特點來對網(wǎng)絡設(shè)備進行攻擊，通過偽造的MAC與局域網(wǎng)內(nèi)的IP地址對應，并修改路由器或電腦的ARP緩存表，使得具有合法MAC的電腦無法與IP對應，從而無法通過路由器上網(wǎng)。在掉線重啟路由器后，ARP緩存表會刷新，網(wǎng)絡會在短時間內(nèi)恢復正常，待ARP攻擊啟動后，又出現(xiàn)斷網(wǎng)現(xiàn)象，如此反復，很容易被誤斷為路由器“死機”，從而使得導致網(wǎng)絡無法使用。

2、如果路由器上有“IP與MAC地址綁定”功能，一般可以有效防范ARP攻擊。啟用IP與MAC地址綁定功能（如圖1），可將局域網(wǎng)內(nèi)的每一臺電腦的MAC與內(nèi)網(wǎng)IP建立一一對應的關(guān)系保存到ARP緩存表中（如圖2），此后，網(wǎng)吧即使受到ARP攻擊也不能修改ARP緩存表，從根本上排除ARP攻擊對路由器的影響：

設(shè)置IP與MAC綁定功能很簡便，無須逐一輸入電腦的IP與MAC，路由器工作正常時在路由器管理界面的ARP映射表中點擊一下“全部綁定”按鈕（如圖3），就可以完成IP與MAC綁定；點擊“全部導入”按鈕將已建立的IP與MAC綁定關(guān)系保存到系統(tǒng)，即使重新啟動也無需重新綁定。

3、在電腦上進行IP與MAC綁定也必不可少。在電腦上進行IP與MAC綁定該如何操作就是在電腦的Windows命令行界面中輸入“arp　-s ＋路由器IP如192.168.1.1＋路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC，電腦每次在重啟后都需要先輸入ARP命令，還有更簡單的辦法，可以讓電腦每次啟動時，自動將路由器的IP與MAC綁定到電腦的ARP表中：

STEP 1 新建一個批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入ARP命令，并保存。

要得到路由器的LAN口MAC地址，可以查看路由器的界面中的“LAN運行狀態(tài)”。

STEP 2 將建立好的批處理文件static_arp.bat拷貝到系統(tǒng)的啟動目錄中。電腦每次啟動時將自動運行該文件，自動綁定IP與MAC。

STEP 3 將static_arp.bat文件拷貝到所有電腦的系統(tǒng)啟動目錄中。

所有電腦都將路由器的IP與MAC綁定到ARP表中，無需再擔心因ARP攻擊而無法上網(wǎng)。