正在阅读：封BT封QQ D-Link DI-7200路由新品首测封BT封QQ D-Link DI-7200路由新品首测

网络攻击防御

DI-7200的内网防御功能

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家都拥有自己的技术，DI-7200使用的ARP防欺骗机制是通过发送广播包来实现的。启用“ARP保护”功能后，DI-7200会持续向局域网内发送ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抑制ARP欺骗的目的。除此之外，DI-7200还提供了两种ARP欺骗防御机制，一是常见的IP/MAC绑定功能，二是ARP信任机制。

IP/MAC绑定页面

　　DI-7200的IP/MAC绑定页面，用户可以“一键”绑定内网中所有IP/MAC对应关系，使用编辑功能可以为每条记录增加描述信息。在这里DI-7200提供了一个比较实用的功能，“禁止未绑定IP/MAC的主机通过”，如果启用该功能，未进行IP/MAC绑定的主机将无法访问DI-7200，当然更无法通过DI-7200访问INTERNET。使用这一功能可以非常有效的防止非法用户“蹭网”。

ARP信任机制

　　启用ARP信任检测功能，DI-7200将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息，可以在路由器不绑定IPMAC的情况下一定程度上防止内网ARP病毒产生的影响。

　　对于内网Flood攻击，我们将syn-flood、udp-flood、icmp-flood攻击防御的阈值设为50包/秒，接下来我们将使用测试工具验证DI-7200的防御机制是否有效。

Flood攻击测试结果

　　我们先后测试了SYN攻击、ICMP攻击和UDP攻击，日志记录见上图，这证明DI-7200对于这三种攻击的识别与拦截是有效的。