正在阅读：免疫ARP攻击IP欺骗 H3C ER2100路由评测免疫ARP攻击IP欺骗 H3C ER2100路由评测

　　我们使用的测试工具可以达到这样一种攻击效果：它首先扫描局域网内所有活动的IP，然后向攻击对象发送虚假的IP/MAC映射信息。如果没有报文源认证功能，此时路由器就彻底晕了，因为路由器默认无条件相信收到的IP/MAC映射信息。那么，这时路由器还能相信谁？有两张表是可信的：ARP绑定表和DHCP分配记录。基于这两张表对收到的报文进行甄别，路由器就能知道什么报文是真实的，什么报文是虚假应丢弃的。受到攻击时，上网速度会变慢，日志记录也可以提供相关信息。

使用虚假报文攻击ER2100，日志记录下了错误事件

异常主机流量防护

　　主机中毒或其它原因会向Internet发送大量的异常报文，导致阻塞网络，大量消耗设备资源。流量防护功能会对各个主机的流量进行检查，发现有异常流量时会进行指定的处理（如：阻断网络），以保证设备受到此类异常流量攻击时仍可正常工作。为准确区分流量的合法性，建议开启报文源认证页面的相关功能。

双向限速/限连接数

　　BT、电驴等P2P下载会占用大量带宽，但是不是封掉它们就天下太平了呢？似乎也不尽然，除了P2P，带宽被滥用还有很多其它复杂原因，所以，用“封堵”的方式解决带宽滥用并不是什么好思路——任何产品所提供的应用封堵功能都是有限的，总会有“漏网之鱼”。那怎么办？答案是可以通过限制带宽和连接数达到规范员工上网行为的目的。

　　ER2100支持双向限速，这对ADSL用户非常重要，ADSL下行带宽一般可以达到8Mbps，但相比上行带宽就非常“珍贵”了，国内一般只有640Kbps。ER2100支持两种带宽管理方式：只能使用固定带宽和弹性带宽分配。

　　限速很好理解，但为什么还要限制连接数呢？禁止在PC上使用P2P软件是很难做到的，但我们可以通过限制每个IP的最大连接数变相达到目的。P2P类软件无一例外全部都是“连接数杀手”，比如下载BT、迅雷时，主机的连接数就会飙升。限制了主机连接数之后，如果用户再运行P2P软件，连接数就会被耗尽，这将直接导致其它网络应用失败，比如网页无法打开，影响到了正常上网，这样一个效果，相信用户对P2P软件的使用也会产生一些顾虑。

　　我们做了一个简单的测试，以平时的上网习惯，打开几个网页，到处转转，看看新闻，多点开几个感兴趣的网页，差不多17个IE窗口，其中包括网易，新浪等门户网站的首页，这时连接数基本在60以内，而在迅雷中开两个下载任务后瞬间连接数就达到了130左右。

业务控制

 
QQ MSN过滤测试，支持设置例外用户（不受限用户）

　　ER2100可管控的即时通信软件包括QQ和MSN，启用过滤后，均无法登录。在设置策略时，有一点需要注意，RTX腾讯通与QQ属于类似业务，如需禁止QQ上线但仍需使用RTX，需要配置允许访问的RTX服务器信息。

 
股票软件过滤测试，支持设置例外用户（不受限用户）

　　ER2100可过滤的股票类软件包括大智慧、分析家、同花顺、广发至强、光大证券和国元证券，我们测试了其中两项，均被成功过滤。

　　关于应用过滤，有一点要说明的是，虽然路由器的基础功能（如：限速）是固化的，但是，应用过滤功能并不是，厂商可以通过更新软件让路由器识别更多的应用或修复封堵失败的应用，所以，如果哪天发现路由器失去了对某些应用的过滤能力，更新下固件问题基本就解决了。