一、防止ARP攻击路由

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
常用的解决办法就是一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。三是前两种办法的组合，称其为IP-MAC双向绑定。
方法是有效的，但工作很繁琐，管理很麻烦。每台PC绑定本来就费力，在路由器中添加、维护、管理那么长长的一串列表，更是苦不堪言。一旦将来扩容调整，或更换网卡，又很容易由于疏忽造成混乱。况且ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定，伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。
我也曾受过arp的毒害，辛辛苦苦做的双向绑定遇到二代arp攻击变的是无所遁形，我觉得要想真正的杜绝arp攻击还是要我们内网每台电脑都联动起来，共同防范，共同抑制，光装防arp攻击的防火墙是远远不够的，这只能保证你可能不被攻击，但不能杜绝你不发arp攻击，这样是治标不治本的，因此要想真正杜绝arp最治本的方法还是从源头抑制，即从每个终端上抑制arp攻击的发出，因此要想完全的杜绝arp攻击要靠软硬件的结合，单靠硬件是无法实现的

听说最近市面上正流行一种叫免疫墙的效果不错，解决ARP攻击比较彻底，你可以试试。

二、如何避免无线路由器遭受ARP攻击

随着现在社会信息技术的飞速发展，如今企业网络办公化也正式步入了无线网的领域中。构建无线网最大的好处就是组网无需布线，使用便捷，经济。所以对多数企业来说，无疑是组网方案的最佳选择。 大量的无线路由器被用于企业中，使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。 在企业无线网办公中经常会出现一些使用手册上未涉及到疑难和故障，有时难以应付，无法解决。下面就无线网络中由路由器引发的典型故障进行分析，并提供解决方案。 连接错误线路不通 网络线路不通有很多原因造成，但首先要检查的是连接配置上有无错误。 在确保路由器电源正常的前提下首先查看宽带接入端。路由器上的指示灯可以说明宽带线路接入端是否正常，由说明书上可以辨认哪一个亮灯为宽带接入端及用户端，观察其灯闪亮状态，连续闪烁为正常，不亮或长亮不闪烁为故障。我们可以换一根宽带胶线代替原来的线路进行连接。 如果故障依旧，请查看路由器的摆放位置与接收电脑的距离是否过远或中间有大型障碍物阻隔。这时请重新放置路由器，使无线路由器与接收电脑不要间隔太多障碍物，并使接收电脑在无线路由器的信号发射范围之内即可。 无线网卡的检查也必不可少，可以更换新的网卡并重新安装驱动程序进行调试，再网卡中点击“查看可用的无线连接”刷新“网络列表”后设置网卡参数，并再“属性”中查看有无数据发送和接收情况，排除故障。 当然路由器自身的硬件故障也是导致线路不通的直接原因，但这并不是我们所能解决的范围，应及时联系厂商进行维修或更换。 设置不当无法连接 “设置”可以分为计算机设置和路由器设置两个方面。 计算机的设置相对简单，点击进入“网上邻居”属性，开启“无线网络连接”，然后设置“IP地址”“子网掩码”及“网关”，只要使计算机的IP地址与无线路由器的IP地址在同一网段即可。“网关”的设置可以参见网卡说明说中所述，一般情况下与路由器IP地址相同。 路由器的设置相对较为专业，复杂些。首先在系统浏览器中输入无线路由器IP地址，在弹出的登录界面中输入路由器的管理员登录名及密码即可进入设置界面。此时需要检查网络服务商所给你的宽带帐号及口令是否正确，如不正确，更正后尝试连接，如果连接后仍无法打开页面请点击进入路由器中的“安全设置”选项，查看是否开启“网络防火墙”，“IP地址过滤”以及“MAC地址过滤”选项，并做更正和设置，排除无法开启网络的故障。 网络攻击导致联网异常 ARP攻击以及非法入侵未设防的无线局域网已经是现在导致联网异常的典型案例了。由于安全设置的疏忽以及后期安全防护的不足，导致少数具有恶意的黑客对企业的重要信息及保密数据造成了极大的危害。 ARP攻击会造成网络IP冲突，数据的丢失及溢出，更有甚者会导致网络瘫痪。这些现象对企业组网的威胁都是很大的。 首先进入“带有网络的安全模式”，在无线网卡属性处更换电脑的IP地址，之后查看是否可以联网。另外购买安装专业的杀毒软件及网络防火墙是比较捷径的方法之一。 其次进入路由器“安全设置”选项进行高级设置。现在的大部分无线路由器都具有WEP的密码编码功能，用最长128bit的密码键对数据进行编码，在无线路由器上进行通信，密码键长度可以选择40bit或128bit，利用MAC地址和预设的网络ID来限制哪些无线网卡和接入点可以进入网络，完全可以确保网络安全，对于非法的接收这来说，截听无线网的信号是非常困难的，从而可以有效的防范黑客的入侵破坏和非法用户恶意的网络攻击。 最后要注意，在没有特殊需要或不具有专业技能的情况下禁止开启路由器中的“远程WEB管理”，功能选项。 路由器部分功能失灵无法使用 这个问题大多存在于一些老款的无线路由器中，当我们在配置路由器高级功能选项的时候，在反复确认连接无误的情况下就是有部分功能无法开启使用，这时你也许第一想到是否是硬件出了故障，其实不然。 首先我们要查看下路由器系统的版本，在查阅无线路由器说明书后，看该功能是否支持这个版本的路由器系统。路由器的系统通常有许多版本，每个版本支持不同的功能。如果你当前的软件版本不支持这个功能，那就应该找到相应的软件，先进行升级。 点击进入无线路由器的“系统工具”选项，进入后选择“软件升级”，此时在对话界面中会显示出当前的软件版本和硬件版本，在弹出的对话框中输入“文件名”(即系统升级的文件名)和“TFTP服务器IP”后点击“升级”即可。 升级时要注意：选择与当前硬件版本一致的软件进行升级，在升级过程中千万不要关闭路由器的电源，否则将导致路由器损坏而无法使用，在网络稳定的情况下升级过程很短整个过程不会超过一分钟。当你发现路由器在升级完毕后重启，请不要担心这是正常的。一般升级过后，路由器工作情况会更加稳定，并增加一些适用于此版本更多的新功能。

三、保护路由器如何才能防止网络黑客入侵

1. 更新路由器操作系统：就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向路由器厂商查询当前的更新和操作系统的版本。

2. 修改默认的口令：据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。

3. 禁用HTTP设置和SNMP（简单网络管理协议）：你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是，这对路由器来说也是一个安全问题。如果路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用路由器上的SNMP,那么就不需要启用这个功能。

4. 封锁ICMP（互联网控制消息协议）ping请求：ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息。

5. 禁用来自互联网的telnet命令：在大多数情况下，不需要来自互联网接口的主动的telnet会话。如果从内部访问路由器设置会更安全一些。