ARP篇

       ARP欺骗病毒一直是网吧安全工作的头号大敌。基于TCP/IP协议栈本身的缺陷使ARP欺骗有了理论的模型。

       ARP的工作建立在应答机制上。在以太网中，所有的主机均通过MAC地址来确认唯一身份，而IP地址只是个逻辑地址而并非真正的MAC地址，但人们通常记住的是IP地址，这时以太网会有询问和IP对于MAC的映射机制。举例来说，有两台主机，通讯发起方主机A，IP地址：1.1.1.1，通讯回应方主机B，IP地址：1.1.1.2，主机A的向目的地址1.1.1.2的B主机发送数据包时发现没有所必须的B主机的MAC地址，这时主机A就会发起ARP广播包，询问B主机的MAC地址，当B主机收到广播包时会回应自己的MAC地址，主机A收到ARP应答立即更新自己的缓存。这就是个ARP的询问和应答机制，但这里有一个问题主机A在接受到主机B的MAC地址时不会去验证ARP回应包的正确性，也就是说如果这时候有人冒充主机B，发送ARP应答给主机A，这时主机A与真正主机B的访问就会无效。ARP欺骗轻则导致客户主机不能上网，重则将导致网络瘫痪。

       ARP欺骗病毒一方面对客户主机欺骗，另一方面则对路由器进行欺骗。对于ARP系列病毒的防御，艾泰科技有着自己的解决方法。

 

       对于欺骗路由器的ARP防御

       我们都知道在路由器上做绑定可以防御客户主机对路由器的欺骗，但数量众多的主机一个个绑定起来也是很耗费工作的事情，艾泰科技的网关产品HiPER运用了扫描网络的概念，并配合全部绑定，如此一来在保证功能的同时也大大减轻了工作量。

      

       对于欺骗客户主机的ARP防御

       对于欺骗客户主机的ARP，解决方法在客户主机上做个绑定，但对于路由器来说无法直接操控客户主机。HiPER启用了ARP免费广播包，在指定的时间内发送正确的ARP广播，保证了客户主机对路由器的正确定位。

 

       对于酒店等动态IP地址ARP的防御

       如果网吧因为某些需求而使用的是动态IP的话。问题也随之而来，动态IP将不适合在路由器上做IP/MAC绑定，因为谁也不知道那些主机什么时候离开。所以一般动态IP主机的ARP欺骗，犹甚于静态IP。HiPER的新一带软件ReOS™VSTART很好的解决了这个问题，系统将检测用户是否分配到了动态IP，一旦分配成功则做个自动IP/MAC绑定，又一旦用户释放了IP（关闭客户主机） ，则系统将自动释放该绑定。

       HiPER系统的ARP防御功能，能使网吧摆脱ARP欺骗的捆扰，让网吧管理者们高枕无忧。

DDoS篇

       DoS（拒绝服务攻击）和ARP欺骗一样，它是由于某些程序上的缺陷而形成的，具体攻击形式为运用合理的请求来耗尽服务器的资源，服务器由于不堪重负而导致处理能力变弱甚至达到瘫痪的边缘。近几年由于硬件和软件处理性能的上升导致了单一的DoS失去了以往横扫前军的效果，于是DDoS（分布式拒绝服务攻击）就应运而生了。它的原理很简单，就是利用更多的傀儡主机进行大规模的拒绝服务攻击，而这些傀儡主机可能分布在各个地区，这样对于攻击者来说，这样的选择范围更广。而最近段时间利用DDoS攻击导致服务器瘫痪的事件频频，比如国内的某些门户网站，一些数据库服务器等等。

       网吧如果遭受了DoS/DDoS的话，情况可能变的很糟，上网慢，聊天信息发不出去，网络游戏慢人一步都是网吧管理者头疼的问题

       HiPER对于DoS/DDoS的防御

       HiPER是艾泰科技出品的安全网关系列，它能有效的抵御各种DoS/DDoS的攻击。

 

       防御伪源地址攻击、防御冲击波、震荡波已经各种变种等

      

 

       启用HiPER访问限制，有效的抵挡了未经允许通过的数据包，允许通过的数据包个数，将每秒数据包通过的个数做个限制

      

      

      

       在HiPER上开启了DoS/DDoS防御后，网吧的安全防御将得到进一步的提升，网吧的管理者们无需再把更多的精力放在如何控制Dos/DDoS上，缔造安全的网络，从艾泰开始。

 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: