过年了亲人团聚、回乡探亲,春节是中国人最重要的节日了。随着网络应用的普及化,现代人对于网络需求与应用有越来越多了,根据产业市场动态分析,预计春节期间各地网吧市场将出现更胜往年的盛况荣景。然而,对于网吧业主来说,如何保证在天天客户爆满的情况下,提供客户优质的网络服务与玩家畅游的质量,是最值得下功夫的事情了,过年、生意两不误,相信是所以网吧老板的心声。有着多年客户服务的经验的Qno侠诺工程师们,向广大网吧用户介绍了几点网络防攻击的方法,希望能够帮助用户过一个愉快而轻松的春节。
一般而言,网吧要能维持长时间优质的网络服务,最重要的是能防范内外网的攻击,有效降低内外网被瘫痪的机会,避免造成卡网或当机等网络服务被中断等严重问题。侠诺工程师在这里为大家提供了常见的内网攻击包含ARP攻击、洪水攻击、内网恶意占用带宽者等快速有效的解决方法,以及针对目前新型外网攻击例如机器狗病毒等应对措施,并期望能帮助网吧的网管人员,轻松安心过个黄金鼠年!
一、内网攻击
1、IP / MAC 双项邦定,有效防制ARP攻击 / IP欺骗
对于网吧来说,ARP攻击可以说是一个最常见的攻击模式,自2006年至今已演变为新的攻击方式,使用更高频率的ARP ECHO,超过了用户的ARP ECHO广播。由于发出广播包的次数太多,因此会使整个局域网变慢或占用网关运算能力,发生内网很慢或上网卡的现象。甚至严重时,会经常发生瞬断或全网掉线的情况。而内网IP欺骗是在ARP攻击普及后,另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP,让受攻击的计算机产生IP冲突,无法上网。这种攻击现象,通常影响的计算机有限,不致出现大规模影响。
要同时解决ARP攻击以及IP欺骗,到现在为止最简单有效的方法仍属于Qno侠诺提出的双向绑定方式。网管人员可预先在每台PC上做好路由器及网吧游戏、电影服务器等IP / MAC绑定,再通过路由器对内网每台PC之IP / MAC进行绑定。如此一来,通过路由器与PC双向IP/MAC绑定,即可有效避免受到ARP攻击与IP欺骗。不过,由于网吧客户端PC关机后,IP/ MAC绑定会自动清除,因此网管若要重新一一进行绑定,确实是一个很沉重的负担,因此PC端可通过建立一个BAT文件@echo / arp -d / arp -s,让用户开机可自动执行IP/MAC绑定,即可有效解决这个问题。
要进一步检视PC端是否帮定路由器与服务器IP/MAC,可开启dos cmd输入指令ARP -a,出现IP与MAC地址,在后端显示的type列表查看是否显示为static,若是即为绑定成功,若出现dynamic,表示没有成功,则须重新绑定。
图一:路由器IP / MAC绑定
图二:PC端IP/MAC绑定
2、强效防火墙DoS启动,全面防制内网洪水攻击
内网攻击是从内网计算机发出大量网络包,占用内网频宽。通常是用户安装了外挂,变成发出攻击的计算机,不断的对路由器发出大量如洪水般流量的封包,而路由器忙着处理这些大量不正常的封包,导致内网呈现瘫痪。一旦内网遭受洪水攻击,网管会发现内网很慢就是这个原因。而一般网管实行Ping路由掉包,却不知是那一台影响的,原因在于有的内网攻击会自行变换IP,让网管更难找出是谁发出的网络包。
Qno侠诺对于内网攻击的解决方案,可直接激活防火墙中DoS的功能,默认值将每秒可发的封包数限定在2000笔之内,或可使用进阶设定每秒允许最大的封包流量。一般而言,使用视讯下载大约每秒封包数为每秒500笔,因此每秒超过2000笔封包的流量,我们即可视为不正常或是已经遭受攻击,可采取立即予以阻档并切断联机,即可有效防范路由器被内网部正常洪水流量攻击。若要进一步检视是否有设定成功,可用一台PC发出攻击封包测试,如果设定成功,网管人员会发现该台PC立刻会发生掉线的情况,这就是因为被路由器认定为发出攻击计算机,自动被切断所致,网管可进一步检视其它计算机是否可正常上网,即可确保DoS防内网攻击设定成功。
图三:DoS防制内网流量攻击
3、智能QoS / 联机数管控,实时有效抑制恶意占用带宽用户
网吧用户也常遭遇到内网用户下载BT、P2P等影音视讯,如果未实时加以抑制与管理,很有可能会将带宽全部吃光,造成严重卡网等问题,进而威胁到正常用户的网络服务质量。许多网吧用户针对恶意占用带宽者的解决方式,通常是采用传统的带宽管理模式,可统一限制每台PC最大可使用的带宽流量,但由于要找出带宽使用异常的调制解调器,必须手动从IP纪录中一一查找,而就算找出该调制解调器给予警告之后,过不了多久,又可能发生了同样的问题,可以说是防不甚防。如果每隔一段时间就会卡网,对于分秒必争的网吧业者来说,就象是存在一枚不定时炸弹。
为了实时解决及惩罚恶意占用带宽用户,Qno侠诺提出“智能QoS”,拥有自动惩罚机制,自动将大量占带使用者列于观察列表,网管可一目了然观察异常名单,大大减轻网管一一查找IP纪录的负担。如有持续占带情形,网管可立即启动二次惩罚,将该占带者可使用频宽减少至50%,达成实时惩罚的目地。另外智能QoS还可针对时间、门坎流量进行自由设定,也就是说当网吧整体带宽使用达一定比率(60%),才自动启用带宽管理的功能,可进一步保障带宽使用率最佳化。
除了利用“智能QoS“防制大量占用带宽者之外,也可搭配QoS中的联机数管控功能,可限制网吧用户每台PC可容许联机数的最大值,拒绝BT、视讯等下载,使用大量联机数吃掉内网整体带宽,可以说是保证正常用户带宽第二重保障。
图四:Qno侠诺“智能QoS”有效抑制大量占带使用者
图五:“联机数管控”有效抑制大量占带者
二、外网攻击
1、机器狗病毒肆虐,Qno侠诺教您防范解决之道
近期,网吧用户深受“机器狗”病毒侵扰。它是一种可以穿透还原软件与硬件还原卡的病毒。通过释放pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息,危害极大。
网管人员可通过两个方法检视是否遭受“机器狗”病毒感染。方法一,查看开启系统目录的 system32 文件夹中,是否有该文件版本标签,如果没有的话,表示已经中了机器狗。方法二,通过查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32”启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都还真实保存,表示也中了“机器狗”病毒。
由于“机器狗”病毒可穿透还原软件与硬件还原卡。一旦感染,就必须将病毒主机断网杀毒、恢复系统镜像或重做系统。而侠诺科技提出防制机器狗解决之道,可在防火墙中设定IP部分采用Access Rule规则阻挡,域名部分用“网页内容管制设定”阻挡,即可事先有效防范网吧客户端下载机器狗病毒。以下列出已公布隐含机器狗的IP地址、网址和域名,提供网吧用户作为建立防范机制的参考:
(1)隐含机器狗病毒IP地址:
59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207
(2)隐含机器狗病毒网址和域名:
www.tomwg.com、Yu.8s7.net、www.17max.cn、www.951ksf.com、www.pp365.com、www.111ss.com、www.11se.com、www.joppnqq.com、www.77886699.cn、www.94ak.com、www.99mmm.com、www.161816.com、www.91ni.com、www.35832.com、www.15197.com
图六:用Qno侠诺防火墙有效封锁机器狗病毒网址
图七:用Qno侠诺防火墙有效封锁机器狗病毒域名
责任编辑:封小明
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名