抗内网攻击

内网攻击主要是ARP攻击和内网的DDoS攻击比较多，针对这种攻击，主要有以下三种防范方法。

4.1 双向绑定

其中双向绑定是过去比较常用的一种方法，它在路由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址，在每一台PC上绑定网关的IP地址和MAC地址，形成一个相对固定映射关系来防止ARP欺骗。这种做法对过去的ARP病毒是有效的，随着ARP病毒的演进，新的ARP病毒会在系统运行过程中删除PC的ARP绑定，此时双向绑定将失效，所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。
示例：通过双绑有隐患，不能完全解决掉线问题

4.2 在PC上安装过滤软件

在PC上安装过滤软件，PC成为软件防火墙过滤PC发出DDoS报文以及欺骗的ARP报文，一般这类软件称自己为防水墙。通过监控网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断，对PC的性能造成了影响严重，经过测试在30-40M流量下，由于过滤软件的原因很容易导致PC的CPU使用率超过90％ 。

比如AntiARP类型的软件是通过包装驱动层NDIS来过滤ARP数据包，每一个流进或流出的数据包都要经过NDIS才能到达网卡，因此这是一个典型的串行系统。

AntiARP在这一层变造数据包修改网关ARP和攻击网管服务器

但这样做有3个危险：
第一、如果AntiARP驱动不稳定，将会导致用户计算机轻则不能上网，重则系统崩溃。
第二、AntiARP驱动在系统0层运行，其实用户相当于将全部权限给了AntiARP，如果这个软件万一染毒，任何杀毒软件都无效。（杀毒软件的权限最高也只有0层）。
第三、可能引起局域网内ARP广播风暴

4.3 通过安全交换机过滤非法ARP及DDoS攻击

在经过双向绑定和、安装防ARP欺骗软件之后，目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表，通过交换机自身的ARP过滤模块，过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文，对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作，节省了PC的资源。

通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。

示例：锐捷安全交换机支持安全地址设置和IP、MAC、交换机端口号三元素绑定