过年、生意两不误 侠诺教您防攻击(网吧篇)

  作者:Amteam.org
2008/1/21 14:55:00
本文关键字: 存储 磁带 VTL

过年了亲人团聚、回乡探亲,春节是中国人最重要的节日了。随着网络应用的普及化,现代人对于网络需求与应用有越来越多了,根据产业市场动态分析,预计春节期间各地网吧市场将出现更胜往年的盛况荣景。然而,对于网吧业主来说,如何保证在天天客户爆满的情况下,提供客户优质的网络服务与玩家畅游的质量,是最值得下功夫的事情了,过年、生意两不误,相信是所以网吧老板的心声。有着多年客户服务的经验的Qno侠诺工程师们,向广大网吧用户介绍了几点网络防攻击的方法,希望能够帮助用户过一个愉快而轻松的春节。

一般而言,网吧要能维持长时间优质的网络服务,最重要的是能防范内外网的攻击,有效降低内外网被瘫痪的机会,避免造成卡网或当机等网络服务被中断等严重问题。侠诺工程师在这里为大家提供了常见的内网攻击包含ARP攻击、洪水攻击、内网恶意占用带宽者等快速有效的解决方法,以及针对目前新型外网攻击例如机器狗病毒等应对措施,并期望能帮助网吧的网管人员,轻松安心过个黄金鼠年!

一、内网攻击

1、IP / MAC 双项邦定,有效防制ARP攻击 / IP欺骗

对于网吧来说,ARP攻击可以说是一个最常见的攻击模式,自2006年至今已演变为新的攻击方式,使用更高频率的ARP ECHO,超过了用户的ARP ECHO广播。由于发出广播包的次数太多,因此会使整个局域网变慢或占用网关运算能力,发生内网很慢或上网卡的现象。甚至严重时,会经常发生瞬断或全网掉线的情况。而内网IP欺骗是在ARP攻击普及后,另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP,让受攻击的计算机产生IP冲突,无法上网。这种攻击现象,通常影响的计算机有限,不致出现大规模影响。

要同时解决ARP攻击以及IP欺骗,到现在为止最简单有效的方法仍属于Qno侠诺提出的双向绑定方式。网管人员可预先在每台PC上做好路由器及网吧游戏、电影服务器等IP / MAC绑定,再通过路由器对内网每台PC之IP / MAC进行绑定。如此一来,通过路由器与PC双向IP/MAC绑定,即可有效避免受到ARP攻击与IP欺骗。不过,由于网吧客户端PC关机后,IP/ MAC绑定会自动清除,因此网管若要重新一一进行绑定,确实是一个很沉重的负担,因此PC端可通过建立一个BAT文件@echo /  arp  -d  / arp  -s,让用户开机可自动执行IP/MAC绑定,即可有效解决这个问题。

要进一步检视PC端是否帮定路由器与服务器IP/MAC,可开启dos cmd输入指令ARP -a,出现IP与MAC地址,在后端显示的type列表查看是否显示为static,若是即为绑定成功,若出现dynamic,表示没有成功,则须重新绑定。

图一:路由器IP / MAC绑定

图二:PC端IP/MAC绑定

2、强效防火墙DoS启动,全面防制内网洪水攻击

内网攻击是从内网计算机发出大量网络包,占用内网频宽。通常是用户安装了外挂,变成发出攻击的计算机,不断的对路由器发出大量如洪水般流量的封包,而路由器忙着处理这些大量不正常的封包,导致内网呈现瘫痪。一旦内网遭受洪水攻击,网管会发现内网很慢就是这个原因。而一般网管实行Ping路由掉包,却不知是那一台影响的,原因在于有的内网攻击会自行变换IP,让网管更难找出是谁发出的网络包。

Qno侠诺对于内网攻击的解决方案,可直接激活防火墙中DoS的功能,默认值将每秒可发的封包数限定在2000笔之内,或可使用进阶设定每秒允许最大的封包流量。一般而言,使用视讯下载大约每秒封包数为每秒500笔,因此每秒超过2000笔封包的流量,我们即可视为不正常或是已经遭受攻击,可采取立即予以阻档并切断联机,即可有效防范路由器被内网部正常洪水流量攻击。若要进一步检视是否有设定成功,可用一台PC发出攻击封包测试,如果设定成功,网管人员会发现该台PC立刻会发生掉线的情况,这就是因为被路由器认定为发出攻击计算机,自动被切断所致,网管可进一步检视其它计算机是否可正常上网,即可确保DoS防内网攻击设定成功。

图三:DoS防制内网流量攻击

3、智能QoS  / 联机数管控,实时有效抑制恶意占用带宽用户

网吧用户也常遭遇到内网用户下载BT、P2P等影音视讯,如果未实时加以抑制与管理,很有可能会将带宽全部吃光,造成严重卡网等问题,进而威胁到正常用户的网络服务质量。许多网吧用户针对恶意占用带宽者的解决方式,通常是采用传统的带宽管理模式,可统一限制每台PC最大可使用的带宽流量,但由于要找出带宽使用异常的调制解调器,必须手动从IP纪录中一一查找,而就算找出该调制解调器给予警告之后,过不了多久,又可能发生了同样的问题,可以说是防不甚防。如果每隔一段时间就会卡网,对于分秒必争的网吧业者来说,就象是存在一枚不定时炸弹。

为了实时解决及惩罚恶意占用带宽用户,Qno侠诺提出"智能QoS",拥有自动惩罚机制,自动将大量占带使用者列于观察列表,网管可一目了然观察异常名单,大大减轻网管一一查找IP纪录的负担。如有持续占带情形,网管可立即启动二次惩罚,将该占带者可使用频宽减少至50%,达成实时惩罚的目地。另外智能QoS还可针对时间、门坎流量进行自由设定,也就是说当网吧整体带宽使用达一定比率(60%),才自动启用带宽管理的功能,可进一步保障带宽使用率最佳化。

除了利用"智能QoS"防制大量占用带宽者之外,也可搭配QoS中的联机数管控功能,可限制网吧用户每台PC可容许联机数的最大值,拒绝BT、视讯等下载,使用大量联机数吃掉内网整体带宽,可以说是保证正常用户带宽第二重保障。

图四:Qno侠诺"智能QoS"有效抑制大量占带使用者

 
图五:"联机数管控"有效抑制大量占带者

二、外网攻击

1、机器狗病毒肆虐,Qno侠诺教您防范解决之道

近期,网吧用户深受"机器狗"病毒侵扰。它是一种可以穿透还原软件与硬件还原卡的病毒。通过释放pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息,危害极大。

网管人员可通过两个方法检视是否遭受"机器狗"病毒感染。方法一,查看开启系统目录的 system32 文件夹中,是否有该文件版本标签,如果没有的话,表示已经中了机器狗。方法二,通过查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载"cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都还真实保存,表示也中了"机器狗"病毒。

由于"机器狗"病毒可穿透还原软件与硬件还原卡。一旦感染,就必须将病毒主机断网杀毒、恢复系统镜像或重做系统。而侠诺科技提出防制机器狗解决之道,可在防火墙中设定IP部分采用Access Rule规则阻挡,域名部分用"网页内容管制设定"阻挡,即可事先有效防范网吧客户端下载机器狗病毒。以下列出已公布隐含机器狗的IP地址、网址和域名,提供网吧用户作为建立防范机制的参考:

(1)隐含机器狗病毒IP地址:

59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207

(2)隐含机器狗病毒网址和域名:

www.tomwg.com、Yu.8s7.net、www.17max.cnwww.951ksf.comwww.pp365.comwww.111ss.comwww.11se.comwww.joppnqq.comwww.77886699.cnwww.94ak.comwww.99mmm.comwww.161816.comwww.91ni.comwww.35832.comwww.15197.com

图六:用Qno侠诺防火墙有效封锁机器狗病毒网址

 
图七:用Qno侠诺防火墙有效封锁机器狗病毒域名


责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map