網絡攻擊是近來常見的問題,分為外網攻擊和內網攻擊。下面分別解釋:
1.外部DoS攻擊會導致網絡斷開。從路由器的系統日誌文件可以看出,Qno仙諾的路由器會顯示受到攻擊,路由器在持續工作。其他品牌的路由器,有的也有相關功能,用戶可以查看用戶手冊。DoS病毒攻擊,如SYN攻擊,由於發出大量數據包,占用系統資源過多,導致路由器失去效率,造成網絡擁塞,從而使網吧網絡癱瘓。對於來自廣域網的攻擊,路由器無能為力,無法反擊。此時,網吧管理員或網絡管理員應直接聯系相應的運營商,請求更改WAN IP。
2.當內網受到DoS攻擊時,也會造成掉話或擁塞。網吧管理者或網絡管理者可以從激活的報警日誌中找到內網攻擊源頭的中毒機器,第壹時間拔掉PC網線,防止DoS攻擊影響擴大,並進行殺毒或重裝系統。
3.內網沖擊波攻擊是另壹個原因。沖擊波攻擊是向網絡的特定服務端口(TCP/UDP 135 ~ 139,445)發送大量數據包,導致系統資源占用過多,使路由器失去效率,造成網絡擁塞,從而達到癱瘓網吧網絡的目的。同樣,網吧管理者或網管也可以從Qno夏諾被激活的報警日誌中發現問題。網吧管理者或網絡管理者可以針對特定服務端口(TCP/UDP 135 ~ 139,445)設置網絡訪問規則,從激活的防火墻日誌中找到內網攻擊源頭的中毒機器,第壹時間拔掉PC網線,防止沖擊波攻擊的影響擴大,然後進行殺毒或重裝系統。
4.內網ARP攻擊是最近比較常見的原因。ARP病毒攻擊篡改內網PC或路由器的IP或MAC地址,竊取用戶的賬號/密碼,進壹步實施網寶盜竊等犯罪行為,或惡意癱瘓網吧網絡。ARP病毒攻擊會造成內網IP或MAC沖突,內部短時間斷網。網吧要確保網吧做好防止Qno仙諾路由器與內網PC端IP/MAC地址雙向綁定的工作。內網所有PC和路由器的IP/MAC地址都存儲在路由器的ARP緩存表中,不能輕易更改。此時,雖然ARP攻擊不會擴展到其他PC,但網吧管理者或網絡管理者必須在內網攻擊源頭立即找出中毒機器,並進行殺毒或重裝系統。路由器內置ARP病毒源自動檢測工具,可以在系統日誌中提供攻擊源的IP或MAC地址,幫助網吧找到攻擊源機器。壹些高端路由器也有類似的設計。
當網絡受到攻擊時,可以從路由器的相關功能中找到攻擊的類型,網吧管理員或網絡管理員可以找到並直接攻擊攻擊源,將其隔離並消除,這樣在攻擊發起時就可以快速解決,而不需要等待客人的反應受到影響。
此外,網絡擁塞也可能導致掉線。
1,短時網絡擁塞,可能是網吧突然出現帶寬高峰,網吧管理員或網管要註意路由器的帶寬統計,可以先繼續關註情況。高峰時段網吧客戶較多,帶寬會緊張,或者用戶使用BT、P2P軟件大量上傳,占用大量帶寬,造成網卡。此時,網吧管理員或網絡管理員應設置QoS流量管理標準,使網絡在線恢復正常,解決擁塞。
2.高峰時段持續擁堵是用戶使用BT、P2P軟件大量下載,或者在線觀看電影、視頻,占用大量帶寬的行為。如果有大量用戶觀看電影,網吧應該考慮在內網安裝壹個電影服務器供用戶使用,以免因為電影觀眾占用更多的外部帶寬。對於下載量大的,要考慮搭建內部服務器來改善。
3.如果從路由器開始帶寬占用率長期居高不下,可能說明網吧的基礎帶寬不足,線路帶寬太小,目前無法提供大量的人在線,要考慮增加線路帶寬。這時候可以利用多WAN口的特性來升級帶寬,解決帶寬不足的問題。
措施:基於路由器的預防措施
1.基於IP地址的內部PC速度限制
現在網絡應用很多,BT,驢,迅雷,FTP,在線視頻等。,這些都占用帶寬。以壹個200臺的網吧為例,出口帶寬為10M,每臺內部PC平均帶寬在50 k左右,如果幾個人瘋狂下載,占用帶寬,會影響其他人的網速。另外,下載的文件都是大文件。IP包最大可達1518 BYTE,即1.5k下載的應用都是大包。在網絡傳輸中,它們通常以數據包的形式傳輸。如果幾個人同時下載,會占用很多帶寬。如果此時有人在玩網遊,可能會出現卡。
壹個基於IP地址的限速功能,可以限制整個網吧所有PC的速度,分別限制上傳和下載速度,限制網吧所有PC的速度,或者單獨設置網吧指定PC的速度。什麽是合適的速度限制?跟具體出口帶寬和網吧規模有關系,但最低帶寬不能低於40K,可以設置為100-400K。
其次,內部PC限制了NAT鏈路的數量。
NAT功能是網吧使用最廣泛的功能。由於IP地址的缺乏,運營商壹般給網吧提供1的IP地址,網吧裏有大量的PC。所以很多PC都要通過這個唯壹的IP地址上網。如何做到這壹點?
答案是NAT(網絡IP地址轉換)。當內部PC訪問外部網絡時,路由器內部會建立壹個對應的列表,其中包含內部PCIP地址、訪問的外部IP地址、內部IP端口、訪問目的IP端口等信息。所以每次ping、QQ、下載、WEB訪問,在路由器上都建立了對應的關系列表。如果這個列表對應的網絡鏈路有數據通信,這些列表會壹直保留在路由器中。如果沒有數據通信,需要20-。(對於RG-NBR系列路由器,可以設置這些時間。)
現在有幾種網絡病毒會在短時間內對不同的IP發出上萬條連續的鏈接請求,這樣路由器內部就會為這臺PC建立壹萬多條NAT鏈接。
因為路由器上的NAT鏈路是有限的,如果被這些病毒占用了,別人就會因為沒有NAT鏈路資源而無法訪問網絡,導致斷網。其實這是因為所有的NAT資源都被網絡病毒占用了。
針對這種情況,很多網吧路由器都提供了設置內部PC最大NAT鏈路數的功能,可以統壹設置內部PC的最大NAT鏈路數,也可以單獨限制每臺PC。
同時,這些路由器還可以檢查所有NAT鏈路的內容,看哪臺PC占用了最多的NAT鏈路。同時,網絡病毒也有壹些特殊的端口,妳可以通過查看NAT鏈接的具體內容來發現是哪臺PC中毒了。
三:ACL反網絡病毒
網絡病毒層出不窮,但道高壹尺魔高壹丈。所有的網絡病毒都是通過網絡傳播的。網絡病毒的數據報文也必須遵循TCP/IP協議,有壹定的活動IP地址、目的IP地址、源TCP/IP端口和目的TCP/IP端口。對於同壹個網絡病毒,壹般目的IP端口都是壹樣的。比如沖擊波病毒的端口是135。沖擊波病毒的端口是445。只要路由器上的這些端口被限制,外部病毒就無法通過路由器的唯壹入口進入內網。由於內網病毒發起的消息被限制在路由器上,路由器不做處理,可以減少病毒消息占用大量網絡帶寬。
壹個優秀的網吧路由器應該提供強大的ACL功能,可以限制內網接口上的網絡報文和外網接口上的病毒網絡報文,無論是外發報文還是內發網絡報文。
四:萬防ping功能
曾經有壹個帖子說,為了穿越壹個網站,只要大量的人ping網站,網站就會穿越。這就是所謂的拒絕服務攻擊,利用大量無用的數據請求,讓他無暇顧及正常的網絡請求。
網絡上的黑客應該在發起攻擊之前掃描網絡上的所有ip地址。壹種常見的掃描方法是Ping。如果有回復,說明這個IP地址是活動的,可以被攻擊,會暴露目標。同時,如果有大量外部消息要ping RG-NBR系列路由器,也會拖累網吧的RG-NBR系列路由器。
目前大多數網吧路由器都設計了壹個防止ping的WAN口,開啟簡單方便。所有傳入的ping數據消息請求都是裝聾作啞的,這樣它們的目標就不會暴露,也是對外部ping攻擊的壹種防範。
五:防ARP地址欺騙功能
眾所周知,內部PC要想接入互聯網,需要設置PC的IP地址和網關地址。這裏的網關地址是NBR路由器的內部網接口的IP地址。內部PC如何訪問外部網絡?即訪問外網的報文發送到NBR的內網,然後由NBR路由器轉發NAT地址,再將報文發送到外網。同時將外部返回的報文送回路由器內部NAT鏈路,送回相關內部PC,完成壹次網絡訪問。
在網絡上,有兩個地址,壹個是IP地址,壹個是MAC地址,也就是網絡的物理地址。如果內部PC要向網關發送報文,首先要根據網關的IP地址,通過ARP查詢NBR的MAC地址,然後將報文發送到MAC地址,MAC地址就是物理層的地址。所有要發送的消息最終都將被發送到相關的MAC地址。
所以在每壹臺PC上,都有壹個ARP的對應關系,也就是ip地址和MAC地址的對應表,這些對應關系是通過ARP和RARP報文來更新的。
目前網絡上有壹種病毒,會發送假的ARP報文,比如網關IP地址的ARP報文,把網關IP映射到自己的MAC或者壹個不存在的MAC地址,同時在網絡中廣播這個假的ARP報文。所有內部PC都會更新IP和MAC的對應表,下次上網時會把原本發送給網關MAC的報文發送到壹個不存在的或者錯誤的MAC地址,這樣就會造成斷網。
這就是ARM地址欺騙,導致內部PC與外部網絡斷開。前段時間這種病毒特別猖獗。針對這種情況,壹些專業路由器產品中也出現了防止ARP地址欺騙的功能。
六:負載均衡和線路備份
比如銳捷RG-NBR系列路由器如果都支持VRRP熱備份協議,最多可以設置2-255臺NBR路由器,同時鏈接2-255條寬帶線路。這些NBR和寬帶線路之間可以實現負載均衡和線路備份。在線路斷線或網絡設備損壞的情況下,可以實現自動備份,在線路和網絡設備都正常的情況下,實現負載均衡。銳捷的所有路由器都支持該功能。
RG-NBR系列路由器RG-NBR1000E提供兩個WAN端口。必要時還有模塊擴展槽,可以插電口或光接口模塊,同時鏈接三條寬帶線。三條寬帶線路可以實現負載均衡和線路備份、基於帶寬的負載均衡、內部PC的負載均衡、接入網通。
受訪者:偷心賊-魔術師四級10-18 12:28。
提問者對答案的評價:
雖然不知道從哪裏抄來的,-!~呵呵。不過還不錯,很詳細,謝謝分享。
如何擺脫別人對我上網的限制?(反arp欺騙)
獎勵分數:0-結算時間:2006-9-26 09:02
我現在在外面租房子住,但是最近近半個月不能上網。查了才知道有人限制我上網。
現在的情況是:
1.我的數據包發送數和接收數不對等,發送數大於接收數;
2.IE和QQ無法連接;
3.修改本機IP地址後提示“IP地址沖突”。
現在我們需要處理以下問題:
1,修改本機mac地址後,用arp命令綁定自己有效嗎?
2.如何找出是誰在限制我;包括他的IP和MAC地址;
3.如何避免被網絡執法人員等軟件限制?
我以前住的房子很破。沒想到別人把互聯網弄得無法訪問。看來樓主的兒子不在家玩,還是算了吧。如果別人是妳,妳壹定要想辦法讓他完整。
我還沒試過arp命令。今晚回家我會慢慢研究。希望下班前有人能給點建議。先謝謝了!~~~
Xp系統:用arp命令綁定自己的MAC和路由MAC即可。
如:arp -s自帶IP自帶MAC
Arp -s路由IP路由MAC
請問妳的路由IP可以本地設置嗎?就是我也綁定網關的IP和MAC地址?
我有局域網* * *接入,網關是192.168.1.1,我的內網IP是比如192.6438+068.1.23,謝謝!~@
妳的回答還是不能讓我滿意~ ~ ~
提問者:fjd 0105-高級經理7級
最佳答案
給大家介紹壹款優秀的防火墻:前哨防火墻,可以防禦p2p終結者等惡意軟件...效果極佳...而且它還可以找出局域網中的哪臺計算機正在使用。這款防火墻功能強大,占用資源少,個人評分5星。妳可以在網上查找。
這類網管軟件其實就是利用arp欺騙來達到目的的。
原理就是讓電腦找不到網關的MAC地址。那麽ARP欺騙是怎麽回事呢?
首先,我來告訴妳什麽是ARP。ARP(地址解析協議)是地址解析協議,是將IP地址轉換成物理地址的協議。有兩種方法將IP地址映射到物理地址:列表和非列表。
具體來說,ARP就是將網絡層(IP層,相當於OSI的第三層)的地址解析成數據連接層(MAC層,相當於OSI的第二層)的MAC地址。
ARP原理:當壹臺機器A要向主機B發送消息時,會查詢本地ARP緩存表,找到B的IP地址對應的MAC地址後,就會傳輸數據。如果沒有找到,則廣播A的ARP請求報文(攜帶主機A的IP地址IA-物理地址Pa),請求IP地址為Ib的主機B應答物理地址Pb。Internet上的所有主機(包括B)都收到了ARP請求,但只有主機B能識別其IP地址,因此它向主機A發回了ARP響應消息..它包含了B的MAC地址。A收到B的回復後,會更新本地ARP緩存。然後用這個MAC地址發送數據(MAC地址是網卡附帶的)。所以本地緩存的這個ARP表是本地網絡循環的基礎,這個緩存是動態的。
ARP協議不只是在收到ARP回復之前發送壹個ARP請求。當計算機收到ARP回復包時,它將更新本地ARP緩存,並將回復中的IP和MAC地址存儲在ARP緩存中。所以,當局域網中的壹臺機器B向A發送了壹個偽造的ARP回復,而如果這個回復是B冒充C偽造的,即IP地址是C,MAC地址是偽造的,那麽當A收到B的偽造ARP回復時,就會更新本地的ARP緩存,這樣在A看來,C的IP地址並沒有改變,其MAC地址也不是原來的那個。因為局域網的網絡流轉不是基於IP地址,而是基於MAC地址。所以偽造的MAC地址在A上改成了不存在的MAC地址,會造成網絡阻塞,導致A無法Ping C!這是壹個簡單的ARP欺騙。
解決方案可以總結如下:
1.使用VLAN
只要妳的電腦和P2P終結者軟件不在同壹個VLAN,他就拿妳沒辦法。
2.使用雙向IP/MAC綁定。
把妳出口路由器的MAC地址綁定在PC上,P2P終結者軟件無法用ARP欺騙妳,自然也無法控制妳,不過是PC綁定路由的MAC而已。
不安全,因為P2P終結者軟件可以欺騙路由,所以最好的解決方案是用PC,路由是雙向IP/MAC綁定的,也就是在PC上。
在上綁定出路由的MAC地址,在路由上綁定PC的IP和MAC地址,這就要求路由支持IP/MAC綁定,比如HIPER路由器。
3.使用IP/MAC地址盜用+IP/MAC綁定。
為什麽不把妳的MAC地址和IP地址換成和運行P2P終結者軟件的人壹樣的IP和MAC,看看他是怎麽管理的?這是壹種兩敗俱傷的做法。
改的時候應該有貓膩,不然會舉報IP沖突。妳應該先改MAC地址,再改IP,這樣windows就不會報IP沖突了(WINDOWS很蠢)。這壹步還沒有結束。妳最好在PC上綁定路由的MAC地址,這樣P2P終結者就白騙路由了。
解決方法
使用Look N Stop防火墻防止arp欺騙
1.阻斷網絡執法人員的控制
網絡執法人員利用ARp欺騙達到控制目的。
ARP協議是用來分析IP和MAC的對應關系的,所以可以用下面的方法來抵抗網絡執法人員的控制。
如果您的機器未準備好與局域網中的機器通信,您可以使用以下方法:
A.“互聯網過濾”裏有壹個“ARP:授權所有ARP包”的規則,在這個規則前面放了壹個禁止標誌;
B.但是,默認情況下,此規則將禁止網關信息。解決方法是將網關的MAC地址(通常網關是固定的)放在該規則的“目標”區域,在“以太網:地址”中選擇“不等於”並填寫當時網關的MAC地址;將您的MAC地址放入“源”區域,並在“以太網:地址”中選擇“不等於”。
c .在最後壹個“所有其他包”中,修改該規則的“目標”區,在“以太網:地址”中選擇“不等於”,在MAC地址中填入ff:ff:ff:ff:ff;將您的MAC地址放入“源”區域,並在“以太網:地址”中選擇“不等於”。其他的不會變。
所以網絡警察無能為力。這種方法適用於不與局域網中的其他機器通信,並且網關地址是固定的。
如果妳的機器需要和局域網內的機器進行通信,只需要擺脫網絡執法人員的控制,那麽下面這個方法更簡單實用(這個方法和防火墻無關):
進入命令行狀態,運行“ARP -s Gateway IP Gateway MAC”即可。要得到網關MAC,只需Ping網關,然後用Arp -a命令查看,就可以得到網關IP和MAC的對應關系。在網關地址可變的情況下,這種方法應該更通用,更容易操作。重復“ARP -s網關IP網關MAC”即可。此命令的目的是創建靜態ARP表。
另外,聽說op防火墻也可以阻止,但是沒試過。
防止P2P終結者的攻擊
1:第壹種方法是修改自己的MAC地址。
以下是修改方法:
在“開始”菜單的“運行”中輸入regedit,打開註冊表編輯器,將註冊表展開到:HKEY _本地_機器\系統\當前控制集\控制\類\ {4D36E9E}子項,0000,0001,在0002等份分支中查找DriverDesc(如果有多個網卡,有0001,0002...................................................................................................................................在子項0000下添加壹個名為“NetworkAddress”的字符串,鍵值為修改後的MAC地址,需要12個連續的16個十六進制數字。然後在子項“0000”下的NDI\params中新建壹個名為NetworkAddress的子項,並在該子項下添加壹個名為“default”的字符串,鍵值為修改後的MAC地址。
繼續在NetworkAddress的子項下構建壹個名為“ParamDesc”的字符串,用於指定網絡地址的描述,其值可以是“MAC Address”。這樣以後打開網上鄰居的“屬性”,雙擊對應的網卡找到壹個“高級”設置,下面有MACAddress的選項,就是妳添加到註冊表的新項“NetworkAddress”,以後可以在這裏修改MAC地址。關閉註冊表並重新啟動。您的網卡地址已經更改。打開網上鄰居的屬性,雙擊對應的網卡項,找到壹個MAC地址的高級設置項,用來直接修改MAC地址。
2.第二種方法是修改IP到MAC的映射,可以使P2P攻擊的ARP欺騙失效,突破其局限性。方法是在cmd下用ARP -a命令獲取網關的MAC地址,最後用ARP -s IP網卡MAC地址命令將網關的IP地址與其MAC地址進行映射。
Xp系統:用arp命令綁定自己的MAC和路由MAC即可。
如:arp -s自帶IP自帶MAC
Arp -s路由IP路由MAC
最好把他們都綁起來。我試過了。如果只綁定路由,有IP沖突就上不了網,別人還能把妳註銷。如果自己綁定,有IP沖突也可以上網。
9x/2000需要軟件。
只需搜索反arp嗅探器,
設置路由IP,mac。
但是,我在xp系統上安裝了這個軟件,所以我可以清楚地看到誰想讓妳下線或者限制妳。
建議更換xp。
只要上面設置了,p2p終結者就報廢了。
cmd狀態下的Xp系統輸入:arp -a a。
如果路由IP和自身IP的最後狀態是靜態的,說明綁定成功。
arp -d
最好在綁定前輸入,刪除非法綁定。
給大家介紹壹款不錯的ARP防護軟件,非常適合網吧和公司!/上面有ARP保護軟件可以下載!
受訪者:愛情最好——試用期壹級9-26 09:00。
提問者對答案的評價:
現象:
網吧短時間斷網(全部或部分),短時間內會自動恢復。這是由MAC地址沖突引起的。當致病MAC映射到NAT設備(如主機或路由器)時,整個網絡將斷開連接。如果只是映射到網絡中的其他機器,那麽只有這部分機器會出現問題。多為傳奇遊戲引起,尤其是私服外掛。
解決方案:
1,因為這類病毒采用arp攻擊。因此,當病毒爆發時,網絡管理員可以找到任何壹臺機器,打開壹個DOS窗口,輸入“arp -a”命令,發現許多不同的IP地址有相同的MAC地址表:
接口:接口0x1000004上的192.168.0.1
互聯網地址物理地址類型
192.168.0.61動態
192.168.0.70
192.168 . 0 . 99 00-E0-4c-8c-81-cc動態
192.168.0 . 102 00-E0-4c-8c-9a-47動態
192.168.0 . 103
192.168.0 . 104
可以斷定MAC地址為00-e0-4c-8c-9a-47的機器感染了病毒。然後網絡管理員在DOS窗口輸入命令“ipconfig /all”檢查每臺機器的MAC地址:
特定於連接的DNS後綴。:
描述。。。。。。。。。。。:英特爾專業版
物理地址。。。。。。。。。:0-e0-4c-8c-9a-47
DHCP已啟用。。。。。。。。。。。:沒有
IP地址。。。。。。。。。。。。: 10.186.30.158
子網掩碼。。。。。。。。。。。: 255.255.255.0
默認網關。。。。。。。。。: 10.186.30.1
DNS服務器。。。。。。。。。。。: 61.147.37.1
通過上述步驟找到受感染的機器並將其隔離。
2.網吧管理員檢查局域網病毒,安裝殺毒軟件(金山毒霸/瑞星必須更新病毒代碼),掃描機器病毒。
3.在完整的解決方案出現之前,請停止傳說中的私服和客戶端遊戲。
4.使用工具軟件(或者ARP-S方法)綁定服務器上的MAC地址和IP地址,或者使用可以綁定MAC地址和IP地址的交換機來避免這種情況。
5.補充說明:這是全國性的問題。病毒從3月初開始在全國大面積爆發,不是運營商的線路問題。
安全建議:
1,給系統打補丁。通過Windows Update安裝系統修補程序(關鍵更新、安全更新和服務包)。
2.為系統管理員賬號設置足夠復雜的強密碼,最好是12位以上的字母+數字+符號的組合;您還可以禁用/刪除壹些未使用的帳戶。
3.經常更新殺毒軟件(病毒庫),在允許的情況下設置為每天定時自動更新。安裝和使用網絡防火墻軟件,網絡防火墻在殺毒的過程中也能起到至關重要的作用,可以有效阻擋不請自來的網絡攻擊和病毒入侵。部分盜版Windows用戶無法正常安裝補丁,我們不妨用網絡防火墻等其他方法做壹些防護。
4.關掉壹些不必要的服務,有條件的話關掉壹些不必要的* * *享受,包括C$和D$之類的管理* * *享受。完全單機用戶也可以直接關閉服務器服務。
5.不要點擊打開QQ、MSN等聊天工具發送的鏈接信息,不要打開或運行陌生、可疑的文件和程序,如郵件中的陌生附件、插件等。