《局域网中如何防止别人用p2p终结者攻击自己》由会员分享,可在线阅读,更多相关《局域网中如何防止别人用p2p终结者攻击自己(5页珍藏版)》请在金锄头文库上搜索。
1、局域网中如何防止别人用局域网中如何防止别人用 p2pp2p 终结者攻击自己终结者攻击自己首先我们分析原因 网络攻击是近来常发生的问题,可以分为遭受外网攻击及内网攻击。以下分别说明: 1、外部来的 DoS 攻击会造成网络掉线,判别方法是从路由器的系统日志文件中可以看出,Qno 侠诺的路由器会显示遭受攻击,而且路由器持续在工作。其它品牌的路由器,有些也有相关的功能,用户可以查看使用手册。DoS 病毒攻击,如 SYN 攻击,因为发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,达到瘫痪网吧网络对于广域网来的攻击,路由器能作的不多,也无法反击。此时,网吧管理者或网管应直接联系对应的运营
2、商,请求更换 WAN IP。 2、内网遭受 DoS 攻击时,也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中,查找到内网攻击源头的中毒机器,第一时间先拔除 PC 机网络线,阻止 DoS 攻击影响扩大,并进行杀毒或重新安装系统。 3、内网遭受冲击波攻击是另一个原因,冲击波攻击,是针对网络特定服务端口(TCP/UDP 135139,445)发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从 Qno 侠诺被激活的告警日志中,发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135139,445)设置网络存
3、取条例,并从被激活的防火墙日志中,查找到内网攻击源头的中毒机器,第一时间先拔除 PC 机网络线,阻止冲击波攻击影响扩大,并进行杀毒或重新安装系统。 4、内网遭受 ARP 攻击是最近常发生的原因,ARP 病毒攻击以窜改内网 PC 机或路由器 IP 或 MAC 地址,来达到盗取用户账号/密码,进一步进行网络盗宝等犯罪行为,或是恶意瘫痪网吧网络。ARP 病毒攻击会造成内网 IP 或 MAC 冲突,出现短时间内部份断线。网吧要确定网吧已做好 Qno 侠诺路由器及内网 PC 机端双向绑定 IP/MAC 地址的防制工作,内网所有的 PC 机与路由器 IP/MAC 地址对应关系都被保存到路由器的 ARP 缓
4、存表中,不能被轻易更改。此时 ARP 攻击虽然并不会扩及其它 PC 机,但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器,进行杀毒或重新安装系统。路由器内建ARP 病毒来源自动检测工具,系统日志中可提供攻击源的 IP 或 MAC地址,帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。 网络遭受攻击,可从路由器相关功能找出遭受攻击类型,网吧管理者或网管查找、直击攻击源加以隔离与排除,在攻击发起时即能迅速加以解决,无需等到客人反应受到影响。 另外网络的雍堵也可能造成掉线. 1、短暂网络壅塞,有可能是网吧内突发的带宽高峰,网吧管理员或网管应关注路由器的带宽统计,可先持续关注状况。
5、若是尖峰时段,网吧客人较多,带宽也会比较吃紧,或是有用户使用 BT、P2P 软件做大量上传,占用大量带宽,造成网络卡。网吧管理员或网管此时应设置 QoS 流量管理规范内网用户最大使用带宽,才能让网络联机恢复正常,解决壅塞情况。 2、尖峰时段持续性壅塞,是有用户使用 BT、P2P 软件进行大量下载,或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多,网吧应考虑于内网安装电影服务器供用户使用,才不致因观看影片人多占用对外带宽。对于大量下载,则应考虑建置内部私服加以改善。 3、若是长时间从路由器看到带宽占用率高,有可能表示网吧根本带宽不足,线路带宽过小,不足以提供目前在线众多人数使用,
6、应考虑加大线路带宽。这时就可利用多 WAN 口特性进行带宽的升级,解决带宽不足的问题。 措施:基于路由器的防范方法 一内部 PC 基于 IP 地址限速 现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个 200 台规模的网吧为例,出口带宽为 10M,每台内部 PC 的平均带宽为 50K 左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP 报文最大可以达到 1518 个 BYTE,也就是 1.5k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在
7、玩网络游戏,就可能会出现卡的现象。 一个基于 IP 地址限速的功能,可以给整个网吧内部的所有 PC 进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有 PC 的速度,也可以分别设置内部某台指定 PC 的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于 40K 的带宽,可以设置在 100-400K 比较合适。 二:内部 PC 限制 NAT 的链接数量 NAT 功能是在网吧中应用最广的功能,由于 IP 地址不足的原因,运营商提供给网吧的一般就是 1 个 IP 地址,而网吧内部有大量的PC,这么多的 PC 都要通过这唯一的一个 IP 地址进行上网,如何
8、做到这点呢? 答案就是 NAT(网络 IP 地址转换) 。内部 PC 访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部 PCIP 地址、访问的外部 IP 地址,内部的 IP 端口,访问目的 IP 端口等信息,所以每次的ping、QQ、下载、WEB 访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要 20-150 秒才会消失掉。 (对于 RG-NBR 系列路由器来说,这些时间都是可以设置的) 现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同 IP 的链接请求,这样路由器内部便要为这台 PC
9、建立万个以上的 NAT 的链接。 由于路由器上的 NAT 的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有 NAT 链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的 NAT 资源给占用了。 针对这种情况,不少网吧路由器提供了可以设置内部 PC 的最大的NAT 链接数量的功能,可以统一的对内部的 PC 进行设置最大的 NAT的链接数量设置,也可以给每台 PC 进行单独限制。 同时,这些路由器还可以查看所有的 NAT 链接的内容,看看到底哪台 PC 占用的 NAT 链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看 NAT 链接具体内容,把到底
10、哪台 PC 中毒了给揪出来。 三:ACL 防网络病毒 网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循 TCP/IP 协议,一定有源 IP 地址,目的 IP 地址,源 TCP/IP 端口,目的 TCP/IP 端口,同一种网络病毒,一般目的 IP 端口是相同的,比如冲击波病毒的端口是 135,震荡波病毒的端口是 445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。 优秀的网吧路由器应该提
11、供功能强大的 ACL 功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。 四:WAN 口防 ping 功能 以前有一个帖子,为了搞跨某个网站,只要有大量的人去 ping 这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。 网络上的黑客在发起攻击前,都要对网络上的各个 IP 地址进行扫描,其中一个常见的扫描方法就是 ping,如果有应答,则说明这个 ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对 RG-NBR 系列路由器发起
12、Ping 请求,也会把网吧的 RG-NBR 系列路由器拖跨掉。 现在多数网吧路由器都设计了一个 WAN 口防止 ping 的功能,可以简单方便的开启,所有外面过来的 ping 的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的 ping 攻击也是一个防范。 五:防 ARP 地址欺骗功能 大家都知道,内部 PC 要上网,则要设置 PC 的 IP 地址,还有网关地址,这里的网关地址就是 NBR 路由器的内部网接口 IP 地址,内部PC 是如何访问外部网络呢?就是把访问外部网的报文发送给 NBR 的内部网,由 NBR 路由器进行 NAT 地址转发后,再把报文发送到外部网络上,同时又
13、把外部回来的报文,去查询路由器内部的 NAT 链接,回送给相关的内部 PC,完成一次网络的访问。 在网络上,存在两个地址,一个是 IP 地址,一个是 MAC 地址,MAC地址就是网络物理地址,内部 PC 要把报文发送到网关上,首先根据网关的 IP 地址,通过 ARP 去查询 NBR 的 MAC 地址,然后把报文发送到该 MAC 地址上,MAC 地址是物理层的地址,所有报文要发送,最终都是发送到相关的 MAC 地址上的。 所以在每台 PC 上,都有 ARP 的对应关系,就是 IP 地址和 MAC 地址的对应表,这些对应关系就是通过 ARP 和 RARP 报文进行更新的。 目前在网络上有一种病毒,会发送假冒的 ARP 报文,比如发送网关IP 地址的 ARP 报文,把网关的 IP 对应到自己的 MAC 上,或者一个不存在的 MAC 地址上去,同时把这假冒的 ARP 报文在网络中广播,所有的内部 PC 就会更新了这个 IP 和 MAC 的对应表,下次上网的时候,就会把本来发送给网关的 MAC 的报文,发送到一个不存在或者错误的 MAC 地址上去,这样就会造成断线了。 这就是 ARM 地址欺骗,这就是造成内部 PC 和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防 ARP 地址欺骗的功能也相继出现在一些专业路由器产品上。
