過年了親人團聚、回鄉(xiāng)探親，春節(jié)是中國人最重要的節(jié)日了。隨著網絡應用的普及化，現(xiàn)代人對于網絡需求與應用有越來越多了，根據(jù)產業(yè)市場動態(tài)分析，預計春節(jié)期間各地網吧市場將出現(xiàn)更勝往年的盛況榮景。然而，對于網吧業(yè)主來說，如何保證在天天客戶爆滿的情況下，提供客戶優(yōu)質的網絡服務與玩家暢游的質量，是最值得下功夫的事情了，過年、生意兩不誤，相信是所以網吧老板的心聲。有著多年客戶服務的經驗的Qno俠諾工程師們，向廣大網吧用戶介紹了幾點網絡防攻擊的方法，希望能夠幫助用戶過一個愉快而輕松的春節(jié)。

一般而言，網吧要能維持長時間優(yōu)質的網絡服務，最重要的是能防范內外網的攻擊，有效降低內外網被癱瘓的機會，避免造成卡網或當機等網絡服務被中斷等嚴重問題。俠諾工程師在這里為大家提供了常見的內網攻擊包含ARP攻擊、洪水攻擊、內網惡意占用帶寬者等快速有效的解決方法，以及針對目前新型外網攻擊例如機器狗病毒等應對措施，并期望能幫助網吧的網管人員，輕松安心過個黃金鼠年！

一、內網攻擊

1、IP / MAC 雙項邦定，有效防制ARP攻擊 / IP欺騙

對于網吧來說，ARP攻擊可以說是一個最常見的攻擊模式，自2006年至今已演變?yōu)樾碌墓�擊方式，使用更高頻率的ARP ECHO，超過了用戶的ARP ECHO廣播。由于發(fā)出廣播包的次數(shù)太多，因此會使整個局域網變慢或占用網關運算能力，發(fā)生內網很慢或上網卡的現(xiàn)象。甚至嚴重時，會經常發(fā)生瞬斷或全網掉線的情況。而內網IP欺騙是在ARP攻擊普及后，另一個緊隨出現(xiàn)的攻擊方式。攻擊計算機會偽裝成一樣的IP，讓受攻擊的計算機產生IP沖突，無法上網。這種攻擊現(xiàn)象，通常影響的計算機有限，不致出現(xiàn)大規(guī)模影響。

要同時解決ARP攻擊以及IP欺騙，到現(xiàn)在為止最簡單有效的方法仍屬于Qno俠諾提出的雙向綁定方式。網管人員可預先在每臺PC上做好路由器及網吧游戲、電影服務器等IP / MAC綁定，再通過路由器對內網每臺PC之IP / MAC進行綁定。如此一來，通過路由器與PC雙向IP/MAC綁定，即可有效避免受到ARP攻擊與IP欺騙。不過，由于網吧客戶端PC關機后，IP/ MAC綁定會自動清除，因此網管若要重新一一進行綁定，確實是一個很沉重的負擔，因此PC端可通過建立一個BAT文件@echo /  arp  -d  / arp  -s，讓用戶開機可自動執(zhí)行IP/MAC綁定，即可有效解決這個問題。

要進一步檢視PC端是否幫定路由器與服務器IP/MAC，可開啟dos cmd輸入指令ARP -a，出現(xiàn)IP與MAC地址，在后端顯示的type列表查看是否顯示為static，若是即為綁定成功，若出現(xiàn)dynamic，表示沒有成功，則須重新綁定。

2、強效防火墻DoS啟動，全面防制內網洪水攻擊

內網攻擊是從內網計算機發(fā)出大量網絡包，占用內網頻寬。通常是用戶安裝了外掛，變成發(fā)出攻擊的計算機，不斷的對路由器發(fā)出大量如洪水般流量的封包，而路由器忙著處理這些大量不正常的封包，導致內網呈現(xiàn)癱瘓。一旦內網遭受洪水攻擊，網管會發(fā)現(xiàn)內網很慢就是這個原因。而一般網管實行Ping路由掉包，卻不知是那一臺影響的，原因在于有的內網攻擊會自行變換IP，讓網管更難找出是誰發(fā)出的網絡包。

Qno俠諾對于內網攻擊的解決方案，可直接激活防火墻中DoS的功能，默認值將每秒可發(fā)的封包數(shù)限定在2000筆之內，或可使用進階設定每秒允許最大的封包流量。一般而言，使用視訊下載大約每秒封包數(shù)為每秒500筆，因此每秒超過2000筆封包的流量，我們即可視為不正�；蚴且呀浽馐芄�擊，可采取立即予以阻檔并切斷聯(lián)機，即可有效防范路由器被內網部正常洪水流量攻擊。若要進一步檢視是否有設定成功，可用一臺PC發(fā)出攻擊封包測試，如果設定成功，網管人員會發(fā)現(xiàn)該臺PC立刻會發(fā)生掉線的情況，這就是因為被路由器認定為發(fā)出攻擊計算機，自動被切斷所致，網管可進一步檢視其它計算機是否可正常上網，即可確保DoS防內網攻擊設定成功。

3、智能QoS  / 聯(lián)機數(shù)管控，實時有效抑制惡意占用帶寬用戶

網吧用戶也常遭遇到內網用戶下載BT、P2P等影音視訊，如果未實時加以抑制與管理，很有可能會將帶寬全部吃光，造成嚴重卡網等問題，進而威脅到正常用戶的網絡服務質量。許多網吧用戶針對惡意占用帶寬者的解決方式，通常是采用傳統(tǒng)的帶寬管理模式，可統(tǒng)一限制每臺PC最大可使用的帶寬流量，但由于要找出帶寬使用異常的調制解調器，必須手動從IP紀錄中一一查找，而就算找出該調制解調器給予警告之后，過不了多久，又可能發(fā)生了同樣的問題，可以說是防不甚防。如果每隔一段時間就會卡網，對于分秒必爭的網吧業(yè)者來說，就象是存在一枚不定時炸彈。

為了實時解決及懲罰惡意占用帶寬用戶，Qno俠諾提出"智能QoS"，擁有自動懲罰機制，自動將大量占帶使用者列于觀察列表，網管可一目了然觀察異常名單，大大減輕網管一一查找IP紀錄的負擔。如有持續(xù)占帶情形，網管可立即啟動二次懲罰，將該占帶者可使用頻寬減少至50%，達成實時懲罰的目地。另外智能QoS還可針對時間、門坎流量進行自由設定，也就是說當網吧整體帶寬使用達一定比率(60%)，才自動啟用帶寬管理的功能，可進一步保障帶寬使用率最佳化。

除了利用"智能QoS"防制大量占用帶寬者之外，也可搭配QoS中的聯(lián)機數(shù)管控功能，可限制網吧用戶每臺PC可容許聯(lián)機數(shù)的最大值，拒絕BT、視訊等下載，使用大量聯(lián)機數(shù)吃掉內網整體帶寬，可以說是保證正常用戶帶寬第二重保障。

二、外網攻擊

1、機器狗病毒肆虐，Qno俠諾教您防范解決之道

近期，網吧用戶深受"機器狗"病毒侵擾。它是一種可以穿透還原軟件與硬件還原卡的病毒。通過釋放pcihdd.sys驅動文件搶占還原軟件的硬盤控制權。并修改用戶初始化文件userinit.exe來實現(xiàn)隱藏自身的目的。此病毒為一個典型的網絡架構木馬型病毒，病毒穿透還原軟件后將自己保存在系統(tǒng)中，定期從指定的網站下載各種木馬程序來截取用戶的帳號信息，危害極大。

網管人員可通過兩個方法檢視是否遭受"機器狗"病毒感染。方法一，查看開啟系統(tǒng)目錄的 system32 文件夾中，是否有該文件版本標簽，如果沒有的話，表示已經中了機器狗。方法二，通過查看DRVERS目錄下產生pcihdd.sys驅動文件，會在啟動項加載"cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"啟動項，并在windows目錄會產生以上相應文件，機器重啟后以上設置都還真實保存，表示也中了"機器狗"病毒。

由于"機器狗"病毒可穿透還原軟件與硬件還原卡。一旦感染，就必須將病毒主機斷網殺毒、恢復系統(tǒng)鏡像或重做系統(tǒng)。而俠諾科技提出防制機器狗解決之道，可在防火墻中設定IP部分采用Access Rule規(guī)則阻擋,域名部分用"網頁內容管制設定"阻擋，即可事先有效防范網吧客戶端下載機器狗病毒。以下列出已公布隱含機器狗的IP地址、網址和域名，提供網吧用戶作為建立防范機制的參考：

（1）隱含機器狗病毒IP地址：

59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207

（2）隱含機器狗病毒網址和域名：

tomwg、Yu.8s7、17max、951ksf、pp365、111ss、11se、joppnqq、77886699、94ak、99mmm、161816、91ni、35832、15197