过年了亲人团聚、回乡探亲，春节是中国人最重要的节日了。随着网络应用的普及化，现代人对于网络需求与应用有越来越多了，根据产业市场动态分析，预计春节期间各地网吧市场将出现更胜往年的盛况荣景。然而，对于网吧业主来说，如何保证在天天客户爆满的情况下，提供客户优质的网络服务与玩家畅游的质量，是最值得下功夫的事情了，过年、生意两不误，相信是所以网吧老板的心声。有着多年客户服务的经验的Qno侠诺工程师们，向广大网吧用户介绍了几点网络防攻击的方法，希望能够帮助用户过一个愉快而轻松的春节。

　　一般而言，网吧要能维持长时间优质的网络服务，最重要的是能防范内外网的攻击，有效降低内外网被瘫痪的机会，避免造成卡网或当机等网络服务被中断等严重问题。侠诺工程师在这里为大家提供了常见的内网攻击包含ARP攻击、洪水攻击、内网恶意占用带宽者等快速有效的解决方法，以及针对目前新型外网攻击例如机器狗病毒等应对措施，并期望能帮助网吧的网管人员，轻松安心过个黄金鼠年!

　　一、内网攻击

　　1、IP / MAC 双项邦定，有效防制ARP攻击 / IP欺骗

　　对于网吧来说，ARP攻击可以说是一个最常见的攻击模式，自2006年至今已演变为新的攻击方式，使用更高频率的ARP ECHO，超过了用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢或占用网关运算能力，发生内网很慢或上网卡的现象。甚至严重时，会经常发生瞬断或全网掉线的情况。而内网IP欺骗是在ARP攻击普及后，另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击现象，通常影响的计算机有限，不致出现大规模影响。

　　要同时解决ARP攻击以及IP欺骗，到现在为止最简单有效的方法仍属于Qno侠诺提出的双向绑定方式。网管人员可预先在每台PC上做好路由器及网吧游戏、电影服务器等IP / MAC绑定，再通过路由器对内网每台PC之IP / MAC进行绑定。如此一来，通过路由器与PC双向IP/MAC绑定，即可有效避免受到ARP攻击与IP欺骗。不过，由于网吧客户端PC关机后，IP/ MAC绑定会自动清除，因此网管若要重新一一进行绑定，确实是一个很沉重的负担，因此PC端可通过建立一个BAT文件@echo / arp -d / arp -s，让用户开机可自动执行IP/MAC绑定，即可有效解决这个问题。

　　要进一步检视PC端是否帮定路由器与服务器IP/MAC，可开启dos cmd输入指令ARP -a，出现IP与MAC地址，在后端显示的type列表查看是否显示为static，若是即为绑定成功，若出现dynamic，表示没有成功，则须重新绑定。

   

    图一：路由器IP / MAC绑定

   

    
    图二：PC端IP/MAC绑定

　　2、强效防火墙DoS启动，全面防制内网洪水攻击

　　内网攻击是从内网计算机发出大量网络包，占用内网频宽。通常是用户安装了外挂，变成发出攻击的计算机，不断的对路由器发出大量如洪水般流量的封包，而路由器忙着处理这些大量不正常的封包，导致内网呈现瘫痪。一旦内网遭受洪水攻击，网管会发现内网很慢就是这个原因。而一般网管实行Ping路由掉包，却不知是那一台影响的，原因在于有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

　　Qno侠诺对于内网攻击的解决方案，可直接激活防火墙中DoS的功能，默认值将每秒可发的封包数限定在2000笔之内，或可使用进阶设定每秒允许最大的封包流量。一般而言，使用视讯下载大约每秒封包数为每秒500笔，因此每秒超过2000笔封包的流量，我们即可视为不正常或是已经遭受攻击，可采取立即予以阻档并切断联机，即可有效防范路由器被内网部正常洪水流量攻击。若要进一步检视是否有设定成功，可用一台PC发出攻击封包测试，如果设定成功，网管人员会发现该台PC立刻会发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致，网管可进一步检视其它计算机是否可正常上网，即可确保DoS防内网攻击设定成功。

   

      
    
    图三：DoS防制内网流量攻击

　　3、智能QoS / 联机数管控，实时有效抑制恶意占用带宽用户

　　网吧用户也常遭遇到内网用户下载BT、P2P等影音视讯，如果未实时加以抑制与管理，很有可能会将带宽全部吃光，造成严重卡网等问题，进而威胁到正常用户的网络服务质量。许多网吧用户针对恶意占用带宽者的解决方式，通常是采用传统的带宽管理模式，可统一限制每台PC最大可使用的带宽流量，但由于要找出带宽使用异常的调制解调器，必须手动从IP纪录中一一查找，而就算找出该调制解调器给予警告之后，过不了多久，又可能发生了同样的问题，可以说是防不甚防。如果每隔一段时间就会卡网，对于分秒必争的网吧业者来说，就象是存在一枚不定时炸弹。

　　为了实时解决及惩罚恶意占用带宽用户，Qno侠诺提出“智能QoS”，拥有自动惩罚机制，自动将大量占带使用者列于观察列表，网管可一目了然观察异常名单，大大减轻网管一一查找IP纪录的负担。如有持续占带情形，网管可立即启动二次惩罚，将该占带者可使用频宽减少至50%，达成实时惩罚的目地。另外智能QoS还可针对时间、门坎流量进行自由设定，也就是说当网吧整体带宽使用达一定比率(60%)，才自动启用带宽管理的功能，可进一步保障带宽使用率最佳化。

　　除了利用“智能QoS“防制大量占用带宽者之外，也可搭配QoS中的联机数管控功能，可限制网吧用户每台PC可容许联机数的最大值，拒绝BT、视讯等下载，使用大量联机数吃掉内网整体带宽，可以说是保证正常用户带宽第二重保障。

   
  

     图四：Qno侠诺“智能QoS”有效抑制大量占带使用者
 

  

    
    图五：“联机数管控”有效抑制大量占带者

[1] [2] 下一页