過年了親人團聚、回鄉(xiāng)探親，春節(jié)是中國人最重要的節(jié)日了。隨著網(wǎng)絡(luò)應(yīng)用的普及化，現(xiàn)代人對于網(wǎng)絡(luò)需求與應(yīng)用有越來越多了，根據(jù)產(chǎn)業(yè)市場動態(tài)分析，預(yù)計春節(jié)期間各地網(wǎng)吧市場將出現(xiàn)更勝往年的盛況榮景。然而，對于網(wǎng)吧業(yè)主來說，如何保證在天天客戶爆滿的情況下，提供客戶優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)與玩家暢游的質(zhì)量，是最值得下功夫的事情了，過年、生意兩不誤，相信是所以網(wǎng)吧老板的心聲。有著多年客戶服務(wù)的經(jīng)驗的Qno俠諾工程師們，向廣大網(wǎng)吧用戶介紹了幾點網(wǎng)絡(luò)防攻擊的方法，希望能夠幫助用戶過一個愉快而輕松的春節(jié)。

一般而言，網(wǎng)吧要能維持長時間優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，最重要的是能防范內(nèi)外網(wǎng)的攻擊，有效降低內(nèi)外網(wǎng)被癱瘓的機會，避免造成卡網(wǎng)或當(dāng)機等網(wǎng)絡(luò)服務(wù)被中斷等嚴重問題。俠諾工程師在這里為大家提供了常見的內(nèi)網(wǎng)攻擊包含ARP攻擊、洪水攻擊、內(nèi)網(wǎng)惡意占用帶寬者等快速有效的解決方法，以及針對目前新型外網(wǎng)攻擊例如機器狗病毒等應(yīng)對措施，并期望能幫助網(wǎng)吧的網(wǎng)管人員，輕松安心過個黃金鼠年！

一、內(nèi)網(wǎng)攻擊

1、IP / MAC 雙項邦定，有效防制ARP攻擊 / IP欺騙

對于網(wǎng)吧來說，ARP攻擊可以說是一個最常見的攻擊模式，自2006年至今已演變?yōu)樾碌墓�擊方式，使用更高頻率的ARP ECHO，超過了用戶的ARP ECHO廣播。由于發(fā)出廣播包的次數(shù)太多，因此會使整個局域網(wǎng)變慢或占用網(wǎng)關(guān)運算能力，發(fā)生內(nèi)網(wǎng)很慢或上網(wǎng)卡的現(xiàn)象。甚至嚴重時，會經(jīng)常發(fā)生瞬斷或全網(wǎng)掉線的情況。而內(nèi)網(wǎng)IP欺騙是在ARP攻擊普及后，另一個緊隨出現(xiàn)的攻擊方式。攻擊計算機會偽裝成一樣的IP，讓受攻擊的計算機產(chǎn)生IP沖突，無法上網(wǎng)。這種攻擊現(xiàn)象，通常影響的計算機有限，不致出現(xiàn)大規(guī)模影響。

要同時解決ARP攻擊以及IP欺騙，到現(xiàn)在為止最簡單有效的方法仍屬于Qno俠諾提出的雙向綁定方式。網(wǎng)管人員可預(yù)先在每臺PC上做好路由器及網(wǎng)吧游戲、電影服務(wù)器等IP / MAC綁定，再通過路由器對內(nèi)網(wǎng)每臺PC之IP / MAC進行綁定。如此一來，通過路由器與PC雙向IP/MAC綁定，即可有效避免受到ARP攻擊與IP欺騙。不過，由于網(wǎng)吧客戶端PC關(guān)機后，IP/ MAC綁定會自動清除，因此網(wǎng)管若要重新一一進行綁定，確實是一個很沉重的負擔(dān)，因此PC端可通過建立一個BAT文件@echo /  arp  -d  / arp  -s，讓用戶開機可自動執(zhí)行IP/MAC綁定，即可有效解決這個問題。

要進一步檢視PC端是否幫定路由器與服務(wù)器IP/MAC，可開啟dos cmd輸入指令A(yù)RP -a，出現(xiàn)IP與MAC地址，在后端顯示的type列表查看是否顯示為static，若是即為綁定成功，若出現(xiàn)dynamic，表示沒有成功，則須重新綁定。

2、強效防火墻DoS啟動，全面防制內(nèi)網(wǎng)洪水攻擊

內(nèi)網(wǎng)攻擊是從內(nèi)網(wǎng)計算機發(fā)出大量網(wǎng)絡(luò)包，占用內(nèi)網(wǎng)頻寬。通常是用戶安裝了外掛，變成發(fā)出攻擊的計算機，不斷的對路由器發(fā)出大量如洪水般流量的封包，而路由器忙著處理這些大量不正常的封包，導(dǎo)致內(nèi)網(wǎng)呈現(xiàn)癱瘓。一旦內(nèi)網(wǎng)遭受洪水攻擊，網(wǎng)管會發(fā)現(xiàn)內(nèi)網(wǎng)很慢就是這個原因。而一般網(wǎng)管實行Ping路由掉包，卻不知是那一臺影響的，原因在于有的內(nèi)網(wǎng)攻擊會自行變換IP，讓網(wǎng)管更難找出是誰發(fā)出的網(wǎng)絡(luò)包。

Qno俠諾對于內(nèi)網(wǎng)攻擊的解決方案，可直接激活防火墻中DoS的功能，默認值將每秒可發(fā)的封包數(shù)限定在2000筆之內(nèi)，或可使用進階設(shè)定每秒允許最大的封包流量。一般而言，使用視訊下載大約每秒封包數(shù)為每秒500筆，因此每秒超過2000筆封包的流量，我們即可視為不正�；蚴且呀�(jīng)遭受攻擊，可采取立即予以阻檔并切斷聯(lián)機，即可有效防范路由器被內(nèi)網(wǎng)部正常洪水流量攻擊。若要進一步檢視是否有設(shè)定成功，可用一臺PC發(fā)出攻擊封包測試，如果設(shè)定成功，網(wǎng)管人員會發(fā)現(xiàn)該臺PC立刻會發(fā)生掉線的情況，這就是因為被路由器認定為發(fā)出攻擊計算機，自動被切斷所致，網(wǎng)管可進一步檢視其它計算機是否可正常上網(wǎng)，即可確保DoS防內(nèi)網(wǎng)攻擊設(shè)定成功。

3、智能QoS  / 聯(lián)機數(shù)管控，實時有效抑制惡意占用帶寬用戶

網(wǎng)吧用戶也常遭遇到內(nèi)網(wǎng)用戶下載BT、P2P等影音視訊，如果未實時加以抑制與管理，很有可能會將帶寬全部吃光，造成嚴重卡網(wǎng)等問題，進而威脅到正常用戶的網(wǎng)絡(luò)服務(wù)質(zhì)量。許多網(wǎng)吧用戶針對惡意占用帶寬者的解決方式，通常是采用傳統(tǒng)的帶寬管理模式，可統(tǒng)一限制每臺PC最大可使用的帶寬流量，但由于要找出帶寬使用異常的調(diào)制解調(diào)器，必須手動從IP紀錄中一一查找，而就算找出該調(diào)制解調(diào)器給予警告之后，過不了多久，又可能發(fā)生了同樣的問題，可以說是防不甚防。如果每隔一段時間就會卡網(wǎng)，對于分秒必爭的網(wǎng)吧業(yè)者來說，就象是存在一枚不定時炸彈。

為了實時解決及懲罰惡意占用帶寬用戶，Qno俠諾提出"智能QoS"，擁有自動懲罰機制，自動將大量占帶使用者列于觀察列表，網(wǎng)管可一目了然觀察異常名單，大大減輕網(wǎng)管一一查找IP紀錄的負擔(dān)。如有持續(xù)占帶情形，網(wǎng)管可立即啟動二次懲罰，將該占帶者可使用頻寬減少至50%，達成實時懲罰的目地。另外智能QoS還可針對時間、門坎流量進行自由設(shè)定，也就是說當(dāng)網(wǎng)吧整體帶寬使用達一定比率(60%)，才自動啟用帶寬管理的功能，可進一步保障帶寬使用率最佳化。

除了利用"智能QoS"防制大量占用帶寬者之外，也可搭配QoS中的聯(lián)機數(shù)管控功能，可限制網(wǎng)吧用戶每臺PC可容許聯(lián)機數(shù)的最大值，拒絕BT、視訊等下載，使用大量聯(lián)機數(shù)吃掉內(nèi)網(wǎng)整體帶寬，可以說是保證正常用戶帶寬第二重保障。

二、外網(wǎng)攻擊

1、機器狗病毒肆虐，Qno俠諾教您防范解決之道

近期，網(wǎng)吧用戶深受"機器狗"病毒侵擾。它是一種可以穿透還原軟件與硬件還原卡的病毒。通過釋放pcihdd.sys驅(qū)動文件搶占還原軟件的硬盤控制權(quán)。并修改用戶初始化文件userinit.exe來實現(xiàn)隱藏自身的目的。此病毒為一個典型的網(wǎng)絡(luò)架構(gòu)木馬型病毒，病毒穿透還原軟件后將自己保存在系統(tǒng)中，定期從指定的網(wǎng)站下載各種木馬程序來截取用戶的帳號信息，危害極大。

網(wǎng)管人員可通過兩個方法檢視是否遭受"機器狗"病毒感染。方法一，查看開啟系統(tǒng)目錄的 system32 文件夾中，是否有該文件版本標簽，如果沒有的話，表示已經(jīng)中了機器狗。方法二，通過查看DRVERS目錄下產(chǎn)生pcihdd.sys驅(qū)動文件，會在啟動項加載"cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"啟動項，并在windows目錄會產(chǎn)生以上相應(yīng)文件，機器重啟后以上設(shè)置都還真實保存，表示也中了"機器狗"病毒。

由于"機器狗"病毒可穿透還原軟件與硬件還原卡。一旦感染，就必須將病毒主機斷網(wǎng)殺毒、恢復(fù)系統(tǒng)鏡像或重做系統(tǒng)。而俠諾科技提出防制機器狗解決之道，可在防火墻中設(shè)定IP部分采用Access Rule規(guī)則阻擋,域名部分用"網(wǎng)頁內(nèi)容管制設(shè)定"阻擋，即可事先有效防范網(wǎng)吧客戶端下載機器狗病毒。以下列出已公布隱含機器狗的IP地址、網(wǎng)址和域名，提供網(wǎng)吧用戶作為建立防范機制的參考：

（1）隱含機器狗病毒IP地址：

59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207

（2）隱含機器狗病毒網(wǎng)址和域名：

tomwg、Yu.8s7、17max、951ksf、pp365、111ss、11se、joppnqq、77886699、94ak、99mmm、161816、91ni、35832、15197