arp 欺骗是80%网吧不明掉线与速度慢的原因。他是以木马或者病毒的形式,利用tcp/ip 中的arp 寻址安全隐患。对内网进行欺骗或者攻击,目前发现的载体有攻击软件、外挂中的木马、外挂中的病毒、盗号软件等等。
具体表现有:短时间掉线后自动恢复,瞬间掉线,长时间掉线,速度慢,甚至可以正常上网但是会大量被盗号等。
强烈建议,网吧必须做arp 防护工作。
arp 欺骗主要分双向欺骗,首先欺骗pc,其次欺骗路由器,所以防范工作要在2 方面入手。
pc 防护:1,首先在pc 上面绑定路由器的ip 与mac。
具体绑定方法请参考《常见问题集锦――问题十二》。
绑定成功后可以在dos 命令提示窗口中运行“arp -a”。显示如下图f4-01 所示:
请注意绑定成功后必须是“static”。
路由器防护:欣向路由器通过增强的nat 转发对于arp 欺骗先天免疫,不需要做任何工作。非欣向路由器,需要在路由器中专门的功能中,逐条的绑定内网pc 的ip 与mac 地址,不可以遗漏。内网如果出现任何变动,请及时改动路由器中的绑定,不然将会出现无法上网等问题。
建议用户, 首先在欣向官方网站下载《欣向巡路之arp 工具》, 下载地址:
http://www.nuqx.com/downcenter.asp。按照软件的要求正确安装软件,可以查找发起arp 欺骗的pc,阻止arp欺骗,防范网络病毒等。
其次下载arp 病毒专杀工具对全网电脑进行arp 病毒检测,如:趋势arp 专杀工具。
二.如何对付内网病毒与外网攻击
网吧的客户机一般都装有还原卡,可以很好进行病毒感染后的补救工作。这样,一定要保证原始系统备份的绝对安全无毒。由于上网用户可以随意下载外挂及安装程序,所以客户机很容易中毒,而这些的病毒很可能会发起对内网的数据攻击。
来自内网的病毒攻击种类多,防范起来更加复杂,这要求网关设备的防火墙功能十分强大,能准确报告异常攻击,并具有相应的防范处理功能。
常见的内网病毒和处理方法为:
伪造内网源ip 的攻击方式,此类方式模拟内网pc 向网关发起大量的nat 连接,这样,来消耗网关系统资源。
处理方法:启用ip 地址欺骗功能。
2,内网发起的海量的连接,此类方式与1 相似,但是源ip 均是内网合法ip。处理方法:限制每ip 的连接数,即session limit。
3,内网发起的到某个特定端口的攻击,例如:135、139、445、1433、1434 等病毒常用端口。处理方法:过滤不必要的端口和服务,即使用端口过滤功能。
4,arp 攻击,此病毒影响更大,请参考本文第五十页《arp 病毒攻击的危害》。
如果内网发起的数据攻击不被网关过滤,转发至isp,很可能被局端接入设备阻塞,导致断网。
内网攻击源头在自己的局域网,相对容易管控,外网攻击则是来无影,去无踪。需要路由器的防火墙更加完备。常见的外网攻击方式有tcp syn flooding、icmp flooding、udp flooding、端口扫描、ip fragments、超长ping 等。由于攻击种类多,变化大,所以网关设备的这些防护一定要有,且要安装时就设置启用。
需要强调的是,有的外网攻击是通过大量的攻击数据占用上传带宽,这样无论如何防范都不能解决上行带宽被占用的问题,这是就需要isp 配合,从运营商处阻断这样的攻击。
三.网吧网络设备日常维护要点
简单地说,网吧日常维护工作主要包含以下几个方面的管理和维护。
1、网络设备的管理
网络设备的管理是网管工作重点中的重点。
在管理工作中首先了解路由器、交换机、等网络设备的日常工作状态。主要包括外观方面,指示灯、工作温度,以及接线的线序等。设备安装稳固程度。
其次登陆到路由器中,观察路由器系统日志、nat 表、总流量、当前流量等各界面,检查有无异常现象。
登陆检查交换机状态,主要查看各接口流量情况,有无异常数据流。
2、服务器的管理
一般来说在一个网吧中需要建立多个服务器方能提供不同的服务需求,一般网吧需要的服务器主要有下面几种:无盘服务器、游戏服务器、电影服务器等。
对于服务器的日常维护主要以服务器硬件方面检查为主,通过操作系统检查cpu 占用率、内存占用率、通过防病毒软件进行病毒查杀等。
对于服务器的日常维护对于网吧来说非常重要,对于个别重要服务器可以准备多块硬盘,以确保应急时使用。
由于目前网络病毒比较普遍,所以对于服务器病毒防护一定要做得更好,除了常见的防火墙之外,一般推荐安装二套以上的防病毒软件,定期升级,定期杀毒,病毒高发期,基本上需要每日查杀病毒。
3、资源的管理
网吧中可管理的资源很多,如ip 地址资源、域名资源、磁盘资源、带宽资源等,只有管理好这些资源才能够让网络为用户提供更好的服务。
网吧中对于ip 地址,为了维护方便,一般保证不能在客户机上进行更改,由于特殊要求临时进行的更改,也应该在当日恢复正常。经常检查磁盘资源,清理垃圾信息。保证磁盘有足够空间存放正常数据。
4、用户的管理
管理用户就是添加或删除用户,授予用户一定的访问权限、分配不现级别的资源给不同的用户,并保证网络的安全。
四.如何检查宽带线路情况?
单机测试法
用一台pc 直接接外网测试线路,设置好接入方式(pppoe 需要建立虚拟连接,光纤需要设置固定ip)后,在pc 的“开始”——“运行”输入cmd 进入dos 窗口,然后输入ping www.sina.com.cn –t,如果出现的记录为“reply from 202.108.33.32: bytes=32 time=5ms ttl=248”这种类型,证明此线路与外网是相连的;如果出现的记录为“request timed out.”则证明此线路与外网处于断开状态。(注意:因为有些网站对ping 命令不做响应,有可能测试的记录会有“request timed out.”,造成误判,所以在使用这种方法测试时,选择ping 的网站一定要选择对ping 命令有响应的网站,如:www.sina.com.cn、www.163.com 等。),此种方法最为准确。
带ros 或硬件路由器的测试方法:
接入单线——将一台pc 直接接到ros 或硬件路由器的lan 口上(在接路由器lan 不方便的情况下,也可以接在交换机下面),使用这台pc 去ping 路由的lan 口ip(即网关),检测pc 到路由器lan 口这段线路是否为连通状态,如果出现的记录为“request timed out.”,可以尝试换几台pc 去做操作,如果状况依旧,证明内网部分已经存在问题(有可能是arp 攻击、病毒攻击,或者是网线/pc 网卡/交换机/路由器lan 口的问题等),这时候需要先排查内网的问题,如果出现的记录为“reply from 192.168.1.1: bytes=32 time[10ms ttl=64”这种类型,则证明pc 到路由器lan 口这一段线路是通的,然后使用单机测试法ping www.sina.com.cn –t 的方式进行线路的判断;
接入双线/多线——将一台pc(简称a)直接接到ros 或硬件路由器的lan 口上,然后使用路由器的“内网ip 端口绑定”功能将这台pc 绑定到需要测试的线路上,将其它的pc 绑定到测试以外的线路上,然后检测pc 到路由器lan 口这段线路是否为连通状态(可参照接入单线的测试方法),检测线路为通的时候,使用a 去访问www.sina.com.cn 这种大型网站(多访问几个,如:www.163.com 等),看能否访问,如果能访问,证明线路为连通状态,如果不通,请采用单机测试法进行测试。
欣向路由器线路判断的方法,步骤如下:
(1、)首先,通过路由器配置界面的“系统状态”——“联机状态”——“wan 状态”查看线路连接状况,如果对应的线路一直显示“空闲”,则证明线路已经断开,此时可以尝试点击下面的wan x connect 按钮进行连接,如果对应的线路显示“连接”表示该线路与上层网关设备处于连接状态;
(2、)然后查看“系统状态”——“流量监控”——“当前流量”,看对应的线路是否有流量,如果存在流量并且流量状态为下载]上传,则证明该线路与外网是处于连接状态的,如果对应线路不存在流量或者流量状态为下载[上传时,使用方法(3、)
(3、)到“wan 口配置”对应的wan 口配置中,启用“连线检查”功能,此功能有三种检测方式:
第一种根据外网ip 的判断,钩选“ip 地址”,添入一个存在的公网ip,点击测试,如果连接成功会弹出“wan1 healthy check from ping is fine !!”的提示,证明该线路正常,如果连接失败则会弹出“wan1 healthy check fail from ping !!”的提示;
第二种根据域名(如:www.sina.com.cn)的判断,勾选“dns”,添入www.sina.com.cn (或者www.163.com),点击测试,如果连接成功会弹出“wan1 healthy check from dns fine !!”的提示,证明该线路正常,如果连接失败会弹出“wan1 healthy check fail from dns!!”的提示;
第三种是根据网络对时服务器的判断,勾选“时间服务器”,点击测试,如果连接成功会弹出“wan1 healthy check from ntp1 is fine !!”,证明该线路正常,如果连接失败,则会弹出“wan1 healthy check fail from ntp1!!”的提示。
当三种测试方式都连接不成功时,该线路基本可以判断是与外网断开。
用户可直接使用方法(3、)进行测试。
如果对宽带线路进行测速?
1、单机测试法
用一台pc 直接接外网测试线路,设置好接入方式(pppoe 需要建立虚拟连接,光纤需要设置固定ip)后,用flashget 类似的多线程下载软件到太平洋下载中心、天空下载等大型网站下载多个大文件,可以通过flashget的下载速度总和计算出该线路大概的实际带宽,带宽接入称谓的带宽单位是bits,而下载显示出来的是bytes,两者换算公式为1byte=8bits、1mbyte=8000kbits。
2、带ros 或硬件路由器的测试方法:
接入单线——将一台pc 直接接到ros 或硬件路由器的lan 口上(在接路由器lan 不方便的情况下,也可以接在交换机下面),在内网只有这台pc 上线的状态下,使用方法(1、)进行测试;
接入双线/多线——将一台pc(简称a)直接接到ros 或硬件路由器的lan 口上,然后使用路由器的“内网ip 端口绑定”功能将这台pc 绑定到需要测试的线路上,将其它的pc 绑定到测试以外的线路上,然后用a 使用方法(1、)进行测试。
3、欣向测试需要注意的方面:
如果根据当地isp 提供的某种特殊的测试工具,或是测试方法进行带宽测试,从测试结果来判断路由器速度,很多时候都不能确保测试结果是路由器真实处理速度的体现。这里讲几种已经发现的客户常用的测试方法:
a、以采用模拟数据传输方式测试网速的测试工具,这种工具一是不能说明实际网速,一般要注意以下方面,比如:需要端口映射测试的,有些工具在测试时,会以由pc 主动发起request,看收到reply 的时间。其中会有目的ip 发起到pc 的问询,pc 通过接收问询和接收回应来计算网速,这样由于欣向路由器防火墙的作用,pc 发起的问询可以得到回应,而测试服务器发起的问询pc 是收不到的,这样pc 只能接收到回应,而收不到问询所以测试的网速就不可以反映真实的速度了。遇到这种情况时可以查看测速工具使用的端口,在路由器的“虚拟服务器”功能里作相应的端口映射来实现对pc 的问询也能被pc 收到,这样测速的效果就不会受到路由器防火墙的影响。
b、以游戏的相应时间作为测速标准。大多数游戏的测速值是通过ping 包测试的,通过不定大小的ping 包,看其延迟大小来确认速度,由于我们nur5028/5058/9058 的防火墙默认情况下阻断了32 字节以上的ping 包,这样,在此种测试方式下只有32 字节以上的ping 包才会有回应,当然测试的速度显示效果不准确。解决这个问题的,可以到路由器“dos 防范”功能中不启用大ping 包过滤,这样就可以了,由于nur5235/5625 默认情况下dos所有项都是关闭的,所以,nur5235/5625 不会有这种情况。