论文部分内容阅读
掉线了、脱网了、游戏卡了……网吧经营就怕出现这些问题。而最近这样的事偏偏越来越多。路由器换了,ARP绑了、PC杀毒了。可故障依然频繁出现,网吧人都快走光了。出现这些问题到底是什么原因呢? 大部分的网吧掉线情况都是下面三种原因造成的:ARP攻击、内网病毒和P2P下载。有没有办法解决这些问题呢?当然有,杭州华三通信技术有限公司为此提出了几个措施,帮助用户比较好地解决了这些问题,从实践来看效果是比较显著的。从网吧实际运行中来看,大概有3种ARP攻击的方式可以对网吧造成致命威胁。
第一种是内网ARP病毒:也是目前网吧里面最常见,最头痛的病毒。ARP病毒通过伪造IP地址和MAC地址实现对每台PC机的ARP欺骗,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久又会出现这样的问题,网吧管理员对每台机器使用ARp a命令来检查ARP表的时候发现路由器的IPP和MAC被修改,这就是内网ARP病毒攻击的典型症状。
第二种是内网ARP攻击:攻击者用伪造源MAC地址发送ARP响应包,对路由器的ARP高速缓有机制进行攻击,病毒或者恶意攻击者通过发送大量的伪造arp请求报文到路由器,迫使路由器不断地构造ARPD向应报文,造成路由器资源无端消耗。网管可以通过查看接口ARP统计信息,如果短时间内收到很多ARP请求报文则说明受到ARP洪水攻击。
第三种是外网ARP攻击:最明显的表现就是附近网吧的路由器假冒是对方的路由器,向电信的三层交换机发送错误的IP地址和MAC地址信息,刷新电信网关的ARP表,存储错误的IP地址与MAC地址对应关系,导致被假冒路由器所在网吧全网掉线。
针对不同的ARP攻击手段,H3C网吧路由器AR18-63-1提供了相应的防御办法,能够有效地解决各种ARP病毒和攻击。下面我们依次来分析分析。
一、内网ARP病毒解决办法
(IP与MAC地址绑定+ARP主动防御)
在网吧通过在路由器上面进行IP+MAC绑定和ARP报文的发送,可以有效地阻止ARP病毒。另外,在PC机上面对网关的!P地址与MAC地址进行绑定,或者在每台安装Anti-ARP Sniffer软件。
1、IP+MAC绑定
在AR18路由器的web界面上,通过“固化ARP”,的操作,很方便地可以对局域网内的所有PC机进行绑定。动态搜索ARP表,对网内的PC机的IP地址和MAC地址进行绑定。通过“全选”一“固化”按钮来完成。
2、ARP主动防御:
在AR18路由器的“ARP防攻击”页面,开启防攻击的功能,然后设置每1秒钟发送一次正确的网关ARP信息。当局域受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。
3、PC上做绑定:
在每台PC机上面设置IP与MAC地址的绑定。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s+路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp-a命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
二、内网ARP洪水攻击解决办法(arp流量监控)
网吧里面病毒非常泛滥,从冲击波、振荡波到最近的熊猫烧香病毒,每次病毒的爆发都给网吧带来致命的损失,迫使网吧不得不重做系统,对经营造成了极大的影响,病毒对网吧的危害是明显的。以当前病毒的传染性特征,往往是牵一发而动全身,有一台电脑被感染了,其他电脑也很难独善其身。如果碰到无法直接删除或杀掉的病毒,网吧就必须对所有电脑进行重新安装,所消耗的资源和费用是惊人的。如果网络内有人使用ARP攻击工具,不断地发送大量伪造的ARP请求报文到路由器,路由器就会不断地构造ARP应笞报文,这样一来路由器的资源就被白白消耗掉了,导致正常报文无法处理。网管可以通过查看接13ARP统计信息,如果短时间内收到很多ARP请求报文则说明受到此种ARP洪水攻击。
H3C的A日18-63-1网吧路由器具有ARP洪水攻击防护的功能,可以通过firewall defend arp-floocl[max-rate rate-nuqnber]来限制ARP报文的数量。max-raterate-number:设定收到的ARP包速率的阈值,即一秒钟出现ARP包的总数,超过该阈值将视为攻击,对超出的报文不予以处理。rate-nurffaer的默认值为100包/秒,取值范围为1~10.000包/秒。
三、外网ARP攻击解决办法(发送免费ARP到网关)
两个相隔较近的网吧,共享同一个电信的网关(通常都是三层交换机)。这时候电信的网关都会维护一个动态ARP表,里面记录着两个网吧的路由器外网接口IP地址与MAC地址对应关系。
举个例子:网吧A的路由器IP地址是10.165.70.196,MAC地址是00-0c-f1-cf-OO-b5;网吧B的路由器IP地址是10.165.70.250,MAC地址是00-50-ba-19-3b-fb。那么在电信的网关上面就会存在这样一张ARP表,记录了这两个网吧的IP与MAC信息。
如果网DEB利用ARP发报工具,比如“Winarp”等,向电信的三层交换机发送1个虚假的ARP请求报文,构造源IP地址是网吧A路由器的IP,MAC地址是一个虚假的MAC,这时候三层交换机就会学习到错误的IP与MAC对应关系,存入到ARP表里面。这样就会导致网吧1掉线。
这时候需要有一种机制,让电信网关始终都能维护正确的ARP表项。对路由器来讲,可以不断的发送正确的IP与MAC地址对应关系到电信三层交换机,让它始终都学习到正确的ARP报文。H3C的AR18-63-1路由器具备免费ARP发送机制,在输出接口上面启动ARP报文发送功能,每1秒钟向三层交换机发送正确的ARP报文。发送的命令为arpsend-gratuitous-arp 1,有效防止同行恶意竞争。
第一种是内网ARP病毒:也是目前网吧里面最常见,最头痛的病毒。ARP病毒通过伪造IP地址和MAC地址实现对每台PC机的ARP欺骗,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久又会出现这样的问题,网吧管理员对每台机器使用ARp a命令来检查ARP表的时候发现路由器的IPP和MAC被修改,这就是内网ARP病毒攻击的典型症状。
第二种是内网ARP攻击:攻击者用伪造源MAC地址发送ARP响应包,对路由器的ARP高速缓有机制进行攻击,病毒或者恶意攻击者通过发送大量的伪造arp请求报文到路由器,迫使路由器不断地构造ARPD向应报文,造成路由器资源无端消耗。网管可以通过查看接口ARP统计信息,如果短时间内收到很多ARP请求报文则说明受到ARP洪水攻击。
第三种是外网ARP攻击:最明显的表现就是附近网吧的路由器假冒是对方的路由器,向电信的三层交换机发送错误的IP地址和MAC地址信息,刷新电信网关的ARP表,存储错误的IP地址与MAC地址对应关系,导致被假冒路由器所在网吧全网掉线。
针对不同的ARP攻击手段,H3C网吧路由器AR18-63-1提供了相应的防御办法,能够有效地解决各种ARP病毒和攻击。下面我们依次来分析分析。
一、内网ARP病毒解决办法
(IP与MAC地址绑定+ARP主动防御)
在网吧通过在路由器上面进行IP+MAC绑定和ARP报文的发送,可以有效地阻止ARP病毒。另外,在PC机上面对网关的!P地址与MAC地址进行绑定,或者在每台安装Anti-ARP Sniffer软件。
1、IP+MAC绑定
在AR18路由器的web界面上,通过“固化ARP”,的操作,很方便地可以对局域网内的所有PC机进行绑定。动态搜索ARP表,对网内的PC机的IP地址和MAC地址进行绑定。通过“全选”一“固化”按钮来完成。
2、ARP主动防御:
在AR18路由器的“ARP防攻击”页面,开启防攻击的功能,然后设置每1秒钟发送一次正确的网关ARP信息。当局域受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。
3、PC上做绑定:
在每台PC机上面设置IP与MAC地址的绑定。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s+路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp-a命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
二、内网ARP洪水攻击解决办法(arp流量监控)
网吧里面病毒非常泛滥,从冲击波、振荡波到最近的熊猫烧香病毒,每次病毒的爆发都给网吧带来致命的损失,迫使网吧不得不重做系统,对经营造成了极大的影响,病毒对网吧的危害是明显的。以当前病毒的传染性特征,往往是牵一发而动全身,有一台电脑被感染了,其他电脑也很难独善其身。如果碰到无法直接删除或杀掉的病毒,网吧就必须对所有电脑进行重新安装,所消耗的资源和费用是惊人的。如果网络内有人使用ARP攻击工具,不断地发送大量伪造的ARP请求报文到路由器,路由器就会不断地构造ARP应笞报文,这样一来路由器的资源就被白白消耗掉了,导致正常报文无法处理。网管可以通过查看接13ARP统计信息,如果短时间内收到很多ARP请求报文则说明受到此种ARP洪水攻击。
H3C的A日18-63-1网吧路由器具有ARP洪水攻击防护的功能,可以通过firewall defend arp-floocl[max-rate rate-nuqnber]来限制ARP报文的数量。max-raterate-number:设定收到的ARP包速率的阈值,即一秒钟出现ARP包的总数,超过该阈值将视为攻击,对超出的报文不予以处理。rate-nurffaer的默认值为100包/秒,取值范围为1~10.000包/秒。
三、外网ARP攻击解决办法(发送免费ARP到网关)
两个相隔较近的网吧,共享同一个电信的网关(通常都是三层交换机)。这时候电信的网关都会维护一个动态ARP表,里面记录着两个网吧的路由器外网接口IP地址与MAC地址对应关系。
举个例子:网吧A的路由器IP地址是10.165.70.196,MAC地址是00-0c-f1-cf-OO-b5;网吧B的路由器IP地址是10.165.70.250,MAC地址是00-50-ba-19-3b-fb。那么在电信的网关上面就会存在这样一张ARP表,记录了这两个网吧的IP与MAC信息。
如果网DEB利用ARP发报工具,比如“Winarp”等,向电信的三层交换机发送1个虚假的ARP请求报文,构造源IP地址是网吧A路由器的IP,MAC地址是一个虚假的MAC,这时候三层交换机就会学习到错误的IP与MAC对应关系,存入到ARP表里面。这样就会导致网吧1掉线。
这时候需要有一种机制,让电信网关始终都能维护正确的ARP表项。对路由器来讲,可以不断的发送正确的IP与MAC地址对应关系到电信三层交换机,让它始终都学习到正确的ARP报文。H3C的AR18-63-1路由器具备免费ARP发送机制,在输出接口上面启动ARP报文发送功能,每1秒钟向三层交换机发送正确的ARP报文。发送的命令为arpsend-gratuitous-arp 1,有效防止同行恶意竞争。