1、外部来的DoS攻击会造成网络掉线,判别方法是从路由器的系统日志文件中可以看出,Qno侠诺的路由器会显示遭受攻击,而且路由器持续在工作。其它品牌的路由器,有些也有相关的功能,用户可以查看使用手册。DoS病毒攻击,如SYN攻击,因为发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,达到瘫痪网吧网络对于广域网来的攻击,路由器能作的不多,也无法反击。此时,网吧管理者或网管应直接联系对应的运营商,请求更换WAN IP。
2、内网遭受DoS攻击时,也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止DoS攻击影响扩大,并进行杀毒或重新安装系统。
3、内网遭受冲击波攻击是另一个原因,冲击波攻击,是针对网络特定服务端口(TCP/UDP 135~139,445)发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中,发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139,445)设置网络存取条例,并从被激活的防火墙日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止冲击波攻击影响扩大,并进行杀毒或重新安装系统。
4、内网遭受ARP攻击是最近常发生的原因,ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址,来达到用户账号/密码,进一步进行网络盗宝等犯罪行为,或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突,出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作,内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中,不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机,但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器,进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具,系统日志中可提供攻击源的IP或MAC地址,帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。
网络遭受攻击,可从路由器相关功能找出遭受攻击类型,网吧管理者或网管查找、直击攻击源加以隔离与排除,在攻击发起时即能迅速加以解决,无需等到客人反应受到影响。
另外网络的雍堵也可能造成掉线
1、短暂网络壅塞,有可能是网吧内突发的带宽高峰,网吧管理员或网管应关注路由器的带宽统计,可先持续关注状况。若是尖峰时段,网吧客人较多,带宽也会比较吃紧,或是有用户使用BT、P2P软件做大量上传,占用大量带宽,造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽,才能让网络联机恢复正常,解决壅塞情况。
2、尖峰时段持续性壅塞,是有用户使用BT、P2P 软件进行大量下载,或在线观看、视讯等占用大量带宽行为。若是用户观看人数很多,网吧应考虑于内网安装服务器供用户使用,才不致因观看影片人多占用对外带宽。对于大量下载,则应考虑建置内部私服加以改善。
3、若是长时间从路由器看到带宽占用率高,有可能表示网吧根本带宽不足,线路带宽过小,不足以提供目前在线众多人数使用,应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级,解决带宽不足的问题。
措施:基于路由器的防范方法
一.内部PC基于IP地址限速
现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10M,每台内部PC的平均带宽为50K左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个BYTE,也就是15k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。
一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40K的带宽,可以设置在100-400K比较合适。
二:内部PC限制NAT的链接数量
NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?
答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG-NBR系列路由器来说,这些时间都是可以设置的)
现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。
由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。
针对这种情况,不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。
同时,这些路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。
三:ACL防网络病毒
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
优秀的网吧路由器应该提供功能强大的ACL功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。
四:WAN口防ping功能
以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求,也会把网吧的RG-NBR系列路由器拖跨掉。
现在多数网吧路由器都设计了一个WAN口防止ping的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
五:防ARP地址欺骗功能
大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。
在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。
所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
这就是ARM地址欺骗,这就是造成内部PC和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。
六:负载均衡和线路备份
举例来说,如锐捷RG-NBR系列路由器全部支持VRRP热备份协议,最多可以设定2-255台的NBR路由器,同时链接2-255条宽带线路,这些NBR和宽带线路之间,实现负载均衡和线路备份,万一线路断线或者网络设备损坏,可以自动实现的备份,在线路和网络设备都正常的情况下,便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。
而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2个WAN口,如果有需要,还有一个模块扩展插槽,可以插上电口或者光接口模块,同时链接3条宽带线路,这3条宽带线路之间,可以实现负载均衡和线路备份,可以基于带宽的负载均衡,也可以对内部PC进行分组的负载均衡,还可以设置访问网通资源走网通线路,访问电信资源走电信线路的负载均衡。
网络卫士产品简介及产品特点
一、 产品简介
1、 该产品解决了内外网络之间的物理隔离。以在原有计算机上加装一块“网络卫士物理隔离卡”的方式,来实现局域网与互联网的网络通道隔离。当局域网中任何一台计算机一经接入互联网,将完全与内部网(涉密网)彻底隔离,可以在互联网上无拘无束的冲浪,又能保证内网的绝对安全。
2、 本产品是一种通过硬件配以软件控制,来实现内、外网的切换, *** 作方便,安全可靠。真正符合国家保密局《计算机信息系统国际连网保密管理》第六条的规定。
3、 功能上等效于两台独立的计算机。内、外网两套系统共享一块硬盘及计算机中的所有资源,节省了大量的投资与办公场地。
4、 本产品分为内置式和外置式两种类型。内置式是直接固定于主板的PCI插槽上,不占用计算机的资源,与计算机主板之间没有数据通信,不存在任何兼容性问题;外置式是放置于机箱外部,方便更换、检查及处理。
5、 支持ADSL拨号上网或是政府网的用户使用。
6、 独立研发、专利设计。拥有自主知识产权, 并申报国家专利(专利号:992576407)该产品并已通过公安部的安全性能检测,检验报告编号:公计检(委)字第99046号。颁发了产品批量生产许可证,批准证书编号:XKC30213;该产品也获得了国家保密局关于涉密信息系统产品检测认证证书(编号:ISSTEC2003YT0049)。可以确保内部网络及资源不受外界公众网窃取和攻击,真正做到简单、可靠、可信、安全无忧地使用电脑。
二、网络卫士物理隔离卡的主要特点
真正实现物理隔离
全部采用触点式继电器,在单片机2051的控制下实现三组继电器跳转,保证了内、外网的真正物理隔离。
软件控制, *** 作简单、快捷
只需用鼠标点击”网络卫士”控制软件上相应的按钮,网络卫士通过串行口发送指令,系统自动关闭计算机,重新开机后到另一个硬盘系统。
安装简单,维护方便
网络卫士物理隔离卡的安装并不复杂,在一台工作站PC上选择一个PCI插槽插上隔离卡,卡上的控制线和两个硬盘相连接,具有安装网卡经验的人员经过简单的培训即可顺利安装、维护。
使用范围广泛
本产品适用于政府机关、金融机构、部队、企业单位、个人等需接入互联网而又需要保护本地 *** 作系统,及保护本地数据资源的一切个人电脑。
广泛适用于Win98、win2000、WIN XP等各种 *** 作系统。
产品功能及性能
网络卫士隔离卡是一种功能相对简单又较为经济的隔离产品,作为一个优秀的双硬盘物理隔离产品系列,本产品已具备同类产品中最高的技术和性能。
本产品是PC机的硬件插卡,它插在PCI插槽上,卡上有三个电源接口,分别与主机电源、内网硬盘电源接口及外网硬盘电源接口相连接。内外网硬盘各自安装独立的 *** 作系统,分别与内外网相对应。卡上还有内外网络线缆接口用于连接内外网络接口的通断。在同一时间内只有一个硬盘供电并与相应的网络接通,另外一个硬盘不供电,其对应的网络也切断,实现内外网络彻底的物理隔离。
纯硬件设计,真正实现物理隔离。当网络卫士物理隔离卡处于内网状态向外网切换时NetGuard 会自动检测软盘驱动器是否有软盘存在,若驱动器中有软盘存在,则给出警告不能切换并且返回,取出软盘后方可进行网络切换。这就防止了在内网状态下软盘中数据被外网访问的可能。
隔离卡与计算机通过串行口通讯,控制程序对计算机串行口具有自适应性,可选择任意一个串行口安装和使用,更换串行口需要重新配置;
一台计算机实现两台计算机的功能,两套系统共享除硬盘以外的所有设备,可节省大量投资和办公场地。
网络卫士安全隔离解决方案
针对政府部门对于内外网络必须达到物理隔离的要求,我们特提出以下解决方案:在原基础上安装第二块硬盘,通过安装使用网络卫士隔离卡,使每块硬盘专用于某个网络,而与另一块硬盘及网络是完全物理隔离的。
产 品 使 用 指 南
一、 系统要求
1、 在具有一块硬盘的基础上再加装一块硬盘,这两块硬盘需安装有自己独立的Win98/2000Professial/WinXP等 *** 作系统,并安装软件NetGuard。
2、 进行网络切换时系统要通过串行口(COM1/COM2)发送指令到网络卫士物理隔离卡,因此在系统中,要确定和网络卫士物理隔离卡相连接的串行口COM1或COM2未被占用。
二、 安装
1、硬件安装
(1)关掉电源,打开机箱;
(2)将网络卫士隔离卡插在PCI槽上(只起到对隔离卡的固定作用,不从PCI插槽取电,不占用系统中断资源,不影响启动速度);
(3)把内、外网线,对照卡上网线接口相连接,(内网线为标识为LAN的插槽,外网为标识为INTRNET的插槽,CARD插槽与网卡用蓝色网线相连)。
(4)用灰色通讯线将卡上串口与PC机上的通讯串口相连。
(5)内、外网硬盘及PC机电源线与卡上相对应的电源线序连接。
2、软件安装
在两块不同的硬盘上分别安装网络卫士切换软件。
具体安装方法如下:
●双击『我的电脑』里面的光驱盘符,找到与当前系统对应的切换软件文件夹,双击里边的SETUPEXE文件开始安装,连续选择「NEXT」按钮,最后选择「FINISH」完成安装。
●不需要时可从「控制面板」中的「添加/删除程序」中卸载。
三、 使用说明
在Windows系统桌面上点击“网络卫士”图标 即可打开网络卫士切换软件。只需用鼠标双击选择要切换到的网络按钮,系统将自动关闭计算机,重新开机后自动转换为对应的网络状态。
网络卫士物理隔离卡与其它网络安全方法的比较
保护网络安全的方法 安全隔离性能 比较结果
1.配置两台电脑,分别接上内部局域网和公众网 可靠,符合国家有关网络
安全的规定 1. 使用不方便。
2. 投资成本巨大、浪费资源。
3. 网络设置复杂、维护难度大。
4. 占用更多的办公空间。
2.采用代理服务器和防火墙技术 不可靠、不符合国家有关
网络安全隔离的规定 1. 投资成本大。
2. 即使是我国自主开发的防火墙产品,只要
CPU、 *** 作系统是国外,安全程度亦难以保证。
3.安全隔离专用计算机 可靠、符合国家有关网络
安全隔离的规定 1. 重新购置该计算机,增加投资。
2. 单位现有的计算机造成浪费。
3. 一套机箱内二套设备, 技术上不合理。
4. 兼容机性能不稳定,价格高。
4.网络物理隔离卡 采用符合国家规定的物
理隔离法,安全可靠 1. 在原有设备上引入,不需增加太多投资。
2. 无需重新购买电脑设备,不占用原有的办公空间。
3. 纯硬件设计, *** 作使用简单、安全、可靠。 具体的可以看 >1、切断网络
对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。
2、查找攻击源
要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。
3、分析入侵原因和途径
一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。
4、备份好用户数据
当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存在攻击源。如果其中有攻击源的话,就要彻底删除它,再将用户数据备份到一个安全的地方。
5、重装系统
这是最简单也是最安全的办法,已经遭受到攻击的系统中的攻击源是不可能彻底清除的,只有重装系统才能够彻底清除攻击源。
6、修复程序或系统漏洞
如果已经发现了系统漏洞或程序漏洞之后,就要及时修复系统漏洞或修改程序bug。
7、恢复数据和连接网络
将已经备份好的数据重新复制到重装好的系统中,随后将服务器开启网络连接,恢复对外服务。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)