扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近日经常有朋友跟子明反应,他们的网吧由于遭受攻击,导致网络处于瘫痪状态,经济损失巨大。令他们苦恼的是,作为网吧业主,大多数人面对这样的情况往往都是不知所措,想解决燃眉之急,却不知从何入手,请专家无门,买防护设备短时间内又来不急,甚至恶意攻击还得请来网警协助调查。那么为什么网吧经常遭受攻击呢?攻击手段有哪些?怎样预防攻击事件发生?下面,子明就以某网吧遭遇到的情况,跟大家一起探讨“网吧的攻击与防御解决方案”
故障现象说明:
环境:某网吧采用的是无盘系统,有一台大型服务器,配以磁盘映射工作。
现象:外网可以ping通,但是有少数的丢包现象,内网机器一开到10台左右就疯狂掉线。
判断:把网吧的主交换,分交换机,路由器全都换了一遍,基本可以断定为内网攻击。以下是截取分析数据
00114 2007-12-5 20:5:43
NBR1000: %6:
Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).
00115 2007-12-5 20:17:34
NBR1000: %6:
Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).
网吧遭受攻击的主要原因
1、恶意竞争:现在由于有些网吧生意过于红火,毕竟同行是冤家,有些人就专门雇佣一些外地人员在经过踩点后,做大量的泛洪攻击,直到服务器瘫痪掉线。
2、树大招风:有些网吧都装的有专门充游戏帐号,点卡的系统,这些网吧规模就相当大,导致黑客在网上频繁光顾。
3、架设私服:有些网吧老板自己架设游戏私服,在上面卖一些装备,因为交易上的事情,而遭人妒忌。
4、病毒泛滥:在安装系统的时候,安装盘上可能携带有病毒;或是通过移动存储介质导致客户端感染病毒,根治起来很麻烦。即便是安装了还原卡,有些新型的穿透还原类型病毒,那只有雪上加霜了。
5、木马进城:有一些icmp木马,利用小马传大马技术,在内网中把大马种植到服务器上,因为客户机一旦重新启动,所有程序都恢复到第一次安装的初始状态。过去安装的小马就没有了,只要服务器不出问题,一般都是正常运行的,很难发现隐藏的木马。
当今网吧攻击的主要来源
造成损失的攻击来源大多是专业的犯罪团伙,多数目的是牟取金钱,或是专门偷取游戏装备。
1、利用网吧vod点播系统进行入侵攻击。
网吧为了宣传自己,通常在网上下免费的电影网站代码。经简单的修改,例如换名字,改图片,甚至有些人把管理员密码都设置为888888,123456,等简单数字。如果攻击者有了admin权限想做什么不可以呢!直接在网吧内网上传个cain,抓取数据包,在计费主机上安装键盘记录器,交易帐号看的清清楚楚。更何况现在靠抓包就能抓到很多明文的信息、帐号、密码。
2、利用专门做DDoS生意的犯罪团伙进行攻击。如果有客户请求攻击游戏私服,价格大概在400元左右,这也是和网警联系后才知道的。只要被这些DDoS攻击者盯上,网络不死也扒层皮!还网吧通常不使用正版的软件,偷用电影服务提供商的资源,而这些服务商可不是吃素的。从最近的一次攻击调查发现,电影服务商也利用自身的带宽优势做DDoS攻击。
3、利用ARP欺骗攻击:网吧经常出现的因为ARP导致的大规模断网事件。由于经济利益的原因,现在很多盗号木马,都包含ARP欺骗的功能,进行了欺骗后,网吧内的网络游戏,QQ等的登陆信息都将发送到这台染毒的主机,病毒只需进行数据的收集,就可以盗取这些信息。
在浏览器中弹出hxxp://16a.us/2.js,就是为了在局域网中传播其他恶意代码,这可能无法攻击有较好防御、漏洞较少的、访问量大的门户网站。但可以攻击与其服务器处在同一局域网内的主机、散布具有ARP欺骗功能的病毒,通过此种方式,并不需要修改网页服务器上的页面内容,只需要在正常的数据包传输中修改里面的数据,就可以使访问这些网站的主机,感染病毒。若处在同一局域网的一台服务器中毒,就会使得该服务器所在的整个局域网内传输的数据包都被修改,服务器越多影响越大。
4、病毒作恶,很多网吧的网络中都有病毒,而且最新型的病毒总是通过网吧传播,最近爆发的机器狗病毒就是一个十分狠毒的病毒,竟然能穿透还原卡,把病毒驻留在内存里面。还有其他类型的病毒,这些导致网络变慢,客户端运行不正常,甚至网络瘫痪的重要原因。
网吧攻击与防范解决
针对vod点播系统的攻击,只需对电影网站代码做详细修改,并加强管理员帐号即可降低由此攻击带来的风险。需要专业的防DDoS设备来防止恶意攻击,病毒是无法避免的,这需要网吧业主加强安全管理并提高安全防范意识才能最大程度降低风险,以减小损失。其实最头痛的是ARP欺骗攻击带来的危害,因为受害网吧基本上都遭受过ARP欺骗攻击。下面子明就介绍一下如何针对ARP欺骗攻击进行防御,由于网上ARP原理的文章多如牛毛,这里子明也不再叙述,只把处理流程和安全建议与大家分享一下:
处理流程:
1、检测ARP病毒主机,定位毒源机,并断网处理该机问题。
2、对全网主机进行病毒,恶意代码及木马的查杀,尽量做到不留死角。
3、从新分配ARP表,并尽量采用静态的方式配置,不要使用动态ARP。
安全建议:
1、在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
2、安装微软所有安全更新补丁,包括所有的客户端和服务器,以免感染网页木马。
3、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
4、做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
5、部署企业级的杀毒软件,定期升级病毒库,定期全网杀毒。
婵犵數濮烽弫鍛婃叏閻戝鈧倹绂掔€n亞鍔﹀銈嗗坊閸嬫捇鏌涢悢閿嬪仴闁糕斁鍋撳銈嗗坊閸嬫挾绱撳鍜冭含妤犵偛鍟灒閻犲洩灏欑粣鐐烘⒑瑜版帒浜伴柛鎾寸洴閹儳煤椤忓應鎷洪梻鍌氱墛閸楁洟宕奸妷銉ф煣濠电姴锕ょ€氼參宕h箛鏃傜瘈濠电姴鍊绘晶娑㈡煕鐎c劌濡介柕鍥у瀵粙濡歌閳ь剚甯¢弻鐔兼寠婢跺﹥娈婚梺鍝勭灱閸犳牠骞冨⿰鍫濈厸闁稿本绋撹ぐ瀣煟鎼淬値娼愭繛鍙壝悾婵堢矙鐠恒劍娈鹃梺鍓插亝濞叉牠鎮″☉銏$厱閻忕偛澧介惌瀣箾閸喐鍊愭慨濠勭帛閹峰懐绮电€n亝鐣伴梻浣规偠閸斿宕¢崘鑼殾闁靛繈鍊曢崘鈧銈嗗姂閸庡崬鐨梻鍌欑劍鐎笛呯矙閹寸姭鍋撳鐓庡籍鐎规洑鍗冲畷鍗炍熼梹鎰泿闂備線娼ч悧鍡涘箠鎼淬垺鍙忔い鎺嗗亾闁宠鍨块崺銉╁幢濡炲墽鍑规繝鐢靛О閸ㄦ椽鏁嬮柧鑽ゅ仦娣囧﹪濡堕崨顔兼闂佺ǹ顑呴崐鍦崲濞戙垹骞㈡俊顖濐嚙绾板秹鏌f惔銏e妞わ妇鏁诲璇差吋閸偅顎囬梻浣告啞閹搁箖宕版惔顭戞晪闁挎繂顦介弫鍡椼€掑顒婂姛闁活厽顨嗙换娑㈠箻閺夋垹鍔伴梺绋款儐閹瑰洭寮婚敐鍛婵炲棙鍔曠壕鎶芥⒑閸濆嫭婀扮紒瀣灴閸╃偤骞嬮敃鈧婵囥亜閺囩偞鍣洪柍璇诧功缁辨捇宕掑▎鎴濆濡炪們鍔岄幊姗€骞嗗畝鍕<闁绘劙娼х粊锕傛煙閸忚偐鏆橀柛鏂跨焸閹偤宕归鐘辩盎闂佸湱鍎ら崹鐢割敂閳哄懏鍊垫慨姗嗗墻濡插綊鏌曢崶褍顏€殿喕绮欐俊姝岊槼闁革絻鍎崇槐鎾存媴缁涘娈┑鈽嗗亝缁诲牆顕f繝姘亜缁炬媽椴搁弲锝夋偡濠婂啰效闁诡喗锕㈤幊鐘活敆閸屾粣绱查梺鍝勵槸閻楀嫰宕濇惔锝囦笉闁绘劗鍎ら悡娑㈡倶閻愯泛袚闁哥姵锕㈤弻鈩冩媴閻熸澘顫掗悗瑙勬礈閸犳牠銆佸鈧幃鈺呮惞椤愩倝鎷婚梻鍌氬€峰ù鍥х暦閸偅鍙忛柟鎯板Г閳锋梻鈧箍鍎遍ˇ顖炲垂閸岀偞鐓㈡俊顖滃皑缁辨岸鏌ㄥ┑鍡╂Ц缂佲偓鐎n偁浜滈柡宥冨妿閳藉绻涢崼鐔虹煉婵﹨娅e☉鐢稿川椤斾勘鈧劕顪冮妶搴′簼婵炶尙鍠栧畷娲焵椤掍降浜滈柟鍝勬娴滈箖姊洪幐搴㈢┛濠碘€虫搐鍗遍柟鐗堟緲缁秹鏌涢锝囩畼妞ゆ挻妞藉铏圭磼濡搫顫岄悗娈垮櫘閸撴瑨鐏冮梺鍛婁緱閸犳岸宕㈤幖浣光拺闁告挻褰冩禍浠嬫煕鐎n亜顏柟顔斤耿閺佸啴宕掑☉姘箞闂佽鍑界紞鍡涘磻閸℃ɑ娅犳い鎺戝€荤壕濂告煕鐏炲墽鈽夌紒妞﹀洦鐓欓柣鐔告緲椤忣參鏌熼悡搴㈣础闁瑰弶鎸冲畷鐔兼濞戞瑦鐝¢梻鍌氬€搁崐椋庣矆娓氣偓楠炴牠顢曢妶鍌氫壕婵ê宕崢瀵糕偓瑙勬礀缂嶅﹪寮婚崱妤婂悑闁告侗鍨界槐閬嶆煟鎼达紕鐣柛搴ㄤ憾钘濆ù鍏兼綑绾捐法鈧箍鍎遍ˇ浼存偂閺囥垺鐓涢柛銉e劚婵$厧顭胯閸ㄤ即婀侀梺缁樓圭粔顕€顢旈崼鐔虹暢闂傚倷鐒︾€笛呮崲閸屾娑樜旈崨顓犲幒闂佸搫娲㈤崹娲偂閸愵亝鍠愭繝濠傜墕缁€鍫熸叏濡寧纭鹃柦鍐枛閺屾洘绻涜鐎氱兘宕戦妸鈺傗拺缂備焦锚婵洦銇勯弴銊ュ籍闁糕斂鍨藉鎾閳ユ枼鍋撻悽鍛婄叆婵犻潧妫楅埀顒傛嚀閳诲秹宕堕妸锝勭盎闂婎偄娲︾粙鎰板箟妤e啯鐓涢悘鐐靛亾缁€瀣偓瑙勬礋娴滃爼銆佸鈧幃銏$附婢跺澶�