第二页
1.1 双向绑定
其中双向绑定是过去比较常用的一种方法,它在路由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址,在每一台PC上绑定网关的IP地址和MAC地址,形成一个相对固定映射关系来防止ARP欺骗。这种做法对过去的ARP病毒是有效的,随着ARP病毒的演进,新的ARP病毒会在系统运行过程中删除PC的ARP绑定,此时双向绑定将失效,所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。
1.2 安装防ARP欺骗软件
在双向绑定失效后,网吧中有出现了一种安装防ARP欺骗软件的方法来解决这一类的问题。该方法在PC上安装ARP FIX或Anti-ARP等类似功能的软件,该类型软件先在PC上绑定路由器正确ARP映射,同时通过监控网卡的数据,拦截其中的ARP欺骗报文,来实现对ARP欺骗的防御。随着这类型软件的流行,新的盗号人士通过修改病毒代码,使ARP病毒可以通过修改注册表和进程管理器,直接停止该类型程序的运行,更有甚者可以对防御软件其进行卸载,使得这类型的软件失去效果。同时由于该类型软件应修改了操作系统底层内核,加大了系统消耗,使PC的性能降低。另外如果AntiARP驱动不稳定,将会导致用户计算机轻则不能上网,重则系统崩溃。AntiARP驱动在系统0层运行,其实用户相当于将全部权限给了AntiARP,如果这个软件万一染毒,任何杀毒软件都无效。(杀毒软件的权限最高也只有0层)。
1.3 通过交换机过滤ARP欺骗
在经过双向绑定和、安装防ARP欺骗软件之后,目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表,通过交换机自身的ARP过滤模块,过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文,对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作,节省了PC的资源。
2. 网吧网络遭受攻击的问题
随着网吧行业竞争的日益激烈,网吧的网络被人恶意DDoS攻击已经不再是新闻。网吧的网络设备如果遭到恶意的攻击,将导致网络无法使用,若攻击网吧的服务器则会使游戏服务器无法流畅运行,电影服务器播放视频断断续续,无盘服务器无法工作,导致无盘网吧停业,计费服务器无法正常工作,客户机认证、结账出现问题。
针对网吧的网络攻击又可以分为针对路由器的和针对内网服务器、交换机的两种。
2.1 针对路由器的DDoS攻击
其中针对路由器的攻击会导致网吧的出口瘫痪,而目前路由器常见的防DDoS攻击的方法有三种:1、计数器法,2、协议分析法,3、协议分析+计数器。
2.1.1 计数器法
计数器法通过端口计数器与事先设置的阀值,限制外网口收到的所有数据(无论是否由内网引发),该方法抗攻击能力较强,普通路由器器都能有10M以上的能力。但是该处理方式粗放,一旦端口上的数据量达到设定的阀值就进行全局限速,进而影响全局的应用。
2.1.2 协议分析法
协议分析法对各种DDoS攻击方式进行协议级的分析,通过CPU判断所有经过端口的报文,若报文匹配内置的协议分析器,CPU将对攻击报文进行过滤,但是该处理方法消耗大量CPU资源,如果CPU性能不强将导致整体抗攻击性能不佳。
网友评论