前言:
目前,网吧用户基于网络的应用无法脱离简单的网页浏览,正是由于这些简单、肆无忌惮的网页浏览,使网民链接到一些非法网站而无法得到管控。网吧应用的复杂化、管控的无序化,使得网吧网络稳定性受到严重挑战。在这样的环境下,网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病。
近期全国多家网吧反馈频繁掉线问题,经过分析诊断得出:因网吧用户访问了非法网站,使得PC感染病毒,病毒冲破系统防御软件后产生了协议为UDP、目标端口为80的NAT会话,相关NAT会话的上传包很多且快速增长,下载包计数一直为零,导致出口带宽被拥堵而产生掉线问题。弹指一挥间,此攻击病毒在全国网吧用户中掀起一阵流行“疯”,使网吧业主一时招架不住。为此,艾泰科技提出了自己的解决方案。
解决方案思路分析:
通过艾泰路由器支持的防火墙功能,做访问控制策略,将内网所有地址到外网所有地址以下的目标端口数据访问禁止,即可防御近期的网吧病毒攻击流行“疯”。
UDP:
源端口 目的端口
1-65535 80
1-65535 5444
1-65535 8456
1-65535 25511
13992 1-65535
13233 1-65535
1-65535 7001-7009
1683 1-65535
TCP:
1-65535 6666
用户网络环境:
问题诊断过程:
1.使用局域网电脑进入DoS窗口中,长ping电影服务器IP,长ping路由器LAN口IP,长ping外网线路网关IP,长ping运营商DNS服务器IP。基于上述操作过程,得出如下结果:客户机上ping电影服务器IP不丢包,ping路由器的LAN口IP、外网线路网关IP、运营商DNS服务器IP均有严重的丢包情况。
2.使用单机直接接入到艾泰路由器LAN口,通过WEB形式登录到路由器界面。
1)进入路由器的系统状态-接口统计中,观察数据,若发现LAN/in方向数据包远大于WAN/out数据包,则可确定存在内网攻击现象。如下图:
2)进入系统状态-日志管理,查看设备系统历史记录,通过此页面的日志记录检查是否在网络异常时存在NAT会话超限的用户,通过显示出来的主机IP进行管控。如下图:
3)可以通过用户管理-用户管理查看局域网每台主机带宽实时使用量,进而可以查看到内网当前占用带宽比较大的用户,从而进行管控,如下图:
4)通过系统状态-系统信息 查看路由器的CPU、内存使用率,可辅助的查看当前路由器的系统信息;若针对路由器CPU或内存进行攻击,则CPU或内存使用率会体现出异常情况,以红色填充。通过WebUI方式诊断的用户可到系统信息页面中查询,如下图:
5)通过系统状态-上网监控,查询条件为全部记录,可以查看局域网所有主机当前所有的NAT会话详细记录,逐一排查异常的NAT会话记录。查找以及确定导致网络异常的主机依然是通过NAT会话详细记录来判断192.168.8.68即为病毒源主机。如下图:
至此,基本上可以判断出局域网主机192.168.8.68通过UDP协议80目标端口向“61.160.250.99”发包,而对方无应答,产生大量的上传数据,阻塞了路由器LAN口,致使局域网整网掉线。
解决办法:
通过艾泰路由器支持的防火墙功能,配置访问控制策略将协议为UDP、目标端口为80、5444等的数据过滤。
1.配置服务组:
除UDP协议80的目标端口外,通过同上诊断过程,同时还搜集到了UDP协议5444、8456、25511、7000-7009的目标端口,UDP协议1683、13992、13233的源端口,TCP协议6666的目标端口均被病毒所利用产生攻击数据,可以一并添加到服务组当中。
2.配置访问控制策略:
勾选“启用访问控制策略”后,即可防止病毒主机继续发作,影响整个网吧上网。
3.启用设备访问限制:
进入安全配置-基本选项,勾选设备访问限制,启用该功能后,系统将会限制局域网主机从LAN口访问设备。从而有效防御一些来自内部网络针对设备本身的DDoS攻击。
允许通过设备的数据包:设备将根据该值限制每秒通过LAN口的数据包个数,取值范围为0~20000,建议设置为300~600,这里建议设置成350。如下图:
结束语:
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源端口,目的端口。同一种网络病毒,一般目的IP和端口是相同的,比如近期流行的网吧内网DDoS攻击。此病毒的攻击端口比较固定,如UDP80端口,UDP5444等端口,只要把这些端口在路由器上给限制住,那么外部的病毒就无法通过路由器——这个唯一的入口进入到内部网。
通过艾泰路由器强大的防御内部/外部攻击能力,配合上述解决方案,可以使网吧用户有效防范此次网吧DoS/DDoS网络攻击流行“疯”,最大程度地保证路由器及网络的稳定性和安全性。
网友评论