过年了亲人团聚、回乡探亲，春节是中国人最重要的节日了。随着网络应用的普及化，现代人对于网络需求与应用有越来越多了，根据产业市场动态分析，预计春节期间各地网吧市场将出现更胜往年的盛况荣景。然而，对于网吧业主来说，如何保证在天天客户爆满的情况下，提供客户优质的网络服务与玩家畅游的质量，是最值得下功夫的事情了，过年、生意两不误，相信是所以网吧老板的心声。有着多年客户服务的经验的Qno侠诺工程师们，向广大网吧用户介绍了几点网络防攻击的方法，希望能够帮助用户过一个愉快而轻松的春节。

　　一般而言，网吧要能维持长时间优质的网络服务，最重要的是能防范内外网的攻击，有效降低内外网被瘫痪的机会，避免造成卡网或当机等网络服务被中断等严重问题。侠诺工程师在这里为大家提供了常见的内网攻击包含ARP攻击、洪水攻击、内网恶意占用带宽者等快速有效的解决方法，以及针对目前新型外网攻击例如机器狗病毒等应对措施，并期望能帮助网吧的网管人员，轻松安心过个黄金鼠年！

　　一、内网攻击
　　1、IP / MAC 双项邦定，有效防制ARP攻击 / IP欺骗
　　对于网吧来说，ARP攻击可以说是一个最常见的攻击模式，自2006年至今已演变为新的攻击方式，使用更高频率的ARP ECHO，超过了用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢或占用网关运算能力，发生内网很慢或上网卡的现象。甚至严重时，会经常发生瞬断或全网掉线的情况。而内网IP欺骗是在ARP攻击普及后，另一个紧随出现的攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击现象，通常影响的计算机有限，不致出现大规模影响。

　　要同时解决ARP攻击以及IP欺骗，到现在为止最简单有效的方法仍属于Qno侠诺提出的双向绑定方式。网管人员可预先在每台PC上做好路由器及网吧游戏、电影服务器等IP / MAC绑定，再通过路由器对内网每台PC之IP / MAC进行绑定。如此一来，通过路由器与PC双向IP/MAC绑定，即可有效避免受到ARP攻击与IP欺骗。不过，由于网吧客户端PC关机后，IP/ MAC绑定会自动清除，因此网管若要重新一一进行绑定，确实是一个很沉重的负担，因此PC端可通过建立一个BAT文件@echo /  arp  -d  / arp  -s，让用户开机可自动执行IP/MAC绑定，即可有效解决这个问题。

　　要进一步检视PC端是否帮定路由器与服务器IP/MAC，可开启dos cmd输入指令ARP -a，出现IP与MAC地址，在后端显示的type列表查看是否显示为static，若是即为绑定成功，若出现dynamic，表示没有成功，则须重新绑定。
 

图一：路由器IP / MAC绑定

 

图二：PC端IP/MAC绑定

　　2、强效防火墙DoS启动，全面防制内网洪水攻击
　　内网攻击是从内网计算机发出大量网络包，占用内网频宽。通常是用户安装了外挂，变成发出攻击的计算机，不断的对路由器发出大量如洪水般流量的封包，而路由器忙着处理这些大量不正常的封包，导致内网呈现瘫痪。一旦内网遭受洪水攻击，网管会发现内网很慢就是这个原因。而一般网管实行Ping路由掉包，却不知是那一台影响的，原因在于有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

　　Qno侠诺对于内网攻击的解决方案，可直接激活防火墙中DoS的功能，默认值将每秒可发的封包数限定在2000笔之内，或可使用进阶设定每秒允许最大的封包流量。一般而言，使用视讯下载大约每秒封包数为每秒500笔，因此每秒超过2000笔封包的流量，我们即可视为不正常或是已经遭受攻击，可采取立即予以阻档并切断联机，即可有效防范路由器被内网部正常洪水流量攻击。若要进一步检视是否有设定成功，可用一台PC发出攻击封包测试，如果设定成功，网管人员会发现该台PC立刻会发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致，网管可进一步检视其它计算机是否可正常上网，即可确保DoS防内网攻击设定成功。

图三：DoS防制内网流量攻击

　　3、智能QoS  / 联机数管控，实时有效抑制恶意占用带宽用户
　　网吧用户也常遭遇到内网用户下载BT、P2P等影音视讯，如果未实时加以抑制与管理，很有可能会将带宽全部吃光，造成严重卡网等问题，进而威胁到正常用户的网络服务质量。许多网吧用户针对恶意占用带宽者的解决方式，通常是采用传统的带宽管理模式，可统一限制每台PC最大可使用的带宽流量，但由于要找出带宽使用异常的调制解调器，必须手动从IP纪录中一一查找，而就算找出该调制解调器给予警告之后，过不了多久，又可能发生了同样的问题，可以说是防不甚防。如果每隔一段时间就会卡网，对于分秒必争的网吧业者来说，就象是存在一枚不定时炸弹。

　　为了实时解决及惩罚恶意占用带宽用户，Qno侠诺提出“智能QoS”，拥有自动惩罚机制，自动将大量占带使用者列于观察列表，网管可一目了然观察异常名单，大大减轻网管一一查找IP纪录的负担。如有持续占带情形，网管可立即启动二次惩罚，将该占带者可使用频宽减少至50%，达成实时惩罚的目地。另外智能QoS还可针对时间、门坎流量进行自由设定，也就是说当网吧整体带宽使用达一定比率(60%)，才自动启用带宽管理的功能，可进一步保障带宽使用率最佳化。

　　除了利用“智能QoS“防制大量占用带宽者之外，也可搭配QoS中的联机数管控功能，可限制网吧用户每台PC可容许联机数的最大值，拒绝BT、视讯等下载，使用大量联机数吃掉内网整体带宽，可以说是保证正常用户带宽第二重保障。

 

图四：Qno侠诺“智能QoS”有效抑制大量占带使用者
 

图五：“联机数管控”有效抑制大量占带者

　　二、外网攻击
　　1、机器狗病毒肆虐，Qno侠诺教您防范解决之道
　　近期，网吧用户深受“机器狗”病毒侵扰。它是一种可以穿透还原软件与硬件还原卡的病毒。通过释放pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息，危害极大。

　　网管人员可通过两个方法检视是否遭受“机器狗”病毒感染。方法一，查看开启系统目录的 system32 文件夹中，是否有该文件版本标签，如果没有的话，表示已经中了机器狗。方法二，通过查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32”启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都还真实保存，表示也中了“机器狗”病毒。

　　由于“机器狗”病毒可穿透还原软件与硬件还原卡。一旦感染，就必须将病毒主机断网杀毒、恢复系统镜像或重做系统。而侠诺科技提出防制机器狗解决之道，可在防火墙中设定IP部分采用Access Rule规则阻挡,域名部分用“网页内容管制设定”阻挡，即可事先有效防范网吧客户端下载机器狗病毒。以下列出已公布隐含机器狗的IP地址、网址和域名，提供网吧用户作为建立防范机制的参考：

　　（1）隐含机器狗病毒IP地址：
　　59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207

　　（2）隐含机器狗病毒网址和域名：
　　www.tomwg.com、Yu.8s7.net、www.17max.cn、www.951ksf.com、www.pp365.com、www.111ss.com、www.11se.com、www.joppnqq.com、www.77886699.cn、www.94ak.com、www.99mmm.com、www.161816.com、www.91ni.com、www.35832.com、www.15197.com

 
图六：用Qno侠诺防火墙有效封锁机器狗病毒网址
 

图七：用Qno侠诺防火墙有效封锁机器狗病毒域名