十一黄金周 网络安全防范措施早准备

　　近期统计发现，近来最常见的威胁网络安全的攻击仍以ARP及DoS为主，假如这样的攻击事件在黄金周期间发生，那和谐的节日气氛将不再存在。为确保节假日期间的网络安全，节前应提早准备好应对措施。针对马上即将到来的十一黄金周，本文将一一向用户介绍对最新ARP、DoS攻击而进行的防范措施。

　　“双向绑定”轻松应对ARP攻击

　　简单的ARP攻击是伪装成网关IP，转发讯息，盗取用户名及密码之用，不会造成掉线。这种ARP攻击，只会造成封包的遗失，或是Ping值提高，并不会造成严重的掉线或是大范围掉线。

　　这种ARP攻击的防范方式是以ARP ECHO指令方式应对，可以解决只是为了盗宝为目的传统ARP攻击。对于整体网络不会有影响。互联网上可以很容易找到相关的信息。

　　在ARP ECHO的解决方法提出后，ARP攻击开始进行演化。新的ARP攻击方式，使用更高频率的ARP ECHO，压过用户的ARP ECHO广播。由于发出广播包的次数太多，因此会使整个局域网变慢，或占用网关运算能力，发生内网很慢或上网卡的现象。如果严重时，通常就发生瞬断或全网掉线的情况。

　　对付这种较严重的ARP攻击，近来有不同解决方法提出，例如从路由器下载某个imf文件，更改网络堆栈，但效果有限。有些解决方式则在用户与网关间建立PPPoE联机，则配置功夫大又耗费运算能力。Qno侠诺去年10月提出的“双向绑定方式”，如今看来仍是解决ARP攻击的简单有效的手段，有效地缩小了影响层面。

　　此外，内网IP欺骗是在ARP攻击另一个变型攻击方式。攻击计算机会伪装成一样的IP，让受攻击的计算机产生IP冲突，无法上网。这种攻击，往往影响的计算机有限，而不是大规模影响。

　　内网IP欺骗采用双向绑定方式，可以有效解决。先作好绑定配置的计算机，不会受到后来的伪装计算机的影响。因此，等于一次因应ARP及内网IP欺骗解决。若是采用其它的ARP防制方法，则要采用另行的方法应对。

　　“动态智能带宽管理”防范DoS攻击

　　DoS攻击是从发出大量网络包，占用内网带宽或是路由器运算能力来进行攻击。

　　当网管发现内网很慢，Ping路由掉包，不知是那一台影响时，通常就是受到DoS攻击。很多内网攻击的原因经常是用户安装了外挂软件，变成发出攻击的计算机。有的内网攻击会自行变换IP，让网管更难找出是谁发出的网络包。

　　Qno侠诺提出内网攻击的解决方案，是从路由器判别，阻断发出网络包计算机的上网能力。因此用户会发现如果用攻击程序测试，立刻就发生掉线的情况，这就是因为被路由器认定为发出攻击计算机，自动被切断所致。正确的测试方法是用两台测试，一台发出攻击包给路由器，另一台看是否能上网。对于内网攻击，另外的解决之道是采用联防的交换机，直接把不正常计算机的实体联机切断，不过具联防能力交换器的成本较高，有时比路由器还要贵。

　　DoS的另外一种形式是外网攻击。外网攻击是从外部来的攻击，通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤，经常成为外网攻击的目标。同时又因为外网攻击常常持续变换IP，也不容易加以阻绝或追查。它的现象是看内网流量很正常，但是上网很慢或上不了;观看路由器的广域网流量，则发现下载的流量被占满，造成宽带接入不顺畅。

　　外网流量攻击，可以用联机数加以辅助判断，但是不容易解决。有些地区可以要求ISP更换IP，但经常是几天后攻击又来了。有些用户搭配多条动态IP拨接的ADSL备援，动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为，可通知ISP配合执法单位追查，但现在看起来效果并不大。

　　侠诺推出的SmartQoS功能，就是一个针对上述的需求而研发的新功能。“动态智能QoS”主要配置参数为整体对外带宽大小及单一用户最多可占用带宽大小，路由器就可进行动态的智能管理，突发的带宽需要会被允许，只有真的持续占用带宽的用户会被限制，同时又能提高路由器效能。

　　虽然配置简单，但“动态智能带宽管理”结合了联机数限制、SPI包检测、二次惩罚机制等多种先进技术来完成。其中二次惩罚机制容许内网用户短期间占用大带宽，但是若是持续占用，路由器会不断缩小其可使用的带宽，直至无法上网为止。这个机制对于新式攻击软件，可以起到有效管制的作用。

　　小结

　　以上ARP及DoS是现今常见的网吧攻击，仅供网吧技术网管参考。此外，其实很多企业也会遇到类似的攻击，企业网管也需要掌握相关的防范手段，未雨绸缪!安心度过即将到来的十一长假，让领导放心，让自己省心!