網(wǎng)吧的攻擊與安全防護(hù)建議

近日經(jīng)常有朋友跟子明反應(yīng)，他們的網(wǎng)吧由于遭受攻擊，導(dǎo)致網(wǎng)絡(luò)處于癱瘓狀態(tài)，經(jīng)濟(jì)損失巨大。令他們苦惱的是，作為網(wǎng)吧業(yè)主，大多數(shù)人面對(duì)這樣的情況往往都是不知所措，想解決燃眉之急，卻不知從何入手，請(qǐng)專家無(wú)門，買防護(hù)設(shè)備短時(shí)間內(nèi)又來(lái)不急，甚至惡意攻擊還得請(qǐng)來(lái)網(wǎng)警協(xié)助調(diào)查。那么為什么網(wǎng)吧經(jīng)常遭受攻擊呢？攻擊手段有哪些？怎樣預(yù)防攻擊事件發(fā)生？下面，子明就以某網(wǎng)吧遭遇到的情況，跟大家一起探討“網(wǎng)吧的攻擊與防御解決方案”
    故障現(xiàn)象說(shuō)明：
    環(huán)境：某網(wǎng)吧采用的是無(wú)盤系統(tǒng)，有一臺(tái)大型服務(wù)器，配以磁盤映射工作。
    現(xiàn)象：外網(wǎng)可以ping通，但是有少數(shù)的丟包現(xiàn)象，內(nèi)網(wǎng)機(jī)器一開(kāi)到10臺(tái)左右就瘋狂掉線
    判斷：把網(wǎng)吧的主交換，分交換機(jī)，路由器全都換了一遍，基本可以斷定為內(nèi)網(wǎng)攻擊。以下是截取分析數(shù)據(jù)
    00114 2007-12-5 20:5:43
    NBR1000: %6:
    Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).
    00115 2007-12-5 20:17:34
    NBR1000: %6:
    Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).
    網(wǎng)吧遭受攻擊的主要原因
    1、惡意競(jìng)爭(zhēng)
    現(xiàn)在由于有些網(wǎng)吧生意過(guò)于紅火，畢竟同行是冤家，有些人就專門雇傭一些外地人員在經(jīng)過(guò)踩點(diǎn)后，做大量的泛洪攻擊，直到服務(wù)器癱瘓掉線。
    2、樹(shù)大招風(fēng)
    有些網(wǎng)吧都裝的有專門充游戲帳號(hào)，點(diǎn)卡的系統(tǒng)，這些網(wǎng)吧規(guī)模就相當(dāng)大，導(dǎo)致黑客在網(wǎng)上頻繁光顧。
    3、架設(shè)*
    有些網(wǎng)吧老板自己架設(shè)游戲*，在上面賣一些裝備，因?yàn)榻灰咨系氖虑?，而遭人妒忌?BR>    4、病毒泛濫
    在安裝系統(tǒng)的時(shí)候，安裝盤上可能攜帶有病毒；或是通過(guò)移動(dòng)存儲(chǔ)介質(zhì)導(dǎo)致客戶端感染病毒，根治起來(lái)很麻煩。即便是安裝了還原卡，有些新型的穿透還原類型病毒，那只有雪上加霜了。
    5、木馬進(jìn)城
    有一些icmp木馬，利用小馬傳大馬技術(shù)，在內(nèi)網(wǎng)中把大馬種植到服務(wù)器上，因?yàn)榭蛻魴C(jī)一旦重新啟動(dòng)，所有程序都恢復(fù)到第一次安裝的初始狀態(tài)。過(guò)去安裝的小馬就沒(méi)有了，只要服務(wù)器不出問(wèn)題，一般都是正常運(yùn)行的，很難發(fā)現(xiàn)隱藏的木馬。
    當(dāng)今網(wǎng)吧攻擊的主要來(lái)源
    造成損失的攻擊來(lái)源大多是專業(yè)的犯罪團(tuán)伙，多數(shù)目的是牟取金錢，或是專門偷取游戲裝備。
    1、利用網(wǎng)吧vod點(diǎn)播系統(tǒng)進(jìn)行入侵攻擊
    網(wǎng)吧為了宣傳自己，通常在網(wǎng)上下免費(fèi)的電影網(wǎng)站代碼。經(jīng)簡(jiǎn)單的修改，例如換名字，改圖片，甚至有些人把管理員密碼都設(shè)置為888888，123456，等簡(jiǎn)單數(shù)字。如果攻擊者有了admin權(quán)限想做什么不可以呢！直接在網(wǎng)吧內(nèi)網(wǎng)上傳個(gè)cain，抓取數(shù)據(jù)包，在計(jì)費(fèi)主機(jī)上安裝鍵盤記錄器，交易帳號(hào)看的清清楚楚。更何況現(xiàn)在靠抓包就能抓到很多明文的信息、帳號(hào)、密碼。
    2、利用專門做DDoS生意的犯罪團(tuán)伙進(jìn)行攻擊
    如果有客戶請(qǐng)求攻擊游戲*，價(jià)格大概在400元左右，這也是和網(wǎng)警聯(lián)系后才知道的。只要被這些DDoS攻擊者盯上，網(wǎng)絡(luò)不死也扒層皮！還網(wǎng)吧通常不使用正版的軟件，偷用電影服務(wù)提供商的資源，而這些服務(wù)商可不是吃素的。從最近的一次攻擊調(diào)查發(fā)現(xiàn)，電影服務(wù)商也利用自身的帶寬優(yōu)勢(shì)做DDoS攻擊。
    3、利用ARP欺騙攻擊
    網(wǎng)吧經(jīng)常出現(xiàn)的因?yàn)锳RP導(dǎo)致的大規(guī)模斷網(wǎng)事件。由于經(jīng)濟(jì)利益的原因，現(xiàn)在很多盜號(hào)木馬，都包含ARP欺騙的功能，進(jìn)行了欺騙后，網(wǎng)吧內(nèi)的網(wǎng)絡(luò)游戲，QQ等的登陸信息都將發(fā)送到這臺(tái)染毒的主機(jī)，病毒只需進(jìn)行數(shù)據(jù)的收集，就可以盜取這些信息。
    在瀏覽器中彈出hxxp://16a.us/2.js，就是為了在局域網(wǎng)中傳播其他惡意代碼，這可能無(wú)法攻擊有較好防御、漏洞較少的、訪問(wèn)量大的門戶網(wǎng)站。但可以攻擊與其服務(wù)器處在同一局域網(wǎng)內(nèi)的主機(jī)、散布具有ARP欺騙功能的病毒，通過(guò)此種方式，并不需要修改網(wǎng)頁(yè)服務(wù)器上的頁(yè)面內(nèi)容，只需要在正常的數(shù)據(jù)包傳輸中修改里面的數(shù)據(jù)，就可以使訪問(wèn)這些網(wǎng)站的主機(jī)，感染病毒。若處在同一局域網(wǎng)的一臺(tái)服務(wù)器中毒，就會(huì)使得該服務(wù)器所在的整個(gè)局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)包都被修改，服務(wù)器越多影響越大。
    4、病毒作惡
    很多網(wǎng)吧的網(wǎng)絡(luò)中都有病毒，而且最新型的病毒總是通過(guò)網(wǎng)吧傳播，最近爆發(fā)的機(jī)器狗病毒就是一個(gè)十分狠毒的病毒，竟然能穿透還原卡，把病毒駐留在內(nèi)存里面。還有其他類型的病毒，這些導(dǎo)致網(wǎng)絡(luò)變慢，客戶端運(yùn)行不正常，甚至網(wǎng)絡(luò)癱瘓的重要原因。
    網(wǎng)吧攻擊與防范解決
    針對(duì)vod點(diǎn)播系統(tǒng)的攻擊，只需對(duì)電影網(wǎng)站代碼做詳細(xì)修改，并加強(qiáng)管理員帳號(hào)即可降低由此攻擊帶來(lái)的風(fēng)險(xiǎn)。需要專業(yè)的防DDoS設(shè)備來(lái)防止惡意攻擊，病毒是無(wú)法避免的，這需要網(wǎng)吧業(yè)主加強(qiáng)安全管理并提高安全防范意識(shí)才能程度降低風(fēng)險(xiǎn)，以減小損失。其實(shí)最頭痛的是ARP欺騙攻擊帶來(lái)的危害，因?yàn)槭芎W(wǎng)吧基本上都遭受過(guò)ARP欺騙攻擊。下面子明就介紹一下如何針對(duì)ARP欺騙攻擊進(jìn)行防御，由于網(wǎng)上ARP原理的文章多如牛毛，這里子明也不再敘述，只把處理流程和安全建議與大家分享一下：
    處理流程：
    1、檢測(cè)ARP病毒主機(jī)，定位毒源機(jī)，并斷網(wǎng)處理該機(jī)問(wèn)題。
    2、對(duì)主機(jī)進(jìn)行病毒，惡意代碼及木馬的查殺，盡量做到不留死角。
    3、從新分配ARP表，并盡量采用靜態(tài)的方式配置，不要使用動(dòng)態(tài)ARP。
    安全建議：
    1、在網(wǎng)絡(luò)正常時(shí)候保存好的IP—MAC地址對(duì)照表，這樣在查找ARP中毒電腦時(shí)很方便。
    2、安裝微軟所有安全更新補(bǔ)丁，包括所有的客戶端和服務(wù)器，以免感染網(wǎng)頁(yè)木馬。
    3、部署網(wǎng)絡(luò)流量檢測(cè)設(shè)備，時(shí)刻監(jiān)視的ARP廣播包，查看其MAC地址是否正確。
    4、做好IP—MAC地址的綁定工作，對(duì)于從這個(gè)IP地址發(fā)送的報(bào)文，如果其MAC地址不是指定關(guān)系對(duì)中的地址，予以丟棄。
    5、部署企業(yè)級(jí)的殺毒軟件，定期升級(jí)病毒庫(kù)，定期殺毒。