最近两个月,全国的网吧都出现了典型性断网的现象,表现为短时间内断网(全部断网或是部分断网)。网络不稳定,大部分问题的起源都是由病毒引起的。现在已经开学了,很多院校附近的网吧将重新迎来客流高峰。大大小小的网吧老板们,心里的日子并不好过。
全国性网吧问题
石家庄网络王网吧一直以来都为断线事件而头疼,广东的中山康健网吧也遇到同样的问题。根据他们介绍,这是一起全国性事件,各地网吧都存在这种状况,主要是ARP攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。
一个小小的ARP在短时间内疯狂地搅乱了全国地网吧网络环境。这一段时间以来,全国大大小小的网吧老板们一直饱受这种痛苦的煎熬,上网老断线,客源开始日渐流失,生意也一天不如一天。
石家庄网络王网吧技术经理赵磊说,我们调查过,发生ARP病毒攻击这种问题主要原因是传奇游戏引起的,特别发生在私服外挂等方面。该病毒主要目的在于破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户账号信息。
据宏昌网络科技有限公司经理杨晓宇分析,由于网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,用来提高通信速度。
目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。
在掉线重启路由器后,ARP缓存表会自动刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又重新出现断网现象,如此反复。很容易被误断为路由器“死机”,从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。
ARP“堵”死路由
根据拥有十年局域网管理经验的赵磊判断,还有一个原因是因为MAC地址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,就会造成全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。
杨晓宇说,就这种情况而言,如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以网吧在选择路由器的时候,最好看看路由器是否带有防ARP病毒攻击的功能。
对于已经中了ARP攻击的内网,就需要找到攻击源。通过对照网关的MAC地址是否和路由器真实的MAC相同。如果不是,则查找这个MAC地址所对应的PC,查出来的PC就是攻击源。
实际上,ARP协议靠维持在内存中保存的一张表来使IP得以在网络上被目标机器进行应答。所以,在局域网中的某台终端,反复向其他机器特别是向网关发送假冒的ARP应答信息包,就会造成严重的网络堵塞现象。
有些用户也通过路由器的解决方案,通过在路由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防范工作的,但在路由器端和PC端对IP地址与MAC地址的绑定比较复杂,需要查找每台PC机的IP地址与MAC加大了工作量,操作过程中还容易出错。
这种方法基本可以解决ARP病毒攻击对网络造成相关问题,以上方法也经过多个用户以及网吧实验,都达到了比较理想的效果。
侠诺科技市场总监张建清认为,一些比较优秀的路由器产品补需要对整个网络的IP/MAC地址进行查找,就可以在路由器端进行绑定,这样的方式比较便捷,而且安全可靠。
网吧管理不易
网吧的管理一直是一道难题,由于网吧内缺乏一整套行之有效的管理方案和相应的设备,网吧的技术主管在配置网络的过程中,每次都要靠各种复杂的操作来恢复网络的正常运行,等问题解决了,玩家早已无法忍受。
如今没有几个玩家有耐心放着正进行中的游戏或者电影等着网络被调好。而当网络出现问题的时候,要查找错误更是麻烦,技术主管只能依靠从核心交换机到接入交换机顺次拔线来判断问题到底出在哪里——纯手工的操作不仅容易漏掉错误、耗费时间长,而且还存在一定安全问题。
安全问题是网吧经营中最重要的因素,因为网吧里接待各种各样的人,遭遇各种各样的病毒、木马也就不可避免。同时,BT下载占用过多资源等问题也困扰着网吧的经营者。
锐捷网络高级产品经理项小升介绍说,一些优秀的路由器解决方案应提供丰富的智能流识别技术,以及通过硬件实现ACL(访问控制列表),形成了杜绝安全问题的“铜墙铁壁”。将DoS攻击、黑客扫描、病毒扫描等针对网吧的攻击手段被消弭于无形,包括红色代码、冲击波、Synflood等在内的危险程序。
还可以采用基于IP地址的限速,可以对保障BT与迅雷等下载软件不会影响正常的网络应用,出口带宽不会被部分机器多占用,这样既保障了大多数的正常网络应用,又不会影响到上网人群的各种活动。
为了防范ARP攻击,侠诺科技的技术工程师建议通过以下七种手段来进行控制:
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
2、网吧管理员检查局域网病毒,安装杀毒软件(江民/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。
4、给系统管理员账户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的账户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护。
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
ARP病毒攻击的典型症状
ARP的主要用途是将局域网中的IP地址转换为MAC地址,ARP协议同时对网络安全具有重要的意义,ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使内网PC机的ARP表混乱。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,对路由器进行重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用arp-命令来检查ARP表的时候发现路由器的IP和MAC被修改,这就是ARP病毒攻击的典型症状。
这种病毒的程序如PWSteal.lemir或其变种,属于木马程序/蠕虫类病毒,Windows 系列操作系统都将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的ARP表的欺骗和对内网PC网关的欺骗。
前者是先截获网关数据,再将一系列的错误的内网MAC信息不停地发送给路由器,造成路由器发出错误的MAC地址,造成正常PC无法收到信息。后者ARP攻击是伪造网关。它先建立一个假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
