近日经常有朋友跟子明反应,他们的网吧由于遭受攻击,导致网络处于瘫痪状态,经济损失巨大。令他们苦恼的是,作为网吧业主,大多数人面对这样的情况往往都是不知所措,想解决燃眉之急,却不知从何入手,请专家无门,买防护设备短时间内又来不急,甚至恶意攻击还得请来网警协助调查。那么为什么网吧经常遭受攻击呢?攻击手段有哪些?怎样预防攻击事件发生?下面,子明就以某网吧遭遇到的情况,跟大家一起探讨“网吧的攻击与防御解决方案”
故障现象说明:
环境:某网吧采用的是无盘系统,有一台大型服务器,配以磁盘映射工作。
现象:外网可以ping通,但是有少数的丢包现象,内网机器一开到10台左右就疯狂掉线。
判断:把网吧的主交换,分交换机,路由器全都换了一遍,基本可以断定为内网攻击。以下是截取分析数据
00114 2007-12-5 20:5:43 NBR1000: %6: Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906). 00115 2007-12-5 20:17:34 NBR1000: %6: Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906). |
网吧遭受攻击的主要原因
1、恶意竞争:现在由于有些网吧生意过于红火,毕竟同行是冤家,有些人就专门雇佣一些外地人员在经过踩点后,做大量的泛洪攻击,直到服务器瘫痪掉线。
2、树大招风:有些网吧都装的有专门充游戏帐号,点卡的系统,这些网吧规模就相当大,导致黑客在网上频繁光顾。
3、架设私服:有些网吧老板自己架设游戏私服,在上面卖一些装备,因为交易上的事情,而遭人妒忌。
4、病毒泛滥:在安装系统的时候,安装盘上可能携带有病毒;或是通过移动存储介质导致客户端感染病毒,根治起来很麻烦。即便是安装了还原卡,有些新型的穿透还原类型病毒,那只有雪上加霜了。
5、木马进城:有一些icmp木马,利用小马传大马技术,在内网中把大马种植到服务器上,因为客户机一旦重新启动,所有程序都恢复到第一次安装的初始状态。过去安装的小马就没有了,只要服务器不出问题,一般都是正常运行的,很难发现隐藏的木马。
当今网吧攻击的主要来源
造成损失的攻击来源大多是专业的犯罪团伙,多数目的是牟取金钱,或是专门偷取游戏装备。
1、利用网吧vod点播系统进行入侵攻击。
网吧为了宣传自己,通常在网上下免费的电影网站代码。经简单的修改,例如换名字,改图片,甚至有些人把管理员密码都设置为888888,123456,等简单数字。如果攻击者有了admin权限想做什么不可以呢!直接在网吧内网上传个cain,抓取数据包,在计费主机上安装键盘记录器,交易帐号看的清清楚楚。更何况现在靠抓包就能抓到很多明文的信息、帐号、密码。
2、利用专门做DDoS生意的犯罪团伙进行攻击。如果有客户请求攻击游戏私服,价格大概在400元左右,这也是和网警联系后才知道的。只要被这些DDoS攻击者盯上,网络不死也扒层皮!还网吧通常不使用正版的软件,偷用电影服务提供商的资源,而这些服务商可不是吃素的。从最近的一次攻击调查发现,电影服务商也利用自身的带宽优势做DDoS攻击。
3、利用ARP欺骗攻击:网吧经常出现的因为ARP导致的大规模断网事件。由于经济利益的原因,现在很多盗号木马,都包含ARP欺骗的功能,进行了欺骗后,网吧内的网络游戏,QQ等的登陆信息都将发送到这台染毒的主机,病毒只需进行数据的收集,就可以盗取这些信息。
在浏览器中弹出hxxp://16a.us/2.js,就是为了在局域网中传播其他恶意代码,这可能无法攻击有较好防御、漏洞较少的、访问量大的门户网站。但可以攻击与其服务器处在同一局域网内的主机、散布具有ARP欺骗功能的病毒,通过此种方式,并不需要修改网页服务器上的页面内容,只需要在正常的数据包传输中修改里面的数据,就可以使访问这些网站的主机,感染病毒。若处在同一局域网的一台服务器中毒,就会使得该服务器所在的整个局域网内传输的数据包都被修改,服务器越多影响越大。
4、病毒作恶,很多网吧的网络中都有病毒,而且最新型的病毒总是通过网吧传播,最近爆发的机器狗病毒就是一个十分狠毒的病毒,竟然能穿透还原卡,把病毒驻留在内存里面。还有其他类型的病毒,这些导致网络变慢,客户端运行不正常,甚至网络瘫痪的重要原因。
网吧攻击与防范解决
针对vod点播系统的攻击,只需对电影网站代码做详细修改,并加强管理员帐号即可降低由此攻击带来的风险。需要专业的防DDoS设备来防止恶意攻击,病毒是无法避免的,这需要网吧业主加强安全管理并提高安全防范意识才能最大程度降低风险,以减小损失。其实最头痛的是ARP欺骗攻击带来的危害,因为受害网吧基本上都遭受过ARP欺骗攻击。下面子明就介绍一下如何针对ARP欺骗攻击进行防御,由于网上ARP原理的文章多如牛毛,这里子明也不再叙述,只把处理流程和安全建议与大家分享一下:
处理流程:
1、检测ARP病毒主机,定位毒源机,并断网处理该机问题。
2、对全网主机进行病毒,恶意代码及木马的查杀,尽量做到不留死角。
3、从新分配ARP表,并尽量采用静态的方式配置,不要使用动态ARP。
安全建议:
1、在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
2、安装微软所有安全更新补丁,包括所有的客户端和服务器,以免感染网页木马。
3、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
4、做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
5、部署企业级的杀毒软件,定期升级病毒库,定期全网杀毒。