安全專家談4大經(jīng)常見網(wǎng)絡(luò)攻擊防治方法

由于最近天氣悶熱連連， 各地還不斷出現(xiàn)不同情況的災(zāi)情， 更加增添了人們心頭的煩燥。 Qno俠諾技術(shù)服務(wù)部最近則發(fā)現(xiàn)， 很多用戶寬帶接入持續(xù)遭受攻擊影響。 同時， 不僅是以前常受到攻擊的網(wǎng)吧， 很多企業(yè)遭受到攻擊影響的案例， 也越來越多。 安全專家根據(jù)實戰(zhàn)服務(wù)經(jīng)驗總結(jié)最近攻擊案例狀況， 與讀者及用戶分享。

　　最近常發(fā)生的攻擊， 可分為四大類別， 分別為：ARP攻擊、內(nèi)網(wǎng)IP欺騙、內(nèi)網(wǎng)攻擊、及外網(wǎng)流量攻擊四種不同型式。 以下針對不同攻擊現(xiàn)象及解決方式， 作簡單的說明， 讓企業(yè)與網(wǎng)吧的網(wǎng)管們， 能夠得到全面性的了解， 進(jìn)提高防范意識， 以便能夠更好的為單位服務(wù)！

　　· ARP攻擊

　　ARP攻擊自2006年起， 就開始普及。 一開始ARP攻擊是偽裝成網(wǎng)關(guān)IP， 轉(zhuǎn)發(fā)訊息， 盜取用戶名及密碼， 不會造成掉線。 早期的ARP攻擊， 只會造成封包的遺失， 或是Ping值提高， 并不會造成嚴(yán)重的掉線或是大范圍掉線。

　　在這個階段， 防制的措施是以ARP ECHO指令方式， 可以解決只是為了盜寶為目的傳統(tǒng)ARP攻擊。 對于整體網(wǎng)絡(luò)不會有影響。

　　但是在ARP ECHO的解決方法提出后， ARP攻擊出現(xiàn)變本加厲的演變。 新的攻擊方式， 使用更高頻率的ARP ECHO， 壓過用戶的ARP ECHO廣播。 由于發(fā)出廣播包的次數(shù)太多， 因此會使整個局域網(wǎng)變慢， 或占用網(wǎng)關(guān)運算能力， 發(fā)生內(nèi)網(wǎng)很慢或上網(wǎng)卡的現(xiàn)象。 如果嚴(yán)重時， 經(jīng)常發(fā)生瞬斷或全網(wǎng)掉線的情況。

　　要解決這種較嚴(yán)重的ARP攻擊， 到現(xiàn)在為止最簡單有效的方法仍屬于雙向綁定方式， 可以有效地縮小影響層面。 近來有不同解決方法提出， 例如從路由器下載某個imf文件， 更改網(wǎng)絡(luò)堆棧， 但效果有限。 有些解決方式則在用戶與網(wǎng)關(guān)間建立PPPoE聯(lián)機， 不但配置功夫大， 還耗費運算能力。 雖然方法不但， 大致都可以防制ARP的攻擊。

　　· 內(nèi)網(wǎng)IP欺騙

　　內(nèi)網(wǎng)IP欺騙是在ARP攻擊普及后， 另一個緊隨出現(xiàn)的攻擊方式。 攻擊計算機會偽裝成一樣的IP， 讓受攻擊的計算機產(chǎn)生IP沖突， 無法上網(wǎng)。 這種攻擊現(xiàn)象， 通常影響的計算機有限， 不致出現(xiàn)大規(guī)模影響。

　　內(nèi)網(wǎng)IP欺騙采用雙向綁定方式， 可以有效解決。 先作好綁定配置的計算機， 不會受到后來的偽裝計算機的影響。 因此， 等于一次防制ARP及內(nèi)網(wǎng)IP欺騙解決。 若是采用其它的ARP防制方法， 則要采用另外的方法來應(yīng)對。

　　· 內(nèi)網(wǎng)攻擊

　　內(nèi)網(wǎng)攻擊是從內(nèi)網(wǎng)計算機發(fā)出大量網(wǎng)絡(luò)包， 占用內(nèi)網(wǎng)帶寬。 網(wǎng)管會發(fā)現(xiàn)內(nèi)網(wǎng)很慢， Ping路由掉包， 不知是那一臺影響的。 內(nèi)網(wǎng)攻擊通常是用戶安裝了外掛， 變成發(fā)出攻擊的計算機。 有的內(nèi)網(wǎng)攻擊會自行變換IP， 讓網(wǎng)管更難找出是誰發(fā)出的網(wǎng)絡(luò)包。

　　Qno俠諾安全專家對于內(nèi)網(wǎng)攻擊的解決方案， 是從路由器判別， 阻斷發(fā)出網(wǎng)絡(luò)包計算機的上網(wǎng)能力。 因此用戶會發(fā)現(xiàn)如果用攻擊程序測試， 立刻就發(fā)生掉線的情況， 這就是因為被路由器認(rèn)定為發(fā)出攻擊計算機， 自動被切斷所致。 正確的測試方法是用兩臺測試， 一臺發(fā)出攻擊包給路由器， 另一臺看是否能上網(wǎng)。 對于內(nèi)網(wǎng)攻擊， 另外的防制措施是采用聯(lián)防的交換機， 直接把不正常計算機的實體聯(lián)機切斷， 不過具備聯(lián)防能力交換機的成本較高， 甚至比路由器還貴。

　　· 外網(wǎng)流量攻擊

　　外網(wǎng)攻擊是從外部來的攻擊， 通常發(fā)生在使用固定IP的用戶。 很多網(wǎng)吧因為使用固定IP的光纖， 很容易就成為外網(wǎng)攻擊的目標(biāo)。 同時又因為外網(wǎng)攻擊經(jīng)常持續(xù)變換IP， 也不容易加以阻絕或追查。 它的現(xiàn)象是看內(nèi)網(wǎng)流量很正常， 但是上網(wǎng)很慢或上不了；觀看路由器的廣域網(wǎng)流量， 則發(fā)現(xiàn)下載的流量被占滿， 造成寬帶接入不順暢。

　　外網(wǎng)流量攻擊， 可以用聯(lián)機數(shù)加以輔助判斷， 但是不容易解決。 有些地區(qū)可以要求ISP更換IP， 但過幾天后， 就又來攻擊了。 有些用戶搭配多條動態(tài)IP撥接的ADSL備援， 動態(tài)IP就較不易成為攻擊的目標(biāo)。 外網(wǎng)流量攻擊屬于犯法行為， 可通知ISP配合執(zhí)法單位追查， 但現(xiàn)在看起來效果并不大。 Qno俠諾也曾呼御相關(guān)主管單位加以重視， 但并沒有較好的響應(yīng)。 外網(wǎng)流量攻擊成為現(xiàn)在是最難處理的攻擊。

　　· 小結(jié)

　　以上是我們整理的最近常見的攻擊及解決之道， 供網(wǎng)吧及企業(yè)網(wǎng)管參考。 其實只要靜下心來， 按照以上說明， 尋找相關(guān)的現(xiàn)象， 找出原因， 網(wǎng)絡(luò)攻擊并不是不能解決的。 Qno俠諾及其它廠商都推出各種解決方案， 用戶稍用心就可以進(jìn)行防制措施。