网吧遭受进击启事剖析及防御处理计划.docVIP

网吧遭受攻击原因分析及防御解决方案 来源：5636 HYPERLINK / 网吧增值联盟 近日经常有朋友跟笔者反应，他们的网吧由于遭受攻击，导致网络处于瘫痪状态，经济损失巨大。令他们苦恼的是，作为网吧业主，大多数人面对这样的情况往往都是不知所措，想解决燃眉之急，却不知从何入手，请专家无门，买防护设备短时间内又来不急，甚至恶意攻击还得请来网警协助调查。那么为什么网吧经常遭受攻击呢？攻击手段有哪些？怎样预防攻击事件发生？下面，笔者就以某网吧遭遇到的情况，跟大家一起探讨“网吧的攻击与防御解决方案” 故障现象说明： 环境：某网吧采用的是无盘系统，有一台大型服务器，配以磁盘映射工作。 现象：外网可以ping通，但是有少数的丢包现象，内网机器一开到10台左右就疯狂掉线。 判断：把网吧的主交换，分交换机，路由器全都换了一遍，基本可以断定为内网攻击。以下是截取分析数据 00114 2012-12-5 20:5:43 NBR1000: ％6: Arp spoofing:44(001d.0f21.9a95)-(00e0.4d46.b906). 00115 2012-12-5 20:17:34 NBR1000: ％6: Arp spoofing:44(001d.0f21.9a95)-(00e0.4d46.b906). 网吧遭受攻击的主要原因 1、恶意竞争：现在由于有些网吧生意过于红火，毕竟同行是冤家，有些人就专门雇佣一些外地人员在经过踩点后，做大量的泛洪攻击，直到服务器瘫痪掉线。 2、树大招风：有些网吧都装的有专门充游戏帐号，点卡的系统，这些网吧规模就相当大，导致黑客在网上频繁光顾。 3、架设私服：有些网吧老板自己架设游戏私服，在上面卖一些装备，因为交易上的事情，而遭人妒忌。 4、病毒泛滥：在安装系统的时候，安装盘上可能携带有病毒；或是通过移动存储介质导致客户端感染病毒，根治起来很麻烦。即便是安装了还原卡，有些新型的穿透还原类型病毒，那只有雪上加霜了。 5、木马进城：有一些icmp木马，利用小马传大马技术，在内网中把大马种植到服务器上，因为客户机一旦重新启动，所有程序都恢复到第一次安装的初始状态。过去安装的小马就没有了，只要服务器不出问题，一般都是正常运行的，很难发现隐藏的木马。 当今网吧攻击的主要来源造成损失的攻击来源大多是专业的犯罪团伙，多数目的是牟取金钱，或是专门偷取游戏装备。 1、利用网吧vod点播系统进行入侵攻击。 网吧为了宣传自己，通常在网上下免费的电影网站代码。经简单的修改，例如换名字，改图片，甚至有些人把管理员密码都设置为888888，123456，等简单数字。如果攻击者有了admin权限想做什么不可以呢！直接在网吧内网上传个cain，抓取数据包，在计费主机上安装键盘记录器，交易帐号看的清清楚楚。更何况现在靠抓包就能抓到很多明文的信息、帐号、密码。 2、利用专门做DDoS生意的犯罪团伙进行攻击。如果有客户请求攻击游戏私服，价格大概在600---1000元，这也是和网警联系后才知道的。只要被这些DDoS攻击者盯上，网络不死也扒层皮！还网吧通常不使用正版的软件，偷用电影服务提供商的资源，而这些服务商可不是吃素的。从最近的一次攻击调查发现，电影服务商也利用自身的带宽优势做DDoS攻击。 3、利用ARP欺骗攻击：网吧经常出现的因为ARP导致的大规模断网事件。由于经济利益的原因，现在很多盗号木马，都包含ARP欺骗的功能，进行了欺骗后，网吧内的网络游戏，QQ等的登陆信息都将发送到这台染毒的主机，病毒只需进行数据的收集，就可以盗取这些信息。 在浏览器中弹出不明网站，就是为了在局域网中传播其他恶意代码，这可能无法攻击有较好防御、漏洞较少的、访问量大的门户网站。但可以攻击与其服务器处在同一局域网内的主机、散布具有ARP欺骗功能的病毒，通过此种方式，并不需要修改网页服务器上的页面内容，只需要在正常的数据包传输中修改里面的数据，就可以使访问这些网站的主机，感染病毒。若处在同一局域网的一台服务器中毒，就会使得该服务器所在的整个局域网内传输的数据包都被修改，服务器越多影响越大。 4、病毒作恶，很多网吧的网络中都有病毒，而且必威体育精装版型的病毒总是通过网吧传播，最近爆发的机器狗病毒就是一个十分狠毒的病毒，竟然能穿透还原卡，把病毒驻留在内存里面。还有其他类型的病毒，这些导致网络变慢，客户端运行不正常，甚至网络瘫痪的重要原因。 网吧攻击与防范解决 针对vod点播系统的攻击，只需对电影网站代码做详细修改，并加强管理员帐号即可降低由此攻击带来的风险。需要专业的防DDoS设备来防止恶意攻击，病毒是无法避免的，这需