【原創文章,賽迪專稿,合作網站如欲轉載,請註明出處“賽迪網”!謝絕非合作網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
每年十一長假,都是一個愉快而繁忙的節日。尤其是節前,大家的心早都飛向了大自然,但是,節前的各項工作也是異常繁忙。當然還有服務行業,節日期間生意更是紅火,比如說網吧和酒店。
假期期間網吧的生意繁忙,是賺錢的好時機。幾個營業天,可能抵得上一個月的收入,也算得上是網吧老闆的黃金周熱門時段。但是,忙中有亂,也會有一些不良企圖的人,利用網路攻擊影響競爭者網吧,希望把客人帶到自己的網吧來。
從Qno俠諾技術服務的近期統計發現,近來最常見的攻擊仍是ARP及DoS。網路管理人員如能夠了解這兩種常見攻擊的現象及預防之道,在長假期間如果遭遇到相關情況,會比較迅速地進行處理。
為確保網路安全,節前提早準備好應對措施,是認真工作好網管的必做工作之一。本文將一一向讀者介紹針對最新ARP、DoS攻擊而進行的防範措施,幫助認真工作的網管員,安心度過黃金周。
一、 “雙向綁定”輕鬆應對ARP攻擊
簡單的ARP攻擊是偽裝成網關IP,轉發訊息,盜取用戶名及密碼之用,不會造成掉線。這種ARP攻擊,只會造成封包的遺失,或是Ping值提高,並不會造成嚴重的掉線或是大範圍掉線。
這種ARP攻擊的防範方式是以ARP ECHO指令方式應對,可以解決只是為了盜寶為目的傳統ARP攻擊。對於整體網路不會有影響。互聯網上可以很容易找到相關的資訊。
在ARP ECHO的解決方法提出後,ARP攻擊開始進行演化。新的ARP攻擊方式,使用更高頻率的ARP ECHO,壓過用戶的ARP ECHO廣播。由於發出廣播包的次數太多,因此會使整個局域網變慢,或佔用網關運算能力,發生內網很慢或上網卡的現象。如果嚴重時,通常就發生瞬斷或全網掉線的情況。
對付這種較嚴重的ARP攻擊,近來有不同解決方法提出,例如從路由器下載某個imf文件,更改網路堆棧,但效果有限。有些解決方式則在用戶與網關間建立PPPoE連線,則配置功夫大又耗費運算能力。到現在為止最簡單有效的方法仍屬於Qno俠諾工程師2006年10月提出的“雙向綁定方式”,可以有效地縮小影響層面。不過,不同的方法大致都可以防制ARP攻擊。
此外,內網IP欺騙是在ARP攻擊另一個變型攻擊方式。攻擊電腦會偽裝成一樣的IP,讓受攻擊的電腦產生IP衝突,無法上網。這種攻擊,往往影響的電腦有限,而不是大規模影響。
內網IP欺騙採用雙向綁定方式,可以有效解決。先作好綁定配置的電腦,不會受到後來的偽裝電腦的影響。因此,等於一次因應ARP及內網IP欺騙解決。若是採用其他的ARP防制方法,則要採用另行的方法應對。
二、“動態智慧帶寬管理”防範DoS攻擊
DoS攻擊是從發出大量網路包,佔用內網帶寬或是路由器運算能力來進行攻擊。
當網管發現內網很慢,Ping路由掉包,不知是那一台影響時,通常就是受到DoS攻擊。很多內網攻擊的原因經常是用戶安裝了外挂軟體,變成發出攻擊的電腦。有的內網攻擊會自行變換IP,讓網管更難找出是誰發出的網路包。
Qno俠諾提出內網攻擊的解決方案,是從路由器判別,阻斷發出網路包電腦的上網能力。因此用戶會發現如果用攻擊程式測試,立刻就發生掉線的情況,這就是因為被路由器認定為發出攻擊電腦,自動被切斷所致。正確的測試方法是用兩台測試,一台發出攻擊包給路由器,另一台看是否能上網。對於內網攻擊,另外的解決之道是採用聯防的交換機,直接把不正常電腦的實體連線切斷,不過具聯防能力交換器的成本較高,有時比路由器還要貴。
DoS的另外一種形式是外網攻擊。外網攻擊是從外部來的攻擊,通常發生在使用固定IP的用戶。很多網吧因為使用固定IP的光纖,經常成為外網攻擊的目標。同時又因為外網攻擊常常持續變換IP,也不容易加以阻絕或追查。它的現象是看內網流量很正常,但是上網很慢或上不了;觀看路由器的廣域網流量,則發現下載的流量被佔滿,造成寬帶接入不順暢。
外網流量攻擊,可以用連線數加以輔助判斷,但是不容易解決。有些地區可以要求ISP更換IP,但經常是幾天后攻擊又來了。有些用戶搭配多條動態IP撥接的ADSL備援,動態IP就較不易成為攻擊的目標。外網流量攻擊屬於犯法行為,可通知ISP配合執法單位追查,但現在看起來效果並不大。Qno俠諾也曾呼禦有關主管單位加以重視,但並沒有較好的響應。這現在是最難處理的攻擊。
Qno俠諾推出的SmartQoS功能,就是一個針對前述的需求而研發的新功能。“動態智慧QoS”主要配置參數為整體對外帶寬大小及單一用戶最多可佔用帶寬大小,路由器就可進行動態的智慧管理,突發的帶寬需要會被允許,只有真的持續佔用帶寬的用戶會被限制,同時又能提高路由器效能。
雖然配置簡單,但“動態智慧帶寬管理”結合了連線數限制、SPI包檢測、二次懲罰機制等多种先進技術來完成。其中二次懲罰機制也為Qno俠諾首先提出的概念,它容許內網用戶短期間佔用大帶寬,但是若是持續佔用,路由器會不斷縮小其可使用的帶寬,直至無法上網為止。這個機制對於新式攻擊軟體,可以起到有效管制的作用。
三、小結
以上ARP及DoS是現今常見的網吧攻擊,僅供網吧技術網管參考。此外,其實很多企業也會遇到類似的攻擊,企業網管也需要掌握相關的防範手段,未雨綢繆!安心度過十一長假,讓領導放心,讓自己省心!(責任編輯:李磊)
