hhslm 发表于 2007-4-28 18:47:04

大家看一下下面的贴子,说说他的防止内网DOS的方法可行不?

大家看一下下面的贴子,说说他的防止内网DOS的方法可行不?如果可行在ROS上应该怎么做??


诸葛亮帮网管彻底分析病毒,ARP,等DOS攻击,保证网吧不吊线,通俗易懂

先从基础解释下病毒怎么产生的!

1.电脑中毒----打开带病毒代码的网页+运行感染的EXE文件(包括什么熊猫 带ARP2007,甚至以后新病毒原理都一样)

电脑中毒顺序----系统中毒增加不明进程-----然后感染其他盘的EXE文件(所以还原C盘以后,其他游戏盘EXE还是没清除)

解决方法----系统有还原直接重起后删除其他盘的EXE文件,或者到下载江民威金专杀,查杀一遍(切记,这些操作一定要在系统干净无病毒进程情况下执行,有些病毒进程不容易察觉,甚至就是系统自带的svchost,这些要靠自己察觉)

如果服务器共享那些EXE感染了, 首先保证没有乱动带病毒的EXE,然后看看进程,无可以进程的话,直接用江民威金专杀就可搞定,系统都不用还原.      

为什么那么病毒传播那么快?? 其实都是利用EXE文件互相传播, 厉害的病毒比如,以前W32,现在威金,熊猫都是一个原理,    那些木马啊,盗号的小病毒这类的, 由于感染不了其他盘EXE.所以在网吧和家里不容易察觉,大不了就重起,打不了就还原系统! 造成不了网络瘫痪,影响不了营业.

2 现在说吊线,ARP和DOS内网外网攻击(DOS攻击就是利用UDP TCP ICMP等循环大量发包,造成网络瘫痪,它可以向单台机器发包,也可以向路由大量发包)

ARP       先说ARP,有人说双绑定可以解决,有人说不可以解决,事实是怎么样的呢????????????

ARP用我的话来说,就是      伪造MAC和IP地址(包括伪造路由的MAC和IP)

如果没有绑定ARP(就是没有在路由上绑定每台机器的MAC和IP)严重点,全网吧吊线,PING路由不通,到CMD里面输入 ARP- A 你会发现,本来一直192.1.0.1路由的MAC改变了,所以在我无数查资料和实践中, 发现什么3绑4绑都是搞笑,其实只要在路由绑定了所有机器的MAC和IP就可以了,什么修改SYSTEM32里面几个文件啊,都是画蛇添足,没用 . 现在肯定反对的人说了,绑定MAC和IP没用啊,我4绑都出现问题,还是吊线,请接着看下面------DOS攻击!!!!!!!!!!!(第一次在路由上绑定全部机器,绑错了,那些中了ARP的机器MAC都一样,路由日志都记录了这一切,所以绑MAC一定要绑对)

现在讲DOS内网外网攻击 ,         有人说解决ARP这么简单,绑定就可以了.为什么现在还有新ARP? ARP2007 ? 为什么我这里还吊线..    因为很简单,这些都是DOS攻击~~       (这种病毒带了DOS攻击,现在编程病毒的人越来越聪明了,不但要你系统中毒,EXE文件中毒,还编辑循环发包,攻击其他机器,攻击路由,导致你机器到处IP中突,路由瘫痪.)

假设我现在一台路由二台机器, 一台机器中了这种带DOS攻击的病毒,如果它攻击二号机器,那我另外二号机器就会右下角显示IP冲突, 路由日志显示这台机器不正常!!!!!!   假设它一直在发包,就算你认为很强悍的路由,也会在几个小时后瘫痪,如果你重起路由或者重起中毒的机器,这种DOS攻击就会停止,所以你要解决这台机器,清楚病毒.

有人说我管理的机器有几百台,肯定不能保证,每台绝对不中毒,那不是网吧总会吊线. 解决的方法就是正确设置DOS攻击防范......事实上很多路由都有DOS攻击防范,就算ROS也可以去找到策略,

我这里设置TCP UDP 每秒超过2000秒,自动过滤. 我找台带DOS攻击的病源做实验,它发包超过我设定的这个数字, 我路由就直接过滤掉它, 这台机器最直接的症状就是上不了网,发不了包(开DOS防范,一定要打开系统流量,就是可以查看路由整个网络的系统流量,而且要设置自动刷新)以后网管就会告诉你哪台机器上不了网, 你就会发现那台机器EXE都中满了毒..

外网: 其实网吧吊线不关外网的事,主要都是内网发包过大,导致路由瘫痪,只要在网络上隐藏本网吧IP地址就可以了,   就连我们郴州电信DNS61.187.191.3现在都隐藏起来,禁止外网PING , 哈哈连电信也禁PING了....

现在大家知道了什么是病毒,什么是ARP(伪造MAC和IP地址才叫ARP,其他的不关它的事).什么叫DOS攻击了吧,我想大家他们原理也怎么防范了.

最后终结下, 绑定MAC可解决ARP,那些什么ARP2007其实都是DOS攻击,到路由用策略可解决DOS攻击, 多看路由日志(就是记录路由可疑情况)保证你们网络运行正常,保证不掉线.   

成波在没?


我以TPLIN480为图,DOS防范

TechNet 发表于 2007-4-28 19:03:20

如果客户机为win xp sp2就好办,这个版本的操作系统有并发连接数限制,如果内网的机器数量不是很多的话,dos攻击,ros可以应付过来的。恩,这是我个人的意见,见笑了,哈哈

[ 本帖最后由 TechNet 于 2007-4-28 19:09 编辑 ]

9939781 发表于 2007-4-28 19:32:34

UDP攻击限制不住

hhslm 发表于 2007-4-28 20:21:48

那上面那个帖子说的方法怎么实现?

9939781 发表于 2007-4-28 23:06:22

其实还是在客户系统上解决比较好

ssgao934 发表于 2007-4-28 23:55:19

对啊ROS的大大们看一下~~

tpy372 发表于 2007-4-29 03:10:04

防止ddos只能在客户机上做文章...
路由只能做些策略或规则减少被d的伤害程度或机会,防止是不可能的.

hhslm 发表于 2007-4-30 20:27:08

怎么弄?大家看看
页: [1]
查看完整版本: 大家看一下下面的贴子,说说他的防止内网DOS的方法可行不?