|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
大家看一下下面的贴子,说说他的防止内网DOS的方法可行不?如果可行在ros上应该怎么做??
诸葛亮帮网管彻底分析病毒,ARP,等DOS攻击,保证网吧不吊线,通俗易懂
先从基础解释下病毒怎么产生的!
1. 电脑中毒----打开带病毒代码的网页+运行感染的EXE文件(包括什么熊猫 带ARP2007,甚至以后新病毒原理都一样)
电脑中毒顺序----系统中毒增加不明进程-----然后感染其他盘的EXE文件(所以还原C盘以后,其他游戏盘EXE还是没清除)
解决方法----系统有还原直接重起后删除其他盘的EXE文件,或者到下载江民威金专杀,查杀一遍(切记,这些操作一定要在系统干净无病毒进程情况下执行,有些病毒进程不容易察觉,甚至就是系统自带的svchost,这些要靠自己察觉)
如果服务器共享那些EXE感染了, 首先保证没有乱动带病毒的EXE,然后看看进程,无可以进程的话,直接用江民威金专杀就可搞定,系统都不用还原.
为什么那么病毒传播那么快?? 其实都是利用EXE文件互相传播, 厉害的病毒比如,以前W32,现在威金,熊猫都是一个原理, 那些木马啊,盗号的小病毒这类的, 由于感染不了其他盘EXE.所以在网吧和家里不容易察觉,大不了就重起,打不了就还原系统! 造成不了网络瘫痪,影响不了营业.
2 现在说吊线,ARP和DOS内网外网攻击(DOS攻击就是利用UDP TCP ICMP等循环大量发包,造成网络瘫痪,它可以向单台机器发包,也可以向路由大量发包)
ARP 先说ARP,有人说双绑定可以解决,有人说不可以解决,事实是怎么样的呢????????????
ARP用我的话来说,就是 伪造MAC和IP地址(包括伪造路由的MAC和IP)
如果没有绑定ARP(就是没有在路由上绑定每台机器的MAC和IP)严重点,全网吧吊线,PING路由不通,到CMD里面输入 ARP- A 你会发现,本来一直192.1.0.1路由的MAC改变了,所以在我无数查资料和实践中, 发现什么3绑4绑都是搞笑,其实只要在路由绑定了所有机器的MAC和IP就可以了,什么修改SYSTEM32里面几个文件啊,都是画蛇添足,没用 . 现在肯定反对的人说了,绑定MAC和IP没用啊,我4绑都出现问题,还是吊线,请接着看下面------DOS攻击!!!!!!!!!!!(第一次在路由上绑定全部机器,绑错了,那些中了ARP的机器MAC都一样,路由日志都记录了这一切,所以绑MAC一定要绑对)
现在讲DOS内网外网攻击 , 有人说解决ARP这么简单,绑定就可以了.为什么现在还有新ARP? ARP2007 ? 为什么我这里还吊线.. 因为很简单,这些都是DOS攻击~~ (这种病毒带了DOS攻击,现在编程病毒的人越来越聪明了,不但要你系统中毒,EXE文件中毒,还编辑循环发包,攻击其他机器,攻击路由,导致你机器到处IP中突,路由瘫痪.)
假设我现在一台路由二台机器, 一台机器中了这种带DOS攻击的病毒,如果它攻击二号机器,那我另外二号机器就会右下角显示IP冲突, 路由日志显示这台机器不正常!!!!!! 假设它一直在发包,就算你认为很强悍的路由,也会在几个小时后瘫痪,如果你重起路由或者重起中毒的机器,这种DOS攻击就会停止,所以你要解决这台机器,清楚病毒.
有人说我管理的机器有几百台,肯定不能保证,每台绝对不中毒,那不是网吧总会吊线. 解决的方法就是正确设置DOS攻击防范......事实上很多路由都有DOS攻击防范,就算ROS也可以去找到策略,
我这里设置TCP UDP 每秒超过2000秒,自动过滤. 我找台带DOS攻击的病源做实验,它发包超过我设定的这个数字, 我路由就直接过滤掉它, 这台机器最直接的症状就是上不了网,发不了包(开DOS防范,一定要打开系统流量,就是可以查看路由整个网络的系统流量,而且要设置自动刷新) 以后网管就会告诉你哪台机器上不了网, 你就会发现那台机器EXE都中满了毒..
外网: 其实网吧吊线不关外网的事,主要都是内网发包过大,导致路由瘫痪,只要在网络上隐藏本网吧IP地址就可以了, 就连我们郴州电信DNS 61.187.191.3 现在都隐藏起来,禁止外网PING , 哈哈连电信也禁PING了....
现在大家知道了什么是病毒,什么是ARP(伪造MAC和IP地址才叫ARP,其他的不关它的事).什么叫DOS攻击了吧, 我想大家他们原理也怎么防范了.
最后终结下, 绑定MAC可解决ARP, 那些什么ARP2007其实都是DOS攻击,到路由用策略可解决DOS攻击, 多看路由日志(就是记录路由可疑情况) 保证你们网络运行正常,保证不掉线.
成波在没?
我以TPLIN480为图,DOS防范 |
|