一、如何防止局域网内的网络攻击

网络攻击是近来常发生的问题，可以分为遭受外网攻击及内网攻击。以下分别说明:

1、外部来的DoS攻击会造成网络掉线，判别方法是从路由器的系统日志文件中可以看出，Qno侠诺的路由器会显示遭受攻击，而且路由器持续在工作。其它品牌的路由器，有些也有相关的功能，用户可以查看使用手册。DoS病毒攻击，如SYN攻击，因为发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，达到瘫痪网吧网络对于广域网来的攻击，路由器能作的不多，也无法反击。此时，网吧管理者或网管应直接联系对应的运营商，请求更换WAN IP。

2、内网遭受DoS攻击时，也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大，并进行杀毒或重新安装系统。

3、内网遭受冲击波攻击是另一个原因，冲击波攻击，是针对网络特定服务端口(TCP/UDP 135~139，445)发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中，发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139，445)设置网络存取条例，并从被激活的防火墙日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止冲击波攻击影响扩大，并进行杀毒或重新安装系统。

4、内网遭受ARP攻击是最近常发生的原因，ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址，来达到盗取用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机，但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器，进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具，系统日志中可提供攻击源的IP或MAC地址，帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。

网络遭受攻击，可从路由器相关功能找出遭受攻击类型，网吧管理者或网管查找、直击攻击源加以隔离与排除，在攻击发起时即能迅速加以解决，无需等到客人反应受到影响。

另外网络的雍堵也可能造成掉线.
1、短暂网络壅塞，有可能是网吧内突发的带宽高峰，网吧管理员或网管应关注路由器的带宽统计，可先持续关注状况。若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽，才能让网络联机恢复正常，解决壅塞情况。

2、尖峰时段持续性壅塞，是有用户使用BT、P2P 软件进行大量下载，或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多，网吧应考虑于内网安装电影服务器供用户使用，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。

3、若是长时间从路由器看到带宽占用率高，有可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。

措施:基于路由器的防范方法
一．内部PC基于IP地址限速

现在网络应用众多，BT、电驴、迅雷、FTP、在线视频等，都是非常占用带宽，以一个200台规模的网吧为例，出口带宽为10M，每台内部PC的平均带宽为50K左右，如果有几个人在疯狂的下载，把带宽都占用了，就会影响其他人的网络速度了，另外，下载的都是大文件，IP报文最大可以达到1518个BYTE，也就是1.5k，下载应用都是大报文，在网络传输中，一般都是以数据包为单位进行传输，如果几个人在同时下载，占用大量带宽，如果这时有人在玩网络游戏，就可能会出现卡的现象。

一个基于IP地址限速的功能，可以给整个网吧内部的所有PC进行速度限制，可以分别限制上传和下载速度，既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢？和具体的出口带宽和网吧规模有关系，不过最低不要小于40K的带宽，可以设置在100-400K比较合适。

二：内部PC限制NAT的链接数量

NAT功能是在网吧中应用最广的功能，由于IP地址不足的原因，运营商提供给网吧的一般就是1个IP地址，而网吧内部有大量的PC，这么多的PC都要通过这唯一的一个IP地址进行上网，如何做到这点呢？

答案就是NAT（网络IP地址转换）。内部PC访问外网的时候，在路由器内部建立一个对应列表，列表中包含内部PCIP地址、访问的外部IP地址，内部的IP端口，访问目的IP端口等信息，所以每次的ping、QQ、下载、WEB访问，都有在路由器上建立对应关系列表，如果该列表对应的网络链接有数据通讯，这些列表会一直保留在路由器中，如果没有数据通讯了，也需要20-150秒才会消失掉。（对于RG-NBR系列路由器来说，这些时间都是可以设置的）

现在有几种网络病毒，会在很短时间内，发出数以万计连续的针对不同IP的链接请求，这样路由器内部便要为这台PC建立万个以上的NAT的链接。

由于路由器上的NAT的链接是有限的，如果都被这些病毒给占用了，其他人访问网络，由于没有NAT链接的资源了，就会无法访问网络了，造成断线的现象，其实这是被网络病毒把所有的NAT资源给占用了。

针对这种情况，不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能，可以统一的对内部的PC进行设置最大的NAT的链接数量设置，也可以给每台PC进行单独限制。

同时，这些路由器还可以查看所有的NAT链接的内容，看看到底哪台PC占用的NAT链接数量最多，同时网络病毒也有一些特殊的端口，可以通过查看NAT链接具体内容，把到底哪台PC中毒了给揪出来。

三：ACL防网络病毒

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

优秀的网吧路由器应该提供功能强大的ACL功能，可以在内部网接口上限制网络报文，也可以在外部王接口上限制病毒网络报文，既可以现在出去的报文，也可以限制进来的网络报文。

四：WAN口防ping功能

以前有一个帖子，为了搞跨某个网站，只要有大量的人去ping这个网站，这个网站就会跨了，这个就是所谓的拒绝服务的攻击，用大量的无用的数据请求，让他无暇顾及正常的网络请求。

网络上的黑客在发起攻击前，都要对网络上的各个IP地址进行扫描，其中一个常见的扫描方法就是ping，如果有应答，则说明这个ip地址是活动的，就是可以攻击的，这样就会暴露了目标，同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求，也会把网吧的RG-NBR系列路由器拖跨掉。

现在多数网吧路由器都设计了一个WAN口防止ping的功能，可以简单方便的开启，所有外面过来的ping的数据报文请求，都装聋作哑，这样既不会暴露自己的目标，同时对于外部的ping攻击也是一个防范。

五：防ARP地址欺骗功能

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。

所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

这就是ARM地址欺骗，这就是造成内部PC和外部网的断线，该病毒在前一段时间特别的猖獗。针对这种情况，防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

六：负载均衡和线路备份

举例来说，如锐捷RG-NBR系列路由器全部支持VRRP热备份协议，最多可以设定2-255台的NBR路由器，同时链接2-255条宽带线路，这些NBR和宽带线路之间，实现负载均衡和线路备份，万一线路断线或者网络设备损坏，可以自动实现的备份，在线路和网络设备都正常的情况下，便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2个WAN口，如果有需要，还有一个模块扩展插槽，可以插上电口或者光接口模块，同时链接3条宽带线路，这3条宽带线路之间，可以实现负载均衡和线路备份，可以基于带宽的负载均衡，也可以对内部PC进行分组的负载均衡，还可以设置访问网通资源走网通线路，访问电信资源走电信线路的负载均衡。

二、如何防止局域网入侵

我们在电视或者电影中经常会看到这样的情景，间谍或者警察，在某户人家的电话线总线上，拉出一根电话分线，对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。

　　由于局域网中采用的是广播方式，因此在某个广播域中（往往是一个企业局域网就是一个广播域），可以监听到所有的信息报。而非法入侵者通过对信息包进行分析，就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时，都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式，他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具，号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等，也是通过网络监听来实现的。可见，网络监听是一把双刃剑，用到正处，可以帮助我们管理员工的网络行为；用的不好，则会给企业的网络安全以致命一击。

　　一、监听的工作原理。

　　要有效防止局域网的监听，则首先需要对局域网监听的工作原理有一定的了解。知己知彼，百战百胜。只有如此，才能有针对性的提出一些防范措施。

　　现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，就是某个主机A如果要发送一个主机给B，其不是一对一的发送，而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下，只有主机B才会接收这个数据包。其他主机在收到数据包的时候，看到这个数据库的目的地址跟自己不匹配，就会把数据包丢弃掉。

　　但是，若此时局域网内有台主机C，其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配，就会接收这个数据包，并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。

　　在以太网内部传输数据时，包含主机唯一标识符的物理地址（MAC地址）的帧从网卡发送到物理的线路上，如网线或者光纤。此时，发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后，这台主机的网卡会先接收这个数据包，进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话，就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话，就会把数据包交给上层进行后续的处理。在这种工作模式下，若把主机设置为监听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。

　　二、常见的防范措施。

　　1、采用加密技术，实现密文传输。

　　从上面的分析中，我们看到，若把主机设置为监听模式的话，则局域网中传输的任何数据都可以被主机所窃听。但是，若窃听者所拿到的数据是被加密过的，则其即使拿到这个数据包，也没有用处，无法解密。这就好像电影中的电报，若不知道对应的密码，则即使获得电报的信息，对他们来说，也是一无用处。

　　所以，比较常见的防范局域网监听的方法就是加密。数据经过加密之后，通过监听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。

　　现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec 有三种工作模式，一是必须强制使用，二是接收方要求，三是不采用。当某台主机A向主机B发送数据文件的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，也就是说，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，我们网络管理员之需要配置好IPSec策略之后，员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等，员工主机之间会自己进行协商，而不需要我们进行额外的控制。

　　在使用这种加密手段的时候，唯一需要注意的就是如何设置IPSec策略。也就是说，什么时候采用强制加密，说明时候采用可有可无的。若使用强制加密的情况下，一定要保证通信的双方都支持IPSec技术，否则的话，就可能会导致通信的不成功。最懒的方法，就是不管三七二十一，给企业内的所有电脑都配置IPSec策略。虽然，都会在增加一定的带宽，给网络带来一定的压力，但是，基本上，这不会对用户产生多大的直接影响。或者说，他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。

　　2、利用路由器等网络设备对网络进行物理分段。

　　我们从上面的以太网工作原理的分析中可以知道，如果销售部门的某位销售员工发送给销售经理的一份文件，会在公司整个网络内进行传送。我们若能够设计一种方案，可以让销售员工的文件直接给销售经理，或者至少只在销售部门内部的员工可以收的到的话，那么，就可以很大程度的降低由于网络监听所导致的网络安全的风险。

　　如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接，而是利用路由器进行连接的话，就可以起到很好的防范局域网监听的问题。如此时，当销售员A发信息给销售经理B的时候，若不采用路由器进行分割，则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反，若我们利用路由器来连接销售部门跟其他部门的网络，则数据包传送到路由器之后，路由器会检查数据包的目的IP地址，然后根据这个IP地址来进行转发。此时，就只有对应的IP地址网络可以收到这个数据包，而其他不相关的路由器接口就不会收到这个数据包。很明显，利用路由器进行数据报的预处理，就可以有效的减少数据包在企业网络中传播的范围，让数据包能够在最小的范围内传播。

　　不过，这个利用路由器来分段的话，有一个不好地地方，就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内，若有一台主机被设置为网络监听，则其虽然不能够监听到销售部门以外的网络，但是，对于销售部门内部的主机所发送的数据包，仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话，有路由器转发到销售部门的网络后，这个数据包仍然会到达销售部门网络内地任一主机。如此的话，只要销售网络中有一台网络主机被设置为监听，就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理，由于总经理的网段不在销售部门的网段，所以数据包不会传送给财务部门所在的网络段，则销售部门中的侦听主机就不能够侦听到这些信息了。

　　另外，采用路由器进行网络分段外，还有一个好的副作用，就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话，会给网络带来比较大的压力。相反，通过路由器进行网络分段，从而把数据包控制在一个比较小的范围之内，那么显然可以节省网络带宽，提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候，可以减少其危害性。

　　3、利用虚拟局域网实现网络分段。

　　我们不仅可以利用路由器这种网络硬件来实现网络分段。但是，这毕竟需要企业购买路由器设备。其实，我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术，就可以利用它来实现网络分段，减少网络侦听的可能性。

　　虚拟局域网的分段作用跟路由器类似，可以把企业的局域网分割成一个个的小段，让数据包在小段内传输，将以太网通信变为点到点的通信，从而可以防止大部分网络监听的入侵。

　　不过，这毕竟还是通过网络分段来防止网络监听，所以，其也有上面所说的利用路由器来实现这个需求的缺点，就是只能够减少网络监听入侵的几率。在某个网段内，仍然不能够有效避免网络监听。

　　所以，比较好的方法，笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害，特别似乎防止用户名、密码等关键信息被窃听。