科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道助力平安奥运 锐捷网络打造安全网吧

助力平安奥运 锐捷网络打造安全网吧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

锐捷网络还组织专家力量针对网吧常见的病毒和网络攻击,编辑了网络安全攻防手册,免费提供给广大网吧业主,以应对日常的网络攻击和安全事件。

作者:eNet硅谷动力 来源:eNet硅谷动力 2008年11月7日

关键字: 网吧 锐捷网络

  • 评论
  • 分享微博
  • 分享邮件

  第1章 前言

  2008 年北京奥运会的脚步愈来愈近,在这场充满无限商机的全球性体育盛会和商业盛宴面前,网吧作为国内极具特色的公共娱乐场所,将会迎来巨大的商机。我们相信,每一个网吧业主都已经开始摩拳擦掌,准备利用奥运会开展营销活动,来吸引更多的消费者。

  然而,所有的网吧业主都必须面对网络安全的挑战,这在奥运期间尤为重要。试想,外国游客正在中国网吧浏览网页,突然遭遇恶意攻击,丢失信息暂且不说,外国游客对中国网吧网络安全防范技术的信任将大打折扣,受损将是国内网吧的整体形象。

  再者,如果有人蓄意在网吧上网散步一些非法言论,实施一些网络攻击,网吧又该如何来防范呢?

  因此,奥运期间,网吧业主务必精心防范网络安全问题,让外国游客在中国的“安全网吧”里开心享受“平安奥运”。

  第2章 网络安全挑战

  2.1 多种多样的网络攻击

  案例一:病毒/木马

  灰鸽子、熊猫烧香、磁碟机……一个个新鲜的病毒不断冒出,扰乱着互联网的安宁。而在这一连串的病毒背后,是一个巨大的经济利益体。业内有种说法叫做:“一年赚一座别墅”,其经济利益可见一斑。通过网络盗窃网民的个人信息、账号、游戏装备、私人照片、私人视频、QQ号码等等以换取经济回报,成为了黑客们的盈利模式。据资料显示,黑客经济的年产值已经超过了2.38亿元人民币,造成的损失则超过76亿元。而去年,仅仅是一个熊猫烧香,一个月就为黑客获取了十多万的经济收入。而作为上网人群比较集中的网吧,则是黑客攻击的主战场。

  案例二:针对网络服务器的漏洞攻击

  年仅19岁的丁传龙在网络游戏房内泡吧成癖,对本市近郊的一家网吧的技术资料相当熟悉。去年11月至12月间,他在网络上学会了一种软件应用技术,于是数次利用该黑客软件,非法侵入该网吧主机,在不到一个月的时间里,为自己或朋友的会员卡充值金额就累积达4000余元。

  案例三:拒绝服务攻击(DDoS)

  老王在一个大学城开了110台规模的一个网吧,生意一直非常好,上座率基本上能够维持在60%以上。

  但是最近老王发现网吧经常受到攻击,在1周之内有3天遭到攻击,每天掉线5次。

  以前平均上座率是60%,遭到攻击掉线后上座率只有20%,每天平均只有20-30人在上网,生意非常惨淡。

  每天流失客户40人,按每小时2元计算,一天损失40*2*10=800元,一个星期就是6000元。

  攻击造成掉线,客户流失,都到附近其他网吧上网了,口碑急剧下降。

  后来经专家现场调查后发现,是周边的另一家新开网吧在对他实施DDoS攻击,只要一开始攻击,网吧就会掉线。

  2.2 网吧面临的奥运网络挑战

  挑战一:境外黑客觊觎北京奥运

  中国国家计算机网络应急技术处理协调中心本月早些时候发表报告称:“基于历史经验,许多想出名的黑客会将奥运会视为挑战和攻击目标。北京奥运会可能遭到个别黑客、团体、组织,以及其他国家和抱有各种政治动机的人的攻击。因此,网络安全形势极为严峻。”在 2006年都灵冬奥会,17天的比赛过程里产生了5200万条报警信息,由此可见攻击的厉害程度。

  而作为黑客发动网络攻击的环节之一,控制足够的僵尸网络将是其首要目标。而网吧由于PC数量众多,安全防护能力相对较为薄弱,极易成为黑客的目标。一旦网吧的PC被黑客控制,被利用去实施网络攻击后,最后层层追查下来,很可能就把这笔帐算到网吧的头上,而真正实施网络攻击的主角却在幕后隐藏得很深,如何保证网吧网络的安全,保证PC不被控制,对网吧来讲将是非常大的一个挑战并且是必须要解决的问题。

  挑战二:北京成为世界的焦点,更多老外到网吧上网

  奥运期间,国内国外的游客,各路媒体以及记者都会涌入北京,相信也有很大一部分群体会来到北京的网吧。如何营造一个良好的上网环境,充分展示北京网吧的良好形象,将是摆在广大网吧业主面前的一个不容忽视的问题。

  挑战三:在线赛况直播,挑战网吧速度极限

  奥运期间,到网吧上网通过UUSee、PPLive等在线网络电视看比赛的网友比例将会显著加大。由于这些应用软件都是基于P2P的方式,所以网吧一旦有人使用这些软件,将会占用网吧大部分的带宽,到时可能会造成其他游戏玩家玩游戏非常卡、网页根本打不开的情况,所以对于这一部分用户也要进行合理的管理和控制,保证网吧的正常经验。

  2.3 拿什么来拯救网吧网络安全

  目前市场上也有很多的网络安全设备和网络安全解决方案,是否这些东西就能够解决网吧网络安全面临的挑战呢?

  防火墙不能用!

  IDS、IPS?成本太高,动辄几十万上百万,不是网吧能够承受的

  上网人员复杂,用户不可控,没办法对用户进行很好的管理

  缺乏专业的维护团队

  设备比较低端,安全防护能力差

  第3章 抗外网攻击

  其中针对路由器的攻击会导致网吧的出口瘫痪,而目前路由器常见的防DDoS攻击的方法有三种:1、计数器法,2、协议分析法,3、协议分析+计数器。

  3.1 计数器法

  计数器法通过端口计数器与事先设置的阀值,限制外网口收到的所有数据(无论是否由内网引发),该方法抗攻击能力较强,普通路由器器都能有10M以上的能力。但是该处理方式粗放,一旦端口上的数据量达到设定的阀值就进行全局限速,进而影响全局的应用。

  优点:抗攻击能力较强,一般设备都具有10M以上的能力

  不足:处理方式粗放,一旦达到阀值就进行全局限速,对应用影响较大

  示例:某网络厂商路由器阀值设置界面

3.2 协议分析法

  协议分析法对各种DDoS攻击方式进行协议级的分析,通过CPU判断所有经过端口的报文,若报文匹配内置的协议分析器,CPU将对攻击报文进行过滤,但是该处理方法消耗大量CPU资源,如果CPU性能不强将导致整体抗攻击性能不佳。

  优点:精确性非常好

  不足:性能欠佳

  示例:锐捷NBR路由器防护机器狗病毒

3.3 协议分析+计数器法

  协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对所有非内部引起的连接进行监控及协议匹配,并对其进行严格的计数控制,同时该处理方法还修改了TCP/IP协议栈,加强了抗DDoS能力,目前该处理方式可支持的DDoS攻击协议分析已达10种以上。

  优点:精确性和性能都非常好

  示例:锐捷NBR路由器提供丰富的防外网和内网攻击功能

  第4章 抗内网攻击

  内网攻击主要是ARP攻击和内网的DDoS攻击比较多,针对这种攻击,主要有以下三种防范方法。

  4.1 双向绑定

  其中双向绑定是过去比较常用的一种方法,它在路由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址,在每一台PC上绑定网关的IP地址和MAC地址,形成一个相对固定映射关系来防止ARP欺骗。这种做法对过去的ARP病毒是有效的,随着ARP病毒的演进,新的ARP病毒会在系统运行过程中删除PC的ARP绑定,此时双向绑定将失效,所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。

  示例:通过双绑有隐患,不能完全解决掉线问题

4.2 在PC上安装过滤软件

  在PC上安装过滤软件,PC成为软件防火墙过滤PC发出DDoS报文以及欺骗的ARP报文,一般这类软件称自己为防水墙。通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断,对PC的性能造成了影响严重,经过测试在30-40M流量下,由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。

  比如AntiARP类型的软件是通过包装驱动层NDIS来过滤ARP数据包,每一个流进或流出的数据包都要经过NDIS才能到达网卡,因此这是一个典型的串行系统。

  AntiARP在这一层变造数据包修改网关ARP和攻击网管服务器

  但这样做有3个危险:

  第一、如果AntiARP驱动不稳定,将会导致用户计算机轻则不能上网,重则系统崩溃。

  第二、AntiARP驱动在系统0层运行,其实用户相当于将全部权限给了AntiARP,如果这个软件万一染毒,任何杀毒软件都无效。(杀毒软件的权限最高也只有0层)。

  第三、可能引起局域网内ARP广播风暴

  4.3 通过安全交换机过滤非法ARP及DDoS攻击

  在经过双向绑定和、安装防ARP欺骗软件之后,目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表,通过交换机自身的ARP过滤模块,过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文,对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作,节省了PC的资源。

  通过安全交换机过滤网络中所有的DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。目前已知的,通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击,防御效率高,对PC和网络无影响,是目前最经济高效的防御方式。

  示例:锐捷安全交换机支持安全地址设置和IP、MAC、交换机端口号三元素绑定

  第5章 网络恶意行为处理

  5.1 客户上网行为监控

  应严格遵守国家相关部分的政策,做好上网客户的资料登记等相关工作,加强对上网客户的上网行为监控,发行异常,果断采取必要的措施,发现客户上非法的网站,一方面 进行劝导,另一方面在出口设备上将非法网站列入黑名单,发现客户发表非法言论,一方面 进行劝导,同时进行相关证据收集,及时通报给相关部门。

  条件允许的话最好能够配置一台日志服务器,详细记录网吧的上网日志信息,发生安全事件或是某些人利用网吧网络环境发表一些非法言论时,能够及时记录在册便于后期的跟踪和处理。

  5.2 域名过滤,屏蔽非法网站

  对于一些非法的网站或者不健康的网站,我们应该坚决屏蔽掉,给网民提供一个干净的上网环境,也让犯罪份子上不了这些非法的网站,无力可施,最大限度减小网络安全时间的发生和非法言论的传播。

  示例:锐捷NBR路由器域名过滤功能

5.3监控网络设备状态,并调整网络配置

  调整网络出口设备安全配置,只允许本地合法IP报文发送,过滤非法报文。避免网吧成为不法分子攻击的工具。

  对每个用户上流量进行限制和监控,如果流量持续非常大,而且不是正常应用的网络地址,要找到对应机器,查看运行情况。如果是机器中毒,要进行杀毒或者隔离,如果是上网客户故意攻击,要进行劝导,劝导无效,要报告给相关部门。

  第6章 网吧安全防范预案

  6.1 对PC的连接数进行限制

  为了防止某些人使用大的网络带宽发动网络攻击,避免造成大的损失后后果,有必要对每台PC的连接数进行限制,一旦发动网络攻击的时候会建立非常多的网络连接,严重消耗网络资源,对连接数进行限制以后,及时某些PC被控制实施网络攻击,由于受限于连接数,所以其攻击造成的危害相对会小一些,攻击能力会较弱,也可以起到一定的防护作用。

  示例:锐捷NBR路由器弹性带宽功能

6.2 启用防火墙安全策略

  不管是软路由还是专门的路由器,都可以自己添加一下防火墙的安全策略,增强出口设备的抗攻击能力,保证网吧内网的安全。所以我们也需要实时跟踪最新的一些已经发现的病毒和网络攻击,找出他们攻击的方式或利用的协议漏洞,TCP、UDP或是其它的一些协议,有的是针对特点端口的攻击,那就需要关掉相应的端口,阻止针对特点端口的攻击。及时添加安全策略,防范这种网络攻击对网吧网络的影响,提高网吧抗攻击能力。

  示例:锐捷NBR路由器防火墙设置

  6.3 做好系统还原保护

  为了保证每台PC尽可能小的机会染上病毒,提高PC的安全性,我们还应该做好系统还原保护,提高系统的抗病毒和攻击能力。

  做样板盘的时候一定要保证每个环节都不能感染病毒

  装系统的时候要用光盘启动硬盘来装,光盘要保证以前用过的没有携带病毒的,硬盘一定要没有任何文件

  装完系统后,再装驱动之前,最好先用装个杀毒软件

  装好驱动后先上网把杀毒软件更新到最新

  及时打各种系统补丁并对杀毒软件实时升级

  流行病毒专杀工具

  6.4 网民安全意识培养

  在通过技术手段和产品功能配置方面进行防范意外,我们还应该对网民的上网行为进行一些提示,培养他们的安全上网意识。

  1.不要随便打开QQ或邮件中的附件

  2.不随便透露个人信息

  3.设置复杂的密码并申请密码保护

  4.输入密码时尽量使用软键盘

  5.谨慎使用“记住密码”的功能,随时清除cookies

  6.不要点击任何email里和QQ里传送过来的网址

  7.如果不是必须,不必填写你的个人资料。 在允许留空的地方留空就行了

  8.如果不是必须,不必填写你的真实资料。 如果可以,不妨填写一个虚拟的资料.如果你怕以后忘了,可以填写一个固定的虚拟的资料,把它保存在一个地方,如你的邮箱里。

  9.email、手机号码不要直接发布在公开显示的地方。 email只要公开了,处于可被搜索引擎抓取的地方,100%会成为一个垃圾场。

  10.避免你的昵称和真实身份联系在一起。 如果你不想让身边的人知道你网上的身份,或者不想让网上的人知道你现实的身份。

  11.不要一个邮箱通天下。 用于和机器打交道的email应该和用于和人打交道的email分开。你可以用某个信箱专门用来注册,这样可以保证最大的安全。

  12.不要一个昵称通天下。 想想mop的人肉搜索吧,你应该知道,如果在多个网站、论坛使用同一个昵称,如果别人需要,很容易可以追踪到。

  13.不要一个密码通天下。 至少,你使用某一个服务时,你的服务密码和在这个服务里所留的email密码不要一样。如果你的某帐号被盗,你取回密码到邮箱,发现邮箱已经顺带被搞定了。

  14.如果短时间内有大量qq添加你为好友,拒绝。 qq号码申诉的条件之一就是知道你好友里的五个号码。

  第7章 锐捷网络与奥运同行

  7.1 关于锐捷网络

  锐捷网络成立于2000年1月。七年来,秉承“敏锐把握应用趋势,快捷满足客户需求”的核心经营理念,坚持“应用领先”的发展道路,公司实现了超常规、跨越式发展,跃升为网络设备民族第一品牌,跻身中国网络市场三大供应商之列。

  锐捷网络致力于以“精品网络”打造“精品网吧”,为网吧创造价值,促进中国网吧产业的提升。锐捷网络将凭借领先的网络技术,为广大的网吧业主打造更安全、更快速、更易于管理的网络平台;同时,还希望携手文化部以及各网络协会,为提高网吧行业从业人员素质、改善行业的经营管理水平而努力。

  锐捷网络——行业技术标准的制定者

  2007年11月,在文化部网吧产业提升办公室的指导下,制定《网吧专用网络设备技术标准》

  锐捷网络——网络解决方案革新的领航者

  2007年文化部“示范性网吧”唯一指定的网络解决方案

  2006、2007年蝉联《天下网吧》解决方案金奖

  2007年,推出智能联动技术,荣膺2002-2007促进中国网吧产业发展的“五大技术奖”

  锐捷网络——产业提升的积极推动者

  文化部网吧产业提升办公室携手锐捷、AMD、HP、联想、TCL、同方、方正、盛大等八大厂商,提升网吧产业。

  7.2 携手奥运 共创未来

  “One World, One Network”——锐捷网络为2008北京数字奥运保驾护航

  北京奥运村是2008年奥运会奥林匹克公园的重要组成部分,在奥运会、残奥会期间,是世界各国和地区运动员及官员住地。建成后的奥运村,具有运动员最集中、功能最丰富的特点,是充分体现“有特色、高水平”奥运会及“绿色奥运、科技奥运、人文奥运”三大理念的窗口。

奥运村效果图

  经过奥运村信息化建设相关技术部门的多次严格对比、测试和审核后,锐捷网络凭借领先的产品技术、先进的网络设计和优良的产品品质在众多参与竞争的国内外著名网络厂商中脱颖而出,成为北京奥运村数字信息网络基础平台独家供应商。

  绿色奥运,科技奥运——锐捷网络服务奥林匹克森林公园网络建设

  北京奥林匹克森林公园作为2008年奥运会的重点项目之一,其建设目的是供奥运会期间的中外来宾观光游玩的重要旅游景点之一,北五环路从奥林匹克森林公园中穿过,以五环路为界,森林公园分为南北两部分。“科技奥运”是2008年北京奥运会的三大理念之一,也是落实“绿色奥运、人文奥运”的重要支撑手段。科技奥运要充分运用现代信息技术,建设各种必要的信息基础设施和信息应用系统,开发各种与奥运会相关的信息资源,营造良好的信息化环境,为各相关组织和个人提供优质的信息服务。作为奥运会的重要项目之一,整个公园的信息化建设将会成为亮点,公园筹建部门经过近半年的对国内各网络设备供应商的综合评比,最终选择锐捷网络公司设备及方案作为整个网络的数据传输平台。

  “更快、更高、更强”——锐捷网络强力打造天津奥运场馆网络

  随着我国成功申办2008奥运会,天津也作为协办场地之一。目前在建的天津奥林匹克中心体育场将在2008年进行奥运会足球项目的比赛,同时在2007年将承办世界女子足球赛事。天津奥组委准备将最先进的通讯设备应用到比赛中,中国移动和中国网通是北京奥组委指定的通信服务合作伙伴,他们将为天津赛事提供服务。目前通讯设备前期工作已经完成,2G带宽分别从李七庄和华苑不同路由器进入奥体中心。为了保证报道赛事的记者可以在第一时间内发稿,实现实时直播和通讯,在这种情况下,锐捷网络凭借丰富的产品线和成熟的解决方案协助天津奥组委组建体育场内部园区网络。

  7.3 锐捷网络铸造奥运安全网吧

  为了应对奥运期间可能的网络攻击和病毒,确保北京奥运会的成功举办,保障网吧网络的安全和稳定,锐捷网络正式成立了2008北京奥运会网吧网络安全应急响应小组,由多名技术骨干和网络安全专家组成。应急小组将利用锐捷网络在多年网吧网络安全方面积累的经验和技术优势,为网吧免费提供24小时网络安全咨询服务,网吧如果发生网络安全事件或者攻击,可以第一时间赶到现场提供免费支持和应急处理,彻底保障网吧在奥运期间的稳定、安全运行。

  除此之外,锐捷网络还组织专家力量针对网吧常见的病毒和网络攻击,编辑了网络安全攻防手册,免费提供给广大网吧业主,以应对日常的网络攻击和安全事件。

  同时,锐捷网络还联合广大的渠道合作伙伴,配备了强大的人力资源,给网吧提供免费的上门网络安全巡检服务,找出网吧目前面临的网络安全问题和挑战,并针对奥运期间可能的网络安全隐患,制定有针对性的策略和解决方案,协助网吧构建一个稳定、安全、高速的上网环境,让网吧能够抓住奥运商机,充分展示网吧自身的良好形象,提升盈利能力,让网吧的经营能够更上一个台阶!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章