Cómo entender los ciberataques en tiempo real que se muestran en el sitio web nórdico

Los ataques a la red son un problema común en los últimos tiempos y se pueden dividir en ataques a la red externa y ataques a la red interna. Las siguientes son las explicaciones respectivas: 1. Los ataques DoS externos causarán la desconexión de la red. El método de identificación es mirar el archivo de registro del sistema del enrutador de Qno y mostrará que está bajo ataque y el enrutador continúa funcionando. Algunos enrutadores de otras marcas también tienen funciones relacionadas. Los usuarios pueden consultar el manual del usuario. Los ataques de virus DoS, como los ataques SYN, envían una gran cantidad de paquetes de datos, lo que hace que los recursos del sistema se ocupen demasiado, lo que hace que los enrutadores pierdan rendimiento y provocan congestión de la red, lo que puede paralizar la red del cibercafé. , los enrutadores pueden hacer poco y no pueden defenderse. En este momento, el administrador del cibercafé o administrador de red deberá contactar directamente con el operador correspondiente y solicitar el cambio de IP WAN. 2. Cuando la red interna sufre un ataque DoS, también provocará desconexión o congestión. Los administradores de cibercafés o administradores de red pueden encontrar la máquina envenenada que es la fuente del ataque de intranet a partir del registro de alarma activado, desconectar el cable de red de la PC lo antes posible para evitar que se expanda el impacto del ataque DoS y ejecutar antivirus. o reinstalar el sistema. 3. Otra razón por la que la intranet sufre ataques de ondas de choque es que un ataque de ondas de choque se dirige a un puerto de servicio específico de la red (TCP/UDP 135 ~ 139, 445) y envía una gran cantidad de paquetes de datos, lo que resulta en un sistema excesivo. uso de recursos, pérdida de rendimiento del enrutador y congestión de la red para lograr el propósito de paralizar la red del cibercafé. De manera similar, los administradores de cibercafés o administradores de red pueden encontrar problemas en los registros de alarmas de Qno activado. Los administradores de cibercafés o administradores de red pueden establecer regulaciones de acceso a la red para puertos de servicio específicos (TCP/UDP 135~139, 445) y encontrar las máquinas envenenadas que son la fuente de ataques de la red interna a partir de los registros de firewall activados y eliminarlas lo antes posible. posible. 4. Los ataques ARP en la intranet son comunes recientemente. Los ataques de virus ARP se basan en la manipulación de la dirección IP o MAC de la PC o enrutador de la intranet para robar cuentas/contraseñas de usuario y cometer delitos como el robo de tesoros en línea o paralizar maliciosamente la red. Red de cibercafés. Los ataques de virus ARP provocarán conflictos de IP o MAC en la intranet y provocarán una desconexión parcial en un corto período de tiempo. Los cibercafés deben asegurarse de que el cibercafé haya hecho un buen trabajo para evitar la vinculación bidireccional de las direcciones IP/MAC entre el enrutador Qno y las PC de la intranet. Las relaciones correspondientes entre las direcciones IP/MAC de todas las PC en la intranet. y el enrutador se guardan en el ARP del enrutador. La tabla de caché no se puede cambiar fácilmente. Aunque el ataque ARP no se extenderá a otras PC en este momento, el administrador del cibercafé o de la red debe encontrar inmediatamente la máquina envenenada que es la fuente del ataque de la intranet y realizar un antivirus o reinstalar el sistema. El enrutador tiene una herramienta de detección automática incorporada para fuentes de virus ARP. El registro del sistema puede proporcionar la dirección IP o MAC de la fuente del ataque para ayudar a los cibercafés a encontrar la máquina fuente del ataque. Algunos enrutadores de alta gama también tienen diseños similares. Si la red es atacada, el tipo de ataque se puede averiguar en las funciones relacionadas del enrutador. El administrador del cibercafé o el administrador de la red pueden encontrar y atacar directamente la fuente del ataque para aislarlo y eliminarlo rápidamente. se resuelve cuando se lanza sin esperar a que la reacción del huésped se vea afectada. Además, la congestión de la red también puede provocar desconexiones. 1. La congestión de la red a corto plazo puede deberse a un pico repentino de ancho de banda en el cibercafé. Los administradores de cibercafés o administradores de red deben prestar atención a las estadísticas de ancho de banda del enrutador y pueden continuar. prestar atención a la situación primero. Si hay muchos clientes en el cibercafé durante las horas pico, el ancho de banda será limitado o puede haber usuarios que utilicen software BT o P2P para cargar una gran cantidad de veces, lo que ocupa mucho ancho de banda y provoca retrasos en la red. En este momento, el administrador del cibercafé o el administrador de la red debe establecer especificaciones de administración del tráfico QoS para regular el ancho de banda máximo utilizado por los usuarios de la intranet, de modo que la conexión de la red pueda restablecerse a la normalidad y se pueda resolver la congestión. 2. La congestión continua durante las horas pico se produce cuando los usuarios utilizan software BT y P2P para descargar grandes cantidades de datos o ver películas y vídeos en línea, lo que consume una gran cantidad de ancho de banda. Si hay muchos usuarios viendo películas, los cibercafés deberían considerar instalar un servidor de películas en la intranet para que lo utilicen los usuarios, de modo que el ancho de banda externo no sea ocupado por demasiadas personas viendo películas. Para una gran cantidad de descargas, debería considerar configurar un servidor privado interno para mejorarlo. 3. Si ve una alta tasa de ocupación del ancho de banda del enrutador durante mucho tiempo, puede significar que el cibercafé no tiene suficiente ancho de banda y el ancho de banda de la línea es demasiado pequeño para soportar la gran cantidad de personas actualmente en línea. Debería considerar aumentar el ancho de banda. ancho de banda de línea. En este momento, puede utilizar la función de puerto multi-WAN para actualizar el ancho de banda y resolver el problema del ancho de banda insuficiente.

Medidas: Método de prevención basado en enrutador 1. El límite de velocidad interna de la PC se basa en la dirección IP. Hoy en día existen muchas aplicaciones de red, como BT, eDonkey, Thunder, FTP, video en línea, etc., que ocupan una gran cantidad de ancho de banda, tomando un cibercafé de 200 máquinas. Por ejemplo, el ancho de banda de exportación es de 10 M y el ancho de banda de cada PC interna es de aproximadamente 50 K. Si varias personas descargan como locas y ocupan el ancho de banda, afectará la velocidad de la red de otras. Los archivos grandes y el tamaño máximo del paquete IP pueden alcanzar los 1518 BYTE, es decir, 1,5 k. Las aplicaciones de descarga son todos paquetes grandes. En la transmisión de red, los paquetes de datos generalmente se transmiten en unidades. consume mucho ancho de banda. Si alguien está jugando juegos en línea en este momento, es posible que aparezcan tarjetas. Una función de límite de velocidad basada en la dirección IP, que puede limitar la velocidad de todas las PC en todo el cibercafé. Puede limitar las velocidades de carga y descarga por separado. Puede limitar la velocidad de todas las PC en Internet de manera uniforme o establecer la velocidad. de una PC designada en el cibercafé. ¿Cuál es el límite de velocidad apropiado? Depende del ancho de banda de exportación específico y de la escala del cibercafé, pero el ancho de banda mínimo no debe ser inferior a 40 K. Puede configurarse entre 100 y 400 K, lo cual es más apropiado. 2: Las PC internas limitan la cantidad de enlaces NAT. La función NAT es la función más utilizada en los cibercafés. Debido a la escasez de direcciones IP, los operadores generalmente proporcionan solo una dirección IP a los cibercafés y hay una gran cantidad de ellas. PC en cibercafés. Muchas PC necesitan acceder a Internet a través de esta dirección IP única. La respuesta es NAT (traducción de direcciones IP de red). Cuando la PC interna accede a la red externa, se establece una lista correspondiente dentro del enrutador. La lista contiene información como la dirección IP interna de la PC, la dirección IP externa a la que se accede, el puerto IP interno, el puerto IP de destino de acceso, etc. por lo tanto, cada vez que haga ping, QQ, descarga y acceso WEB, todos tendrán una lista correspondiente establecida en el enrutador. Si el enlace de red correspondiente a la lista tiene comunicación de datos, estas listas permanecerán en el enrutador. Tardará entre 20 y 150 segundos en desaparecer. (Para los enrutadores de la serie RG-NBR, estos tiempos se pueden configurar). Hay varios virus de red que emitirán decenas de miles de solicitudes de enlace continuas para diferentes IP en un corto período de tiempo, por lo que el enrutador Es necesario establecer Más de 10.000 enlaces NAT para esta PC. Dado que los enlaces NAT en el enrutador son limitados, si están ocupados por estos virus y otras personas acceden a la red, no podrán acceder a la red porque no hay recursos de enlaces NAT, lo que de hecho provocará una desconexión. por El virus de red ha ocupado todos los recursos NAT. En respuesta a esta situación, muchos enrutadores de cibercafés ofrecen la función de configurar la cantidad máxima de enlaces NAT para las PC internas. La cantidad máxima de enlaces NAT se puede configurar de manera uniforme para las PC internas, o cada PC se puede limitar individualmente. Al mismo tiempo, estos enrutadores también pueden ver el contenido de todos los enlaces NAT para ver qué PC ocupa la mayor cantidad de enlaces NAT. Al mismo tiempo, los virus de red también tienen algunos puertos especiales. Se descubrieron enlaces para determinar qué PC está infectada. Tres: ACL evita que los virus de la red surjan sin cesar, pero mientras el camino sea alto, la magia es alta. Todos los virus de la red se transmiten a través de la red. Los paquetes de datos de los virus de la red también deben seguir el protocolo TCP/IP. y debe tener una dirección IP de origen, una dirección IP de destino, un puerto TCP/IP de origen y un puerto TCP/IP de destino. Para el mismo virus de red, generalmente el puerto IP de destino es el mismo. y el puerto del virus Shockwave es 445. Simplemente cámbielos. Si el puerto está restringido en el enrutador, los virus externos no pueden ingresar a la red interna a través del enrutador, que es la única entrada. Los paquetes iniciados por los virus de la red interna no pueden ser procesados ​​por el. enrutador debido a restricciones en el enrutador Reduzca que los paquetes de virus ocupen una gran cantidad de ancho de banda de la red. Un excelente enrutador de cibercafé debe proporcionar una potente función ACL, que puede restringir los paquetes de red en la interfaz de red interna y también puede restringir los paquetes de red de virus en la interfaz externa. Puede limitar tanto los paquetes salientes como los mensajes entrantes.

Cuarto: hubo una publicación anterior sobre la función anti-ping del puerto WAN. Para cruzar un determinado sitio web, siempre que una gran cantidad de personas hagan ping al sitio web, el sitio web será bloqueado. El ataque al servicio, que utiliza una gran cantidad de solicitudes de datos inútiles, no le dejó tiempo para atender las solicitudes normales de la red. Los piratas informáticos de la red deben escanear cada dirección IP de la red antes de lanzar un ataque. Uno de los métodos de escaneo comunes es el ping. Si hay una respuesta, significa que la dirección IP está activa y puede ser atacada. El objetivo quedará expuesto. Al mismo tiempo, si una gran cantidad de paquetes externos inician solicitudes de ping al enrutador de la serie RG-NBR, el enrutador de la serie RG-NBR en el cibercafé también será arrastrado. Hoy en día, la mayoría de los enrutadores de cibercafés están diseñados con una función anti-ping en el puerto WAN, que se puede activar fácil y convenientemente. Todas las solicitudes de paquetes de datos de ping desde el exterior se hacen pasar por sordas y tontas, para no exponer el propio objetivo. Y al mismo tiempo, los ataques de ping también son una defensa. Cinco: función de suplantación de dirección anti-ARP Como todos sabemos, si una PC interna quiere acceder a Internet, debe configurar la dirección IP de la PC y la dirección de la puerta de enlace. La dirección de la puerta de enlace aquí es la dirección IP de la interfaz de red interna. del enrutador NBR ¿Cómo accede la PC interna a la red externa? Es enviar los paquetes que acceden a la red externa a la red interna de NBR. Después de que el enrutador NBR reenvía la dirección NAT, los paquetes se envían a la red externa. Al mismo tiempo, los paquetes devueltos desde el exterior se envían para consultar. el enlace NAT dentro del enrutador, enviado de regreso a la PC interna correspondiente para completar el acceso a la red. En la red, hay dos direcciones, una es la dirección IP y la otra es la dirección MAC. La dirección MAC es la dirección física de la red. Para enviar el mensaje a la puerta de enlace, la PC interna primero consulta el NBR a través de ARP. de acuerdo con la dirección IP de la dirección MAC de la puerta de enlace y luego envíe el paquete a la dirección MAC. La dirección MAC es la dirección de la capa física. Todos los paquetes a enviar se envían finalmente a la dirección MAC relevante. Por tanto, en cada PC existe una correspondencia ARP, que es una tabla de correspondencia entre direcciones IP y direcciones MAC. Estas correspondencias se actualizan mediante mensajes ARP y RARP. Actualmente hay un virus en la red que enviará mensajes ARP falsos, como enviar mensajes ARP con la dirección IP de la puerta de enlace, asignar la IP de la puerta de enlace a su propia MAC o una dirección MAC inexistente, y al mismo tiempo falsificarla. Los mensajes ARP se transmiten en la red y todas las PC internas actualizarán la tabla de correspondencia de IP y MAC. La próxima vez que se conecten, enviarán los mensajes MAC enviados originalmente a la puerta de enlace a una MAC inexistente o incorrecta. Se carga la dirección, la conexión se desconectará. Se trata de una suplantación de direcciones ARM, que provoca que la PC interna y la red externa se desconecten. Este virus estuvo particularmente extendido hace algún tiempo. En respuesta a esta situación, también han aparecido funciones anti-suplantación de direcciones ARP en algunos productos de enrutadores profesionales. 6: Equilibrio de carga y respaldo de línea Por ejemplo, todos los enrutadores de la serie Ruijie RG-NBR admiten el protocolo de respaldo en caliente VRRP. Se pueden configurar hasta 2-255 enrutadores NBR para vincular 2-255 líneas de banda ancha al mismo tiempo. El equilibrio de carga y el respaldo de línea se implementan entre líneas de banda ancha. En caso de desconexión de la línea o daño del equipo de la red, se puede lograr el respaldo automático. Cuando las líneas y el equipo de la red son normales, se puede lograr el equilibrio de carga. Esta función es compatible con todos los enrutadores Ruijie. El RG-NBR1000E de los enrutadores de la serie RG-NBR proporciona 2 puertos WAN. Si es necesario, también hay una ranura de expansión del módulo que se puede conectar con un puerto eléctrico o un módulo de interfaz óptica para conectar 3 líneas de banda ancha al mismo tiempo. Se puede lograr equilibrio y respaldo de línea entre estas tres líneas de banda ancha. El equilibrio de carga puede basarse en el ancho de banda o el equilibrio de carga se puede agrupar para PC internas. También puede configurar líneas de Netcom para acceder a recursos de Netcom y líneas de Telecom para acceder a recursos de telecomunicaciones. equilibrio de carga.