网吧内部恶意程序进行流量攻击导致网吧有那些网络性能故障？

网吧内部恶意程序进行流量攻击导致网吧网络性能故障的说明

近期以来，众多的合作伙伴和直接客户反映网吧出现网络故障。经过分析，为性能故障。（需要提请大家注意的是，前段时间流行的ARP欺骗攻击所导致的是连接故障而不是性能故障。）大多数问题的故障表现为：

1、 PING网关，如果为三层环境则为PING 三层交换机的SVI口出现极大的延迟，极其不稳定，而同时PING局域网内的其他主机则延迟正常；
2、 网络应用因为延迟而出现“卡”的现象；
3、 不会出现某些机器正常，而某些机器无法上网的现象；
4、 一般情况下，不会导致外网连接彻底断开；
5、 网关CPU负载很高；

出现上述状况的原因一般是由于内网恶意程序直接针对网关攻击所致。近段时间某些外挂中包含一些恶意程序，使用着些外挂会导致这样的问题，不过目前还没有接到报告称这些外挂会窃取账号等信息。

进一步判断是否为此类问题，可以通过包捕捉软件捕捉通向网关的数据包来进行分析。如果是使用Linux类操作系统作为NAT网关（smoothwall、ipcop均为此类，routeros也为此类，但是更改了shell），则可以直接使用tcpdump命令来进行测试。

在Linux类操作系统上，通过键盘直接输入
tcpdump i eth0 dst 192.168.1.1
其中eth0 为内网接口，192.168.1.1为网关的IP内部地址。
如果可以捕捉到大量数据，则证明流量不正常，有很多通向网关的流量，可以认为是网络攻击。要注意的是，如果

1、 网关同时提供其他服务如FTP等，则需要进一步判断；
2、 如果是通过SSH连接到网关，则会捕捉到SSH数据，为正常流量，因此建议在NAT网关上通过键盘直接操作；

如果为非Linux类操作系统，则需要使用端口镜像功能的交换机，将NAT网关接口的数据镜像到监控口通过包捕捉软件进行分析，看是否有大量目标地址为网关的数据。因为正常的数据的目标地址应该是通向外网的，而不是通向网关的，因此，如果出现大量目标地址为网关的数据，则可以大致判断为攻击流量。

如果最终确认为内部攻击导致网关出现转发性能问题，则可以通过如下措施来解决、缓解或者预防。

1、 拒绝所有来自内网通向网关的流量；
Linux 类系统可以使用如下命令：
iptables -A INPUT -i eth0 -j DROP
其中 eth0 为内网网卡。



2、 拒绝所有来自内网，但是源地址非合法内网源地址的数据流量进入转发；
Linux类系统可以使用如下命令：
iptables -A FORWARD -i eth0 -s ! 192.168.0.0/21 -j DROP
其中eth0为内网网卡，192.168.0.0/21为内网合法网络地址段。

其中要注意的是：

1、 由于Iptables是通过进程转发的方式进行数据包的过滤和转发，整个过程需要CPU的参与，并不是靠硬件转发，因此即使是对流量进行拒绝也是需要耗费CPU时间的。如果攻击流量过大，则会iptables也只能缓解故障而无法完全解决故障；
2、Linux2.6内核在网络性能上比2.4内核高出很多，大家可以考虑使用RHAS4作为NAT网关，以增强过滤性能，同时使用更高性能的CPU也是提高过滤性能的方式之一；
3、 如果网络是三层模式，则需要在最贴近用户的三层交换机上进行如上的操作。在网关上进行操作无效。