如何把受网络攻击的服务器等设备从网络中隔离出来

1、外部来的DoS攻击会造成网络掉线，判别方法是从路由器的系统日志文件中可以看出，Qno侠诺的路由器会显示遭受攻击，而且路由器持续在工作。其它品牌的路由器，有些也有相关的功能，用户可以查看使用手册。DoS病毒攻击，如SYN攻击，因为发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，达到瘫痪网吧网络对于广域网来的攻击，路由器能作的不多，也无法反击。此时，网吧管理者或网管应直接联系对应的运营商，请求更换WAN IP。

2、内网遭受DoS攻击时，也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大，并进行杀毒或重新安装系统。

3、内网遭受冲击波攻击是另一个原因，冲击波攻击，是针对网络特定服务端口(TCP/UDP 135~139，445)发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中，发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139，445)设置网络存取条例，并从被激活的防火墙日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止冲击波攻击影响扩大，并进行杀毒或重新安装系统。

4、内网遭受ARP攻击是最近常发生的原因，ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址，来达到**用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机，但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器，进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具，系统日志中可提供攻击源的IP或MAC地址，帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。

网络遭受攻击，可从路由器相关功能找出遭受攻击类型，网吧管理者或网管查找、直击攻击源加以隔离与排除，在攻击发起时即能迅速加以解决，无需等到客人反应受到影响。

另外网络的雍堵也可能造成掉线

1、短暂网络壅塞，有可能是网吧内突发的带宽高峰，网吧管理员或网管应关注路由器的带宽统计，可先持续关注状况。若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽，才能让网络联机恢复正常，解决壅塞情况。

2、尖峰时段持续性壅塞，是有用户使用BT、P2P 软件进行大量下载，或在线观看**、视讯等占用大量带宽行为。若是用户观看**人数很多，网吧应考虑于内网安装**服务器供用户使用，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。

3、若是长时间从路由器看到带宽占用率高，有可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。

措施:基于路由器的防范方法

一．内部PC基于IP地址限速

现在网络应用众多，BT、电驴、迅雷、FTP、在线视频等，都是非常占用带宽，以一个200台规模的网吧为例，出口带宽为10M，每台内部PC的平均带宽为50K左右，如果有几个人在疯狂的下载，把带宽都占用了，就会影响其他人的网络速度了，另外，下载的都是大文件，IP报文最大可以达到1518个BYTE，也就是15k，下载应用都是大报文，在网络传输中，一般都是以数据包为单位进行传输，如果几个人在同时下载，占用大量带宽，如果这时有人在玩网络游戏，就可能会出现卡的现象。

一个基于IP地址限速的功能，可以给整个网吧内部的所有PC进行速度限制，可以分别限制上传和下载速度，既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢？和具体的出口带宽和网吧规模有关系，不过最低不要小于40K的带宽，可以设置在100-400K比较合适。

二：内部PC限制NAT的链接数量

NAT功能是在网吧中应用最广的功能，由于IP地址不足的原因，运营商提供给网吧的一般就是1个IP地址，而网吧内部有大量的PC，这么多的PC都要通过这唯一的一个IP地址进行上网，如何做到这点呢？

答案就是NAT（网络IP地址转换）。内部PC访问外网的时候，在路由器内部建立一个对应列表，列表中包含内部PCIP地址、访问的外部IP地址，内部的IP端口，访问目的IP端口等信息，所以每次的ping、QQ、下载、WEB访问，都有在路由器上建立对应关系列表，如果该列表对应的网络链接有数据通讯，这些列表会一直保留在路由器中，如果没有数据通讯了，也需要20-150秒才会消失掉。（对于RG-NBR系列路由器来说，这些时间都是可以设置的）

现在有几种网络病毒，会在很短时间内，发出数以万计连续的针对不同IP的链接请求，这样路由器内部便要为这台PC建立万个以上的NAT的链接。

由于路由器上的NAT的链接是有限的，如果都被这些病毒给占用了，其他人访问网络，由于没有NAT链接的资源了，就会无法访问网络了，造成断线的现象，其实这是被网络病毒把所有的NAT资源给占用了。

针对这种情况，不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能，可以统一的对内部的PC进行设置最大的NAT的链接数量设置，也可以给每台PC进行单独限制。

同时，这些路由器还可以查看所有的NAT链接的内容，看看到底哪台PC占用的NAT链接数量最多，同时网络病毒也有一些特殊的端口，可以通过查看NAT链接具体内容，把到底哪台PC中毒了给揪出来。

三：ACL防网络病毒

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

优秀的网吧路由器应该提供功能强大的ACL功能，可以在内部网接口上限制网络报文，也可以在外部王接口上限制病毒网络报文，既可以现在出去的报文，也可以限制进来的网络报文。

四：WAN口防ping功能

以前有一个帖子，为了搞跨某个网站，只要有大量的人去ping这个网站，这个网站就会跨了，这个就是所谓的拒绝服务的攻击，用大量的无用的数据请求，让他无暇顾及正常的网络请求。

网络上的黑客在发起攻击前，都要对网络上的各个IP地址进行扫描，其中一个常见的扫描方法就是ping，如果有应答，则说明这个ip地址是活动的，就是可以攻击的，这样就会暴露了目标，同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求，也会把网吧的RG-NBR系列路由器拖跨掉。

现在多数网吧路由器都设计了一个WAN口防止ping的功能，可以简单方便的开启，所有外面过来的ping的数据报文请求，都装聋作哑，这样既不会暴露自己的目标，同时对于外部的ping攻击也是一个防范。

五：防ARP地址欺骗功能

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。

所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

这就是ARM地址欺骗，这就是造成内部PC和外部网的断线，该病毒在前一段时间特别的猖獗。针对这种情况，防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

六：负载均衡和线路备份

举例来说，如锐捷RG-NBR系列路由器全部支持VRRP热备份协议，最多可以设定2-255台的NBR路由器，同时链接2-255条宽带线路，这些NBR和宽带线路之间，实现负载均衡和线路备份，万一线路断线或者网络设备损坏，可以自动实现的备份，在线路和网络设备都正常的情况下，便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2个WAN口，如果有需要，还有一个模块扩展插槽，可以插上电口或者光接口模块，同时链接3条宽带线路，这3条宽带线路之间，可以实现负载均衡和线路备份，可以基于带宽的负载均衡，也可以对内部PC进行分组的负载均衡，还可以设置访问网通资源走网通线路，访问电信资源走电信线路的负载均衡。

无线局域网WLAN安全防护浅析无线局域网的安全技术在不断地发展，研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境，力求找到安全高效的解决方案。 无论是WEP、WPA还是WAPI与80211i，想必都不能单独解决无线局域网的安全问题，如何与现有的安全技术结合应用，最大限度地确保WLAN的安全势在必行。

合理配置是前提

合理配置无线局域网是确保安全的首要前提，主要包括：

改变ESSID的缺省值，使用不易被猜到的ESSID号;

关闭对ESSID的定期广播，这样设置之后，虽然客户机必须发送探测帧以询问ESSID，但入侵者则需借助一些无线数据包捕获及分析工具，增加了难度;

改变缺省密钥并定期更换;

在网络规模较小且用户相对固定的场合使用MAC地址过滤来控制客户的访问。

加强客户端的防御

客户端的数据同样是不法分子觊觎的对象，加强防御也是保证WLAN安全的有效措施之一。在客户端可以通过以下三种方法保证数据的安全：

使用口令及个人防火墙，防止对客户机的驱动器和文件夹的非授权访问;

通信过程使用一次一密的会话密钥，因为密钥频繁改变，者难以获得足够的数据以破解密钥;

选择具有强加密算法的、基于应用层的第三方加密软件，可以绕过对Wi-Fi的各种攻击，保证数据不被解密。

抵御对内部网的攻击

在无线局域网与内部有线局域网相连通的环境，由于WLAN的不安全会殃及内部有线网，因此采取相应的抵御策略也是不可忽视的环节。使用企业级防火墙将 AP(接入点)置于防火墙之外，只让IP或MAC地址合法的用户进入内部网，再配以***(VirtualPrivateNetworking虚拟专网)功能，既可使出差在外和在家办公的员工通过Internet访问内部有线网，又可以阻止通过WLAN对内部网的非授权访问。在这种应用中，通过无线访问内部网的企图被防火墙及***服务器隔离，同时，***服务器提供鉴别服务，而支持完全加密且基于***的方案易于扩展，能够做到支持大量用户。

加强检测与鉴别

在网络中加入RADIUS(RemoteAuthenticationDial-inUser Service，远程鉴定拨入用户服务)服务器，实现客户与AP间的相互鉴别，进而做到检测和隔离欺诈性AP。RADIUS服务器可以同时承担***服务器的任务，同时使用基于端口的鉴定标准802lx，通过访问中心数据库对多种服务客户(如***客户及普通无线客户)进行鉴别。

网络管理不可忽视

除解决好上述安全策略之外，网络管理也是确保安全的有效措施。对于网络管理者而言，如果知道所有合法用户的MAC和IP地址，使用入侵检测工具(也是黑客常用的工具)定期扫描搜索便可发现非法用户。此外，使用静态IP地址在一定程度上也可以防止对无线网的非授权访问。因为使用DHCP服务器动态配置IP地址的网络会给一个“偷来”的ESSID配置一个合法的IP地址。

综上所述，由于无线局域网安全机制本身固有的安全脆弱性及无线传输介质特有的开放性和穿透性，如果再加上安装实施或使用过程中的疏漏，其安全性将变得十分脆弱。为了保证无线局域网的数据安全，除了安装配置和管理上应加强防范之外，用户端同样要加强防范。使用口令及个人防火墙可防止数据被非授权访问;对于安全级别要求较高且无线网又与内部有线网相连的场合，可以使用企业级防火墙并配以***和RADIUS;对高度敏感的数据使用第三方的、基于应用层的强加密算法对数据进行加密，可以绕过各种对无线网的有效攻击。只有确保无线网应用各环节的安全，才能充分发挥无线网的优越性

服务器中了勒索病毒是一个严重的问题，因为它会影响到服务器上托管的网站和应用程序，并可能导致数据丢失或泄露。勒索病毒通常通过电子邮件、恶意软件下载或网络漏洞等方式传播，一旦感染，它会加密服务器上的所有文件，并要求支付赎金才能解密它们。

如果您的服务器中了勒索病毒，如果数据比较重要建议大家可以选择专业的数据恢复工程师团队来进行恢复，如果数据不太重要建议大家可以选择以下应对措施：

1 立即隔离服务器：将服务器从网络中隔离，以防止病毒通过网络继续传播。

2 不要付赎金：勒索病毒需要支付赎金才能解密加密的文件，但是付赎金并不能保证您可以获得解密密钥或您的文件会完全恢复。同时，支付赎金会鼓励黑客继续发起攻击，因此不要轻易付赎金。

3 备份数据：在处理勒索病毒问题之前，务必备份服务器上的所有数据。这样即使您无法恢复所有受感染的文件，您也可以使用备份还原服务，并确保最小化数据丢失的风险。

4 找到解密工具：有些勒索病毒有已知的解密工具，您可以在互联网上搜索这些工具并使用它们来尝试恢复受感染的文件。但是请注意，这些工具可能无法完全解密所有受感染的文件。

5 重新安装操作系统：为了确保服务器不再感染勒索病毒，您可能需要重置服务器并重新安装操作系统。在重新安装之前，务必备份数据，并确保备份数据不会被感染的文件污染。

总之，服务器中了勒索病毒是一个非常严重的问题，它可能会导致数据丢失和泄露，给您和您的客户带来巨大的企业损失。因此，在防止它发生之前，您应该采取预防措施，如定期更新安全软件、加强账户管理安全性、定期进行服务器备份等。

　架设FTP站点似乎已经不是什么困难的事情了，我们不需要借助任何外来工具的帮忙，只需要使用Windows服务器系统自带的IIS功能，就能轻易地架设一台FTP站点了。不过，用这种方法架设的FTP站点不但允许任何用户进行匿名访问，而他们也能对FTP站点的主目录进行随意“读取”与“写入”，如此一来保存在FTP站点中的内容就没有安全性了。那么我们究竟该怎样才能让架设成功的FTP站点，不允许用户访问主目录、而只能访问用户自己的目录呢事实上，在Windows 2003服务器的IIS 60系统中，我们只需要利用新增加的“隔离用户”FTP组件，就能轻松让用户只访问自己的目录。

　 安装“隔离用户”FTP组件

　由于架设FTP站点需要IIS60的支持，而在默认状态下Windows 2003服务器并没有安装该组件，所以在架设具有用户隔离功能的FTP站点之前，我们需要先安装好IIS60组件，并将其中的“隔离用户”FTP组件一并安装成功，下面就是安装“隔离用户”FTP组件的具体操作步骤：

　首先在Windows 2003服务器系统中，依次单击“开始”/“设置”/“控制面板”命令，在弹出的“控制面板”窗口中用鼠标双击其中的“添加或删除程序”图标，在其后出现的“添加或删除程序”设置界面中单击一下“添加/删除Windows组件”按钮，进入到一个标题为“Windows组件向导”的界面。

　其次在“组件”列表框中，选中“应用程序服务器”复选项，并单击“详细信息”按钮，在随后弹出的“应用程序服务器”设置窗口中，用鼠标双击其中的“Internet信息服务(IIS)”项目，进入到“Internet信息服务(IIS)”属性设置框，在该设置框的子组件列表中选中“文件传输协议(FTP)服务”项目，单击“确定”按钮，然后按照向导提示完成具有“隔离用户”功能的FTP组件。

　为了防止普通用户通过匿名帐号访问FTP站点，我们在架设FTP站点的时候肯定会限制匿名帐号的访问权限，只让特定用户才能访问FTP站点下面的内容。为此，在正式架设FTP站点之前，我们有必要在Windows 2003服务器系统中为FTP站点创建一些用户访问帐号，日后用户必须凭事先创建好的帐号才能登录进行FTP站点。在创建FTP站点用户访问帐号时，我们可以按照如下步骤进行操作:

　首先在服务器系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“compmgmtmsc”，单击回车键后，打开本地服务器系统的计算机管理窗口;

　其次在该管理窗口的左侧显示区域中，用鼠标双击“本地用户和组”选项，在其后展开的分支下面选中“用户”文件夹，在对应该文件夹的右侧显示区域中，用鼠标右键单击空白位置，从弹出的右键菜单中单击“新用户”命令，进入“新用户”创建窗口;

　接下来在该窗口中设置好用户的访问帐号以及密码信息，将“用户下次登录时须更该密码”项目的选中状态取消，同时选中“用户不能更该密码”选项与 “密码永不过期”选项，再单击一下“创建”按钮，这么一来一个目标用户的帐号信息就算创建成功了。同样地，我们可以为那些需要访问FTP站点的所有用户都创建一个帐号信息。

　 创建与访问帐号对应的目录

　当创建好了用户访问帐号后，我们下面需要进行的操作就是在服务器系统的本地硬盘中创建好FTP站点的主目录，以及各个用户帐号所对应的用户帐号，以便确保每一个用户日后只能访问自己的目录，而没有权利访问其他用户的目录。

　为了让架设好的FTP站点具有用户隔离功能，我们必须按照一定的规则设置好该站点的主目录以及用户目录。首先我们需要在NTFS格式的磁盘分区中建立一个文件夹，例如该文件夹名称为“aaa”，并把该文件夹作为待建FTP站点的主目录;

　接着进入到“aaa”文件夹窗口中，并在其中创建一个子文件夹，同时必须将该子文件夹名称设置为“LocalUser”(该子文件夹名称不能随意设置)，再打开“LocalUser”子文件夹窗口，然后在该窗口下依次创建好与每个用户帐号名称相同的个人文件夹，例如我们可以为“aaa”用户创建一个“aaa”子文件夹(要是用户帐号名称与用户目录名称不一样的话，日后用户就无法访问到自己目录下面的内容)。

　当然，要是我们仍然希望架设成功的FTP站点具有匿名登录功能的话，那就必须在“LocalUser”文件夹窗口中创建一个“Public”子目录，日后访问者通过匿名方式登录进FTP站点时，只能浏览到“Public”子目录中的内容。

　 创建“用户隔离”FTP站点

　做好上面的各项准备工作后，我们现在就能正式搭建具有“用户隔离”功能的FTP站点了，下面就是具体的搭建步骤：

　首先用鼠标逐一单击系统桌面中的“开始”、“程序”、“管理工具”、“Internet 信息服务(IIS)管理器”命令，打开IIS控制台窗口，在该窗口的左侧列表区域，用鼠标右击“FTP站点”，并从弹出的右键菜单中依次选择“新建”、 “FTP站点”菜单命令，进入到FTP站点创建向导设置界面，单击其中的“下一步”按钮;

　其次在弹出的“FTP站点描述”界面中输入FTP站点的名称信息，例如这里可以输入“用户隔离站点”，继续单击“下一步”按钮;在随后出现的IP地址和端口设置页面中，设置好目标FTP站点的IP地址，同时将服务端口号码设置成默认的“21”，再单击“下一步”按钮;

　接着我们将看到一个标题为“FTP用户隔离”的设置界面，选中该界面中的“隔离用户”项目，之后进入到FTP站点主目录向导设置窗口，单击其中的“浏览”按钮，从随后弹出的文件夹选择对话框中将前面已经创建好的“aaa”文件夹选中并导入进来，再单击“确定”按钮;当向导窗口要求我们设置 “FTP站点访问权限”时，我们必须将“写入”项目选中，最后单击一下“完成”按钮，结束FTP站点的架设操作。

　当FTP站点架设成功后，我们不妨从局域网的另外一台工作站中，以帐号“aaa”登录进刚刚创建好的FTP站点，然后在对应目录中重新创建一个文件。为了检验刚刚创建的文档是否保存在“aaa”子文件夹中，我们不妨登录进Windows 2003服务器中，检查“LocalUser”文件夹下面的“aaa”子目录，看看其中是否有自己刚刚才建的文件，如果看到的话，那说明具有用户隔离功能的FTP站点就已经架设成功了。

Windows Server 2003系统中的IIS 60包含的FTP组件具有隔离用户功能，配置成隔离用户模式的FTP站点可以使用户成功登录后只能进入属于自己的目录中，且不能查看或修改其他用户的目录。

隔离用户模式的FTP站点对目录的名称和结构有一定的要求。首先FTP站点的主目录必须在NTFS分区中，然后在主目录中创建一个名为LocalUser的子目录。最后在LocalUser文件夹下创建和用户账户名称相一致的文件夹和一个名为Public的文件夹，如图所示。要搭建隔离用户模式的FTP站点，首先需要在FTP服务器中创建多个用户账户，这些用户账户将用于登录FTP站点。创建隔离用户模式FTP站点的步骤如下所述：

在开始菜单中依次单击“管理工具”→“Internet信息服务（IIS）管理器”菜单项，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中右键单击“FTP站点”目录，依次选择“新建”→“FTP站点”命令。打开“FTP站点创建向导”对话框，在欢迎对话框中单击“下一步”按钮。

打开“FTP站点描述”对话框，在“描述”编辑框中输入FTP站点名称（如MsserverFTP），并单击“下一步”按钮，如图所示。

在打开的“IP地址和端口设置”对话框中，单击“输入此FTP站点使用的IP地址”编辑框的下拉三角按钮，在下拉菜单中选中用于访问该FTP站点的IP地址。“端口”编辑框保持默认值21，并单击“下一步”按钮，如图所示。

打开“FTP用户隔离”对话框，选中“隔离用户”单选框，并单击“下一步”按钮，如图所示。

在打开的“FTP站点主目录”对话框中，单击“浏览”按钮在本地磁盘中选中FTP站点主目录。依次单击“确定”→“下一步”按钮，如图所示。

打开“FTP站点访问权限”对话框，选中“写入”复选框，并依次单击“下一步”→“完成”按钮关闭FTP站点创建向导，如图所示。