近日經常有朋友跟子明反應，他們的網吧由于遭受攻擊，導致網絡處于癱瘓狀態，經濟損失巨大。令他們苦惱的是，作為網吧業主，大多數人面對這樣的情況往往都是不知所措，想解決燃眉之急，卻不知從何入手，請專家無門，買防護設備短時間內又來不急，甚至惡意攻擊還得請來網警協助調查。那么為什么網吧經常遭受攻擊呢？攻擊手段有哪些？怎樣預防攻擊事件發生？下面，子明就以某網吧遭遇到的情況，跟大家一起探討“網吧的攻擊與防御解決方案”

故障現象說明：
環境：某網吧采用的是無盤系統，有一臺大型服務器，配以磁盤映射工作。
現象：外網可以ping通，但是有少數的丟包現象，內網機器一開到10臺左右就瘋狂掉線。

判斷：把網吧的主交換，分交換機，路由器全都換了一遍，基本可以斷定為內網攻擊。以下是截取分析數據

00114 2007-12-5 20:5:43  
NBR1000: %6:
Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).

00115 2007-12-5 20:17:34  
NBR1000: %6:
Arp spoofing:192.168.1.244(001d.0f21.9a95)->(00e0.4d46.b906).

網吧遭受攻擊的主要原因
1、惡意競爭：現在由于有些網吧生意過于紅火，畢竟同行是冤家，有些人就專門雇傭一些外地人員在經過踩點后，做大量的泛洪攻擊，直到服務器癱瘓掉線。

2、樹大招風：有些網吧都裝的有專門充游戲帳號，點卡的系統，這些網吧規模就相當大，導致黑客在網上頻繁光顧。

3、架設私服：有些網吧老板自己架設游戲私服，在上面賣一些裝備，因為交易上的事情，而遭人妒忌。

4、病毒泛濫：在安裝系統的時候，安裝盤上可能攜帶有病毒；或是通過移動存儲介質導致客戶端感染病毒，根治起來很麻煩。即便是安裝了還原卡，有些新型的穿透還原類型病毒，那只有雪上加霜了。

5、木馬進城：有一些icmp木馬，利用小馬傳大馬技術，在內網中把大馬種植到服務器上，因為客戶機一旦重新啟動，所有程序都恢復到第一次安裝的初始狀態。過去安裝的小馬就沒有了，只要服務器不出問題，一般都是正常運行的，很難發現隱藏的木馬。

當今網吧攻擊的主要來源
造成損失的攻擊來源大多是專業的犯罪團伙，多數目的是牟取金錢，或是專門偷取游戲裝備。

1、利用網吧vod點播系統進行入侵攻擊。
網吧為了宣傳自己，通常在網上下免費的電影網站代碼。經簡單的修改，例如換名字，改圖片，甚至有些人把管理員密碼都設置為888888，123456，等簡單數字。如果攻擊者有了admin權限想做什么不可以呢！直接在網吧內網上傳個cain，抓取數據包，在計費主機上安裝鍵盤記錄器，交易帳號看的清清楚楚。更何況現在靠抓包就能抓到很多明文的信息、帳號、密碼。

2、利用專門做DDoS生意的犯罪團伙進行攻擊。如果有客戶請求攻擊游戲私服，價格大概在400元左右，這也是和網警聯系后才知道的。只要被這些DDoS攻擊者盯上，網絡不死也扒層皮！還網吧通常不使用正版的軟件，偷用電影服務提供商的資源，而這些服務商可不是吃素的。從最近的一次攻擊調查發現，電影服務商也利用自身的帶寬優勢做DDoS攻擊。

3、利用ARP欺騙攻擊：網吧經常出現的因為ARP導致的大規模斷網事件。由于經濟利益的原因，現在很多盜號木馬，都包含ARP欺騙的功能，進行了欺騙后，網吧內的網絡游戲，QQ等的登陸信息都將發送到這臺染毒的主機，病毒只需進行數據的收集，就可以盜取這些信息。

在瀏覽器中彈出hxxp://16a.us/2.js，就是為了在局域網中傳播其他惡意代碼，這可能無法攻擊有較好防御、漏洞較少的、訪問量大的門戶網站。但可以攻擊與其服務器處在同一局域網內的主機、散布具有ARP欺騙功能的病毒，通過此種方式，并不需要修改網頁服務器上的頁面內容，只需要在正常的數據包傳輸中修改里面的數據，就可以使訪問這些網站的主機，感染病毒。若處在同一局域網的一臺服務器中毒，就會使得該服務器所在的整個局域網內傳輸的數據包都被修改，服務器越多影響越大。

4、病毒作惡，很多網吧的網絡中都有病毒，而且最新型的病毒總是通過網吧傳播，最近爆發的機器狗病毒就是一個十分狠毒的病毒，竟然能穿透還原卡，把病毒駐留在內存里面。還有其他類型的病毒，這些導致網絡變慢，客戶端運行不正常，甚至網絡癱瘓的重要原因。

網吧攻擊與防范解決
針對vod點播系統的攻擊，只需對電影網站代碼做詳細修改，并加強管理員帳號即可降低由此攻擊帶來的風險。需要專業的防DDoS設備來防止惡意攻擊，病毒是無法避免的，這需要網吧業主加強安全管理并提高安全防范意識才能最大程度降低風險，以減小損失。其實最頭痛的是ARP欺騙攻擊帶來的危害，因為受害網吧基本上都遭受過ARP欺騙攻擊。下面子明就介紹一下如何針對ARP欺騙攻擊進行防御，由于網上ARP原理的文章多如牛毛，這里子明也不再敘述，只把處理流程和安全建議與大家分享一下：

處理流程：
1、檢測ARP病毒主機，定位毒源機，并斷網處理該機問題。
2、對全網主機進行病毒，惡意代碼及木馬的查殺，盡量做到不留死角。
3、從新分配ARP表，并盡量采用靜態的方式配置，不要使用動態ARP。

安全建議：
1、在網絡正常時候保存好全網的IP—MAC地址對照表，這樣在查找ARP中毒電腦時很方便。
2、安裝微軟所有安全更新補丁，包括所有的客戶端和服務器，以免感染網頁木馬。
3、部署網絡流量檢測設備，時刻監視全網的ARP廣播包，查看其MAC地址是否正確。
4、做好IP—MAC地址的綁定工作，對于從這個IP地址發送的報文，如果其MAC地址不是指定關系對中的地址，予以丟棄。
5、部署企業級的殺毒軟件，定期升級病毒庫，定期全網殺毒。