对于大中型企业网络来说,关于局域网内部的管理一直是一个非常复杂和令人头痛的问题,一个用户哪怕只是不小心点击一个恶意网站的链接,就会在几秒钟之内感染病毒,然后立刻影响到整个局域网的稳定和安全,加上现在恶意网站非常泛滥,病毒传播手段花样叠出,局域网安全必须受到广大网络管理人员的重视。如果是在4年前,局域网还是非常安全的,很多公司也习惯了直接在局域网共享各种常用软件和资料,但是现在为了获得一些非正当的利益,很多病毒开发者已经打起了局域网的主意:先期是由于网游的热火而产生了ARP病毒。这是一种欺骗性质的病毒,虽然它的目的并不是破坏局域网,但为了达到它盗号盗宝的目的,会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,而且ARP病毒这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号、QQ密码等用户信息,因此它不仅会造成局域网堵塞,也会威胁到局域网用户的信息安全。
接着很多针对特殊服务器或是网游私服的DDOS攻击也开始大举利用企业网络中的客户机作为“僵尸”电脑,对指定的服务器IP发送大量的数据包,“僵尸”电脑越多,服务器被消耗的带宽也越多,利用这个原理耗尽服务器的带宽,就可以达到让对方服务器掉线以便对服务器运营者进行恶意勒索的目的。这种攻击方式虽然是针对外网服务器,但是它在攻击过程中需要向路由器发送大量的数据包,会直接导致路由器仅有的100M LAN口被“堵满”,因此其他局域网的计算机的请求无法提交到路由器进行处理,结果就产生局域网计算机全部“掉线”的现象。只需要正确调整路由器,方可防范网络中的恶意攻击。
一 、关闭DHCP服务
我们知道DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址,以及一个DNS服务器的IP地址。而目前局域网中的路由器却开启DHCP服务,又在局域网内设置了静态的IP地址,与DHCP服务在一个网段中。时间久了,可能经常出现IP地址冲突现象,两者不能同时使用。因为路由器初始化状态,DHCP服务是处于开启状态的;设置时,如果你的局域网内设置了静态的地址,不要再启用DHCP服务。如图一
关闭DHCP服务图
二 、设置IP地址过滤
根据计算机在局域网中所承担业务不同,做好相应的IP地址的规划;然后根据业务的不同,来设置IP地址过滤。如图二
IP地址过滤图
三 、开启流量统计
开启流量统计的目的是为了观察局域网的每一台计算机通过路由器的数据包,以便分析这台计算机是否感染了病毒,如果感染了,就能够及时与局域网中的其它计算机做好隔离。
四 、IP地址和mac 地址绑定
面对日益严重的内网攻击和整网掉线问题,很多路由器开发商也在产品中加入了相关技术,加入IP-MAC绑定功能可以防止局域网的ARP欺骗。首先要使用相关的软件学习到局域网中mac地址与IP地址所对应的关系,然后再逐步添加。添加完成后,使所用条目生效。(建议在每个客户端也要做好相应的绑定)如图三
IP mac 地址绑定图
后记:网络在不断发展的,不要错误认为我们有了安全屏障,我们就要放松警惕。其实网络安全环境也是随之变化,新的安全形势对局域网安全提出新的考验,网络管理人员也需要及时更新技术,采取适当的应对措施,才能做到防范网络中的恶意攻击,以保障网络的稳定畅通。
