伺服器地址段隔離

A. 如何把受網路攻擊的伺服器等設備從網路中隔離出來

1、外部來的DoS攻擊會造成網路掉線，判別方法是從路由器的系統日誌文件中可以看出，Qno俠諾的路由器會顯示遭受攻擊，而且路由器持續在工作。其它品牌的路由器，有些也有相關的功能，用戶可以查看使用手冊。DoS病毒攻擊，如SYN攻擊，因為發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，達到癱瘓網吧網路對於廣域網來的攻擊，路由器能作的不多，也無法反擊。此時，網吧管理者或網管應直接聯系對應的運營商，請求更換WAN IP。

2、內網遭受DoS攻擊時，也會造成掉線或壅塞。網吧管理者或網管可以從被激活的告警日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止DoS攻擊影響擴大，並進行殺毒或重新安裝系統。

3、內網遭受沖擊波攻擊是另一個原因，沖擊波攻擊，是針對網路特定服務埠(TCP/UDP 135~139，445)發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，以達到癱瘓網吧網路的目的。同樣網吧管理者或網管可以從Qno俠諾被激活的告警日誌中，發現問題。 網吧管理者或網管可以針對特定服務埠(TCP/UDP 135~139，445)設置網路存取條例，並從被激活的防火牆日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止沖擊波攻擊影響擴大，並進行殺毒或重新安裝系統。

4、內網遭受ARP攻擊是最近常發生的原因，ARP病毒攻擊以竄改內網PC機或路由器 IP或MAC地址，來達到盜取用戶賬號/密碼，進一步進行網路盜寶等犯罪行為，或是惡意癱瘓網吧網路。ARP病毒攻擊會造成內網IP或MAC沖突，出現短時間內部份斷線。網吧要確定網吧已做好Qno俠諾路由器及內網PC機端雙向綁定IP/MAC地址的防制工作，內網所有的PC機與路由器IP/MAC地址對應關系都被保存到路由器的ARP緩存表中，不能被輕易更改。此時ARP攻擊雖然並不會擴及其它PC機，但網吧管理者或網管還是必須立即查找出內網攻擊源頭的中毒機器，進行殺毒或重新安裝系統。路由器內建ARP病毒來源自動檢測工具，系統日誌中可提供攻擊源的IP或MAC地址，幫助網吧進行查找攻擊源機器。有些高階路由器也都有相仿的設計。

網路遭受攻擊，可從路由器相關功能找出遭受攻擊類型，網吧管理者或網管查找、直擊攻擊源加以隔離與排除，在攻擊發起時即能迅速加以解決，無需等到客人反應受到影響。

另外網路的雍堵也可能造成掉線.
1、短暫網路壅塞，有可能是網吧內突發的帶寬高峰，網吧管理員或網管應關注路由器的帶寬統計，可先持續關注狀況。若是尖峰時段，網吧客人較多，帶寬也會比較吃緊，或是有用戶使用BT、P2P軟體做大量上傳，佔用大量帶寬，造成網路卡。網吧管理員或網管此時應設置QoS流量管理規范內網用戶最大使用帶寬，才能讓網路聯機恢復正常，解決壅塞情況。

2、尖峰時段持續性壅塞，是有用戶使用BT、P2P 軟體進行大量下載，或在線觀看電影、視訊等佔用大量帶寬行為。若是用戶觀看電影人數很多，網吧應考慮於內網安裝電影伺服器供用戶使用，才不致因觀看影片人多佔用對外帶寬。對於大量下載，則應考慮建置內部私服加以改善。

3、若是長時間從路由器看到帶寬佔用率高，有可能表示網吧根本帶寬不足，線路帶寬過小，不足以提供目前在線眾多人數使用，應考慮加大線路帶寬。這時就可利用多WAN口特性進行帶寬的升級，解決帶寬不足的問題。

措施:基於路由器的防範方法
一．內部PC基於IP地址限速

現在網路應用眾多，BT、電驢、迅雷、FTP、在線視頻等，都是非常佔用帶寬，以一個200台規模的網吧為例，出口帶寬為10M，每台內部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載，把帶寬都佔用了，就會影響其他人的網路速度了，另外，下載的都是大文件，IP報文最大可以達到1518個BYTE，也就是1.5k，下載應用都是大報文，在網路傳輸中，一般都是以數據包為單位進行傳輸，如果幾個人在同時下載，佔用大量帶寬，如果這時有人在玩網路游戲，就可能會出現卡的現象。

一個基於IP地址限速的功能，可以給整個網吧內部的所有PC進行速度限制，可以分別限制上傳和下載速度，既可以統一限制內部所有PC的速度，也可以分別設置內部某台指定PC的速度。速度限制在多少比較合適呢？和具體的出口帶寬和網吧規模有關系，不過最低不要小於40K的帶寬，可以設置在100-400K比較合適。

二：內部PC限制NAT的鏈接數量

NAT功能是在網吧中應用最廣的功能，由於IP地址不足的原因，運營商提供給網吧的一般就是1個IP地址，而網吧內部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢？

答案就是NAT（網路IP地址轉換）。內部PC訪問外網的時候，在路由器內部建立一個對應列表，列表中包含內部PCIP地址、訪問的外部IP地址，內部的IP埠，訪問目的IP埠等信息，所以每次的ping、QQ、下載、WEB訪問，都有在路由器上建立對應關系列表，如果該列表對應的網路鏈接有數據通訊，這些列表會一直保留在路由器中，如果沒有數據通訊了，也需要20-150秒才會消失掉。（對於RG-NBR系列路由器來說，這些時間都是可以設置的）

現在有幾種網路病毒，會在很短時間內，發出數以萬計連續的針對不同IP的鏈接請求，這樣路由器內部便要為這台PC建立萬個以上的NAT的鏈接。

由於路由器上的NAT的鏈接是有限的，如果都被這些病毒給佔用了，其他人訪問網路，由於沒有NAT鏈接的資源了，就會無法訪問網路了，造成斷線的現象，其實這是被網路病毒把所有的NAT資源給佔用了。

針對這種情況，不少網吧路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能，可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置，也可以給每台PC進行單獨限制。

同時，這些路由器還可以查看所有的NAT鏈接的內容，看看到底哪台PC佔用的NAT鏈接數量最多，同時網路病毒也有一些特殊的埠，可以通過查看NAT鏈接具體內容，把到底哪台PC中毒了給揪出來。

三：ACL防網路病毒

網路病毒層出不窮，但是道高一尺，魔高一丈，所有的網路病毒都是通過網路傳輸的，網路病毒的數據報文也一定遵循TCP/IP協議，一定有源IP地址，目的IP地址，源TCP/IP埠，目的TCP/IP埠，同一種網路病毒，一般目的IP埠是相同的，比如沖擊波病毒的埠是135，震盪波病毒的埠是445,只要把這些埠在路由器上給限制了，那麼外部的病毒就無法通過路由器這個唯一的入口進入到內部網了，內部的網路病毒發起的報文，由於在路由器上作了限制，路由器不加以處理，則可以降低病毒報文占據大量的網路帶寬。

優秀的網吧路由器應該提供功能強大的ACL功能，可以在內部網介面上限制網路報文，也可以在外部王介面上限制病毒網路報文，既可以現在出去的報文，也可以限制進來的網路報文。

四：WAN口防ping功能

以前有一個帖子，為了搞跨某個網站，只要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網路請求。

網路上的黑客在發起攻擊前，都要對網路上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求，也會把網吧的RG-NBR系列路由器拖跨掉。

現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單方便的開啟，所有外面過來的ping的數據報文請求，都裝聾作啞，這樣既不會暴露自己的目標，同時對於外部的ping攻擊也是一個防範。

五：防ARP地址欺騙功能

大家都知道，內部PC要上網，則要設置PC的IP地址，還有網關地址，這里的網關地址就是NBR路由器的內部網介面IP地址，內部PC是如何訪問外部網路呢？就是把訪問外部網的報文發送給NBR的內部網，由NBR路由器進行NAT地址轉發後，再把報文發送到外部網路上，同時又把外部回來的報文，去查詢路由器內部的NAT鏈接，回送給相關的內部PC，完成一次網路的訪問。

在網路上，存在兩個地址，一個是IP地址，一個是MAC地址，MAC地址就是網路物理地址，內部PC要把報文發送到網關上，首先根據網關的IP地址，通過ARP去查詢NBR的MAC地址，然後把報文發送到該MAC地址上，MAC地址是物理層的地址，所有報文要發送，最終都是發送到相關的MAC地址上的。

所以在每台PC上，都有ARP的對應關系，就是IP地址和MAC地址的對應表，這些對應關系就是通過ARP和RARP報文進行更新的。

目前在網路上有一種病毒，會發送假冒的ARP報文，比如發送網關IP地址的ARP報文，把網關的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網路中廣播，所有的內部PC就會更新了這個IP和MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的報文，發送到一個不存在或者錯誤的MAC地址上去，這樣就會造成斷線了。

這就是ARM地址欺騙，這就是造成內部PC和外部網的斷線，該病毒在前一段時間特別的猖獗。針對這種情況，防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。

六：負載均衡和線路備份

舉例來說，如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議，最多可以設定2-255台的NBR路由器，同時鏈接2-255條寬頻線路，這些NBR和寬頻線路之間，實現負載均衡和線路備份，萬一線路斷線或者網路設備損壞，可以自動實現的備份，在線路和網路設備都正常的情況下，便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2個WAN口，如果有需要，還有一個模塊擴展插槽，可以插上電口或者光介面模塊，同時鏈接3條寬頻線路，這3條寬頻線路之間，可以實現負載均衡和線路備份，可以基於帶寬的負載均衡，也可以對內部PC進行分組的負載均衡，還可以設置訪問網通資源走網通線路，訪問電信資源走電信線路的負載均衡。

B. 如何規化防火牆，將內部的伺服器和部分PC與internet 隔離

內部的伺服器（私有地址）和內部機器放在防火牆內網區（必要時通過三層交換機劃分Vlan），公網IP伺服器（需要從互聯網訪問的機器）放在防火牆的DMZ區。
防火牆只對需要開放的埠「允許」，其他一律「拒絕」

C. 伺服器已被隔離，怎麼解封

/res set [領地名] [許可權] true或false 設置自己領地的某個許可權對所有人開啟或關閉（true為開啟，false為關閉）。 [許可權]列表: move（移動）； build（破壞地形）； place（放置物品）； destroy（破壞）； use（使用

D. 伺服器安全防護，doss攻擊怎麼防禦

首先，用戶要去嘗試了解攻擊來自於何處，原因是黑客在攻擊時所調用的IP地址並不一定是真實的，一旦掌握了真實的地址段，可以找到相應的碼段進行隔離，或者臨時過濾。同時，如果連接核心網的埠數量有限，也可以將埠進行屏蔽。
相較被攻擊之後的疲於應對，有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網路基礎設施，但這種辦法只能拖延黑客的攻擊進度，並不能解決問題。與之相比的話，還不如去「屏蔽」那些區域性或者說臨時性的地址段，減少受攻擊的風險面。
此外，還可以在骨幹網、核心網的節點設置防護牆，這樣在遇到大規模攻擊時，可以讓主機減少被直接攻擊的可能。考慮到核心節點的帶寬通常較高，容易成為黑客重點攻擊的位置，所以定期掃描現有的主節點，發現可能導致風險的漏洞，就變得非常重要。

E. 伺服器上安裝雙網卡如何實現隔離

喵嗚。親， 雙網卡隔離是這樣的。 安裝完兩塊網卡後。在「網路和撥號連接」中選擇「本地連接」，進入設置屬性頁面。再在「Internet協議（TCP/IP）」中的屬性中設置IP地址、子網掩碼、網關、DNS等參數。

F. 伺服器上安裝雙網卡的如何實現隔離

雙網卡一個內網一個外網。內網機器可以通過內網ip代理上網。如果不想讓內網的上網那就把代理關掉就實現隔離了。

G. 有些網站被隔離了怎麼辦

有的網站已經被關閉了。有站長自己的原因也有可能是被條子或黑客強行所關閉。
如果是境外網站的話。就必須使用代理了。

Internet Explorer中代理的設置方法(適用於直接上internet的用戶,否則請看二次或多次代理篇)
1.在IE4.0中的代理設置方法：
在主菜單上選擇「查看」→「Internet選項」→「連接」→「通過代理伺服器訪問Internet」，此時將你找到的代理伺服器地址和埠
填入，然後點擊「確定」，就可以通過代理伺服器瀏覽網頁了。
2. IE5.0的代理設置方法：
在主菜單上選擇「工具」→「Internet選項」→「連接」→「設置」→「使用代理伺服器」，這時將你找到的代理伺服器地址和埠填入
即可。
提示：對於區域網用戶，應點擊「連接『標簽下面的』局網域設置」來設置代理。
3. NETSCAPE 4.x的代理設置方法：
選擇主菜單上的「Edit」→「Preferences」→「advanced」→「proxies」→「Manual proxy configuration」→「View」，將你找到的代理
伺服器地址和埠填入，按「OK」完成。
4. Opera的代理設置方法：
選擇主菜單上的「設置」→「Proxy選項」，將你找到的代理伺服器地址和埠填入即可。
5.網路螞蟻的代理設置方法：
在主菜單上選擇「選項設置」→「參數設置」→「代理」→「添加」，然後將可用的代理伺服器地址根據類型填入，如該伺服器需要
輸入用戶名和密碼，選中代理伺服器選項下的「認證」，填入即可。大多數下載軟體的代理設置與網路螞蟻相似，如FlashGet.

從哪裡能找到代理最原始的方法就是用軟體搜索某個網段(現在網上還有很多搜索代理的工具軟體)，不過這種搜索代理服務
器可是很費時的活。通常大家是不會把自己經常使用的代理伺服器告訴別人的，因為用的人多了速度自然就會慢。不過網上
也有很多網站和BBS（如本論壇--鴨綠江專業代理論壇）都提供狂收費騙你不是人代理伺服器的地址，你可以自己用搜索引
擎(如Google、網路)查一下Proxy或者狂收費騙你不是人代理，就能發現很多類似的網站。
說到搜索代理軟體那就首推代理獵手，向導式的在線幫助說明，就算你是第一次使用也應不存在太大的問題。具體步驟如
下：
1.從網上收錄到盡可能多的代理列表(最好都是可用的)，保存為一個以.txt後綴的文本文件，格式如下：
101.123.193.15:1080@SOCKS4
101.123.193.115:1080@SOCKS5
101.123.193.115:21@ftp
101.123.193.115:80@http
101.123.193.115:8080@http
……
(以上地址皆為舉例)
2.運用代理獵手到「搜索結果」頁面中,點「導入結果」，將.txt格式的代理列表導入。
3.點擊「系統」按鈕，選擇「參數設置」。
4.在「搜索驗證設置」頁面中對「驗證設置」項中的兩個超時時間參數進行設置。
5.最後當然是上網的校驗。

什麼樣的代理是好代理

代理好用的標准：速度快，穩定，當然前提是狂收費騙你不是人。
在代理獵手3.0以上版本，驗證時間欄為「時間特性」，顯示情況類似這樣：「0.9│1.3│2.6」、「26.3│0.0│26.3」，這三個時
間依次代表：連接時間、首次接收數據時間、總驗證時間。當然也是越小越好了。決定一個代理的速度的因素有很多，主要
有：
1.狂收費騙你不是人代理伺服器所在的網路。大家用proxy主要還是為了出國，因而，四大網路的出口局的帶寬就直接決定
著其中的proxy的速度。
2.代理伺服器的性能。前面的文章提到，proxy不過是一個大cache而已，因此它的硬碟大小、網路的帶寬就會影響速度。
這和你自己機器是一樣的。
3.代理伺服器與你的機器之間的距離。proxy主要是為特定對象服務的，其地理分布通常不會太廣泛。而廣大網友就不會與
你所用的proxy之間的距離有多遠了。自然，距離越遠，速度也就越慢。
4.你所訪問的站點的情況。這也是影響proxy速度的原因。你要訪問對方的站點，自然要以對方的標准為主，就如同兩架速
度不同的Modem一樣。可惜很多網友常常忽略這點。

H. 伺服器已被隔離，怎麼解封

是不是伺服器受到攻擊了？一般伺服器受到攻擊然後你沒有買防禦的話會屏蔽IP。可以聯系機房那邊申請解除屏蔽。我們有的用戶就是這樣，買的伺服器沒有買防禦，然後伺服器IP就被機房隔離了。一般用戶直接告訴我這邊就可以解除了。你可以問問你的客服。