目前，网吧用户基于网络的应用无法脱离简单的网页浏览，正是由于这些简单、肆无忌惮的网页浏览，使网民链接到一些非法网站而无法得到管控。网吧应用的复杂化、管控的无序化，使得网吧网络稳定性受到严重挑战。在这样的环境下，网吧电脑掉线现象成为困扰网吧业主和网吧管理员的心病。比如说，近期全国多家网吧反馈频繁掉线问题，经过分析诊断得出：因网吧用户访问了非法网站，使得PC感染病毒，病毒冲破系统防御软件后产生了协议为UDP、目标端口为80的NAT会话，相关NAT会话的上传包很多且快速增长，下载包计数一直为零，导致出口带宽被拥堵而产生掉线问题。弹指一挥间，此攻击病毒在全国网吧用户中掀起一阵流行“疯”，使网吧业主一时招架不住。为此，艾泰科技提出了自己的解决方案。

 

通过艾泰路由器支持的防火墙功能，做访问控制策略，将内网所有地址到外网所有地址以下的目标端口数据访问禁止，即可防御近期的网吧病毒攻击流行“疯”。

 

 

1、 使用局域网电脑进入DoS窗口中，长ping电影服务器IP，长ping路由器LAN口IP，长ping外网线路网关IP，长ping运营商DNS服务器IP。基于上述操作过程，得出如下结果：客户机上ping电影服务器IP不丢包，ping路由器的LAN口IP、外网线路网关IP、运营商DNS服务器IP均有严重的丢包情况。

2、 使用单机直接接入到艾泰路由器LAN口，通过WEB形式登录到路由器界面。

1） 进入路由器的系统状态-接口统计中，观察数据，若发现LAN/in方向数据包远大

  于WAN/out数据包，则可确定存在内网攻击现象。如下图：

2） 进入系统状态-日志管理，查看设备系统历史记录，通过此页面的日志记录检查

是否在网络异常时存在NAT会话超限的用户，通过显示出来的主机IP进行管控。

如下图：

3） 可以通过用户管理-用户管理查看查看局域网每台主机带宽实时使用量，进而可

以查看到内网当前占用带宽比较大的用户，从而进行管控，如下图：

4） 通过系统状态-系统信息 查看路由器的CPU、内存使用率，可辅助的查看当前路

  由器的系统信息；若针对路由器CPU或内存进行攻击，则CPU或内存使用率会体现出异常情况，以红色填充。通过WebUI方式诊断的用户可到系统信息页面中查询，如下图：

5） 通过系统状态-上网监控，查询条件为全部记录，可以查看局域网所有主机当前所有的NAT会话详细记录，逐一排查异常的NAT会话记录。查找以及确定导致网络异常的主机依然是通过NAT会话详细记录来判断192.168.8.68即为病毒源主机。如下图：

至此，基本以上可以判断出局域网主机192.168.8.68通过UDP协议80目标端口向“61.160.250.99”发包，而对方无应答，产生大量的上传数据，阻塞了路由器LAN口，致使局域网整网掉线。

 

通过艾泰路由器支持的防火墙功能，配置访问控制策略将协议为UDP、目标端口为80、5444等的数据过滤。

 

除UDP协议80的目标端口外，通过同上诊断过程，同时还搜集到了UDP协议5444、8456、25511、7001-7009的目标端口，UDP协议1683、13992、13233的源端口，TCP协议6666的目标端口均被病毒所利用产生攻击数据，可以一并添加到服务组当中。

勾选“启用访问控制策略”后，即可防止病毒主机继续发作，影响整个网吧上网。

进入安全配置-基本选项，勾选设备访问限制，启用该功能后，系统将会限制局域网主机从LAN口访问设备。从而有效防御一些来自内部网络针对设备本身的DDoS攻击。
允许通过设备的数据包：设备将根据该值限制每秒通过LAN口的数据包个数，取值范围为0~20000，建议设置为300~600，这里建议设置成350。如下图：

 

   网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源端口，目的端口。同一种网络病毒，一般目的IP和端口是相同的，比如近期流行的网吧内网DDoS攻击。此病毒的攻击端口比较固定，如UDP80端口，UDP5444等端口，只要把这些端口在路由器上给限制住，那么外部的病毒就无法通过路由器——这个唯一的入口进入到内部网。 通过艾泰路由器强大的防御内部/外部攻击能力，配合上述解决方案，可以使网吧用户有效防范此次网吧DoS/DDoS网络攻击流行“疯”，最大程度地保证路由器及网络的稳定性和安全性。