近期南昌多家网吧反馈频繁掉线问题，经过分析诊断得出：因局域网PC访问了非法网站，使得PC感染病毒，病毒冲破系统防御软件后产生了协议为UDP、目标端口为80的NAT会话，相关NAT会话的上传包很多且快速增长，下载包没有计数一直为0。解决办法：通过艾泰路由器支持的防火墙功能，做访问控制策略将内网所有地址到外网所有地址协议为UDP、目标端口为80的数据禁止。

1、 使用局域网电脑进入DoS窗口中，长ping电影服务器IP，长ping路由器LAN口IP，长ping外网线路网关IP，长ping运营商DNS服务器IP。基于上述网络环境，我们在客户机上ping电影服务器IP不丢包，ping路由器HiPER4640G的LAN口IP、外网线路网关IP、运营商DNS服务器IP均有严重的丢包情况。

2、 在客户机上通过DoS窗口，使用telnet方式进入路由器HiPER4640G的命令行，若发现客户机无法访问到路由器，请将主干交换机上联到路由器的网线暂时拔出，使用一台电脑直接连接到路由器HiPER4640G的LAN口后访问设备。

3、 待输入登录路由器的正确用户名、密码后，可见到“hiper%”或“utt%”的前缀提示符，如下图，继而通过使用常用的几条命令查找问题的原因。

4、 常用命令：

a、    进入路由器deb模式，使用单引号（’）命令判断出存在内网攻击现象。从该命令输出的结果中，比较“Port0”的“Rx”的“speed Kbit”数值与“Port1”的“Tx”的“speed Kbit”数值，若前者远大于后者，则可确定存在内网攻击现象。

b、    show session history——查看设备系统历史记录，通过该命令检查是否在网络异常时存在NAT会话超限的记录；

c、    show ip bandinfo——查看局域网每台主机带宽实时使用量，若上述b步骤未检查到NAT会话超限的记录，可使用这条命令发现上传速率大的主机；

d、    show system process——查看路由器的CPU、内存使用率，可辅助的查看当前路由器的系统信息；若针对路由器CPU或内存进行攻击，则CPU或内存使用率会体现出异常情况，通过WebUI方式诊断的用户可到系统信息页面中查询，如下图：

a、    若上述b和c的步骤中，设备系统历史记录存在NAT会话超限记录或存在上传速率特别大的主机信息，则通过show ip nat translation *命令（*是NAT会话超限主机或上传速率特别大的主机的IP地址的最后一位数值，比如：192.168.1.100，则输入show ip nat translation 100）查看NAT会话超限的主机的具体NAT会话数据。

b、    若上述b和c的步骤中，均没有异常主机的痕迹，则使用show ip nat translation命令查看局域网所有主机当前所有的NAT会话详细记录，逐一排查异常的NAT会话记录。

5、 当通过常用命令的e或f步骤后，查找以及确定导致网络异常的主机依然是通过NAT会话详细记录来判断。如下图：

至此，基本上可以判断出局域网主机192.168.1.115通过UDP协议80目标端口向“98.126.38.204”发包，而对方无应答，产生大量的上传数据，阻塞了路由器LAN口，致使局域网整网掉线。通过WebUI方式诊断的用户可到上网监控页面中查询嫌疑主机，如下图：

通过艾泰路由器支持的防火墙功能，配置访问控制策略将协议为UDP、目标端口为80的数据过滤。

1、 配置服务组：

除UDP协议80的目标端口外，目前我们还搜集到了UDP协议5444、8456、25511、7000-7009的目标端口，UDP协议1683、13992、13233的源端口，TCP协议6666的目标端口均被病毒所利用产生攻击数据，可以一并添加到服务组当中。

2、 配置访问控制策略：