2023年11月28日发(作者:)

网吧掉线原因及处理方法

网络掉线(即网络不通、无法上网)是严重的事情,掉线会使顾客怨声载道,

如发生频繁持续性的掉线,会导致顾客走人,对网吧产生极大的经济损失和负面

影响。好好看看吧。或许对你

一、常见原因

根据大量的案例分析,网吧掉线的原因大致可以分为两种情况,即物理(硬)

故障和软故障,软故障又可分为遭受攻击掉线及网络流量拥塞的情况,下面依次

介绍。

物理故障

1、线路故障

网吧发生掉线问题,首先应检查是否为外网掉线,外网掉线又可分为以下几

种情况:

⑴线路掉线

即因为不小心或物理原因导致网络接入实体线路连接问题。

ISP线路不稳定

有时线路断断续续掉线,出现这种线路不稳定的状况,尤其是运营商线路更

新或技术升级后,可由ISP确认是否存在线路问题。

2、网吧网络设备故障

出现掉线现象时也应检查路由器与交换机。尤其是一些品牌不太好的路由器

和交换机,在长期连续工作一段时间后,有时会出现性能或系统故障,导致网络

卡或不通。此外,个别端口出现故障的例子也是时常可以见到。

3、网卡故障

当网络中有网卡出现故障后,可能会向网络中注入大量有问题的流量,导致

网络性能急遽下降。(集成网卡容易出现此问题,尤其是网络中机器较多时此问

题也较难于排查。

1

软故障

1、网络遭受攻击

网络攻击是近年来时常发生的问题,可以分为遭受外网攻击及内网攻击。

见的攻击有:

DoS/DDoS攻击

DDOS即分布式拒绝服务,拒绝服务可以这么理解,凡是能导致合法用户不

能够访问正常网络服务的行为都算是拒绝服务攻击。DDOS的攻击策略侧重于通

过很多“僵尸主机”向受害主机发送大量看似合法的网络包,从而造成网络阻塞

或服务器资源耗尽而导致拒绝服务。拒绝服务攻击又被称之为“洪水式攻击”,

常见的DDOS攻击手段有SYN FloodACK FloodUDP FloodICMP FloodTCP

FloodConNECtions FloodScript FloodProxy Flood。这种攻击的杀伤力

较大,一般的网吧设备在这种攻击面前是无能为力的,需要IPS或专业部门的支

持。

如果是从外网来的攻击可从路由器的系统日志文件中,看出路由器显示遭受

攻击,而且路由器持续在工作。如果是从内网来的攻击,也会造成掉线或拥塞,

可以从被激活的告警日志中,查找到内网攻击源头的中毒机器,第一时间先拔除

PC机网络线,阻止DoS攻击影响扩大。

⑵内网遭受冲击波攻击

冲击波攻击,是针对网络特定服务端口(TCP/UDP 135~139445)发出大量

数据包导致系统资源占用过多,使路由器损耗效能造成网络拥塞,以达到瘫痪网

吧网络的目的。

⑶内网遭受病毒攻击

ARP病毒攻击是网吧最常见的一种,它以篡改内网PC机或路由器IPMAC

地址,来达到盗取用户账号/密码,进一步进行网络盗宝等犯罪行为,或是恶意

瘫痪网吧网络。

ARP病毒攻击会造成内网IPMAC冲突,出现短时间内部分断线。网吧要

确定已做好路由器及内网PC机端双向绑定IP/MAC地址的工作,内网所有的PC

机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中,不能被轻

易更改。

2

2、发生网络拥塞

有时网吧内少数客人可能大量占用带宽,当然也很有可能是线路带宽根本不

足以因应众多人数使用,造成网络拥塞,部分顾客开始抱怨上网很卡。

⑴短暂网络拥塞

有可能是网吧内突发的带宽高峰,若是尖峰时段,网吧客人较多,带宽也会

比较吃紧,或是有用户使用BTP2P软件做大量上传,占用大量带宽,造成网络

卡。网吧管理员或网管此时应设置QoS流量管理,即限流以规范内网用户最大使

用带宽,才能让网络联机恢复正常,解决拥塞情况。

⑵尖峰时段持续性拥塞

可能是有用户使用BTP2P 软件进行下载,或在线观看电影、视讯等占用

大量带宽行为。一般网吧应考虑增强内网电影服务器性能,才不致因观看影片人

多占用对外带宽。对于大量下载,则应考虑建置内部私服加以改善。

⑶长时间从路由器看到带宽占用率高

这可能表示网吧根本带宽不足,线路带宽过小,不足以提供目前在线众多人

数使用,应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级,

决带宽不足的问题。

二、检测与处理

网络出现掉线故障现象,一般遵循一定的顺序进行检测。

1、先判断是局部还是全网故障;是仅浏览网页、游戏等还是所有业务都受

影响;是某些外网IP受影响还是全部,并区别处理。

2、有故障时首先检查硬件

在局域网中,一旦遇到类似这样的问题时,我们首先应该认真检查接入线路、

网络设备及网卡设备是否正常,即保证线通然后进行其他排查。必要时可重启路

由或交换设备。

3、进行流量监测,看能否找到流量异常的主机,如果发现有流量很大的主

机则可先行将其断出,再看网络状况是否有所改善。

4、检查是否遭受病毒或恶意入侵攻击。

3

这一步也是技术含量较高、较难操作的一环。可以借助专门的工具软件进行

入侵或病毒的检查,也可借助抓包工具人工分析。目前网上也可找到一些免费的

入侵检测工具(如Watcher等),较专业一点有Snort。但目前常见的入侵检测

工具普遍存在误报较多的情况,一般需结合其他手段进行。而抓包工具较好的工

具有SnifferEthreal等。

对于病毒和流氓软件的影响则建议下载最新病毒库进行全面相杀。

对于最常见的ARP攻击则可以参考以下方法:

在网络正常的情况下,记录备份网络内的IP/MAC表,检测时用arp a

令列出网络内的arp表,主要对照一下网关的IP/MAC地址是否于原告备份的相

符、是否有重复的IPMAC地址,如有以上现象则可判定网络内存在ARP攻击。

(打开路由器的系统历史记录中看到超过平常的MAC更换信息。

操作上可通过工具软件如anti arp snifferNBTSCAN命令行来检测,预

防或解决措施如下:

⑴清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问

题,该方法是针对ARP欺骗原理进行解决的,过程如下:在命令行模式下输入

arp -a命令来查看当前本机储存在本地系统ARP缓存中IPMAC对应关系的信

息;使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的

ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域

网机器间互访和正常上网的目的

如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以

解决但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,

这时使用清空ARP缓存的方法将无能为力了。

⑵指定ARP对应关系:其实该方法就是强制指定ARP对应关系由于绝大

部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储

的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地

址错误而失败,造成计算机无法上网

第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP

地址为192.168.2.1,指定ARP对应关系就是指这些地址在感染了病毒的机器上,

点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模

4

式;

第二步:使用arp -s命令来添加一ARP址对应关系,

arp -s 192.168.2.1 00-14-78-a7-77-5c命令这样就将网关地址的IP与正确的

MAC地址绑定好了,本机网络连接将恢复正常了;

第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除所

以我们应该把这个ARP静态地址添加指令写到一个批处理文件例如:bat中,然

后将这个文件放到系统的启动项中当程序随系统的启动而加载的话,就可以免除

因为ARP静态映射信息丢失的困扰了

⑶添加路由信息应对ARP欺骗:

一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来

解决此问题呢只要添加了路由,那么上网时都通过此路由出去即可,自然也不会

ARP欺骗数据包干扰了

第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd

后回车,进入cmd黑色背景命令行模式;

第二步:手动添加路由,详细的命令如下:

删除默认的路由: route delete 0000;

添加路由: route add -p 0000 mask 0000 1921681254 metric 1;

确认修改: route change

此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改

所有的客户端的路由配置了

⑷使用杀毒软件或专杀工具(如anti arp

三、预防措施:

针对以上的讨论,我们可以采取以下预防措施,以尽量减少网吧掉线的发生:

1IP/MAC地址双向绑定,并备份记录正常的IP/MAC地址表以备用。

2、尽量保证硬件设备正常工作,必要时作线路等冗余配置。

3、作好系统安全加固(如加强口令强度、关闭不必要的服务和端口),保

持及时补丁更新和病毒库升级。

4、服务器尽量少安装不必要的服务、软件,不随便下载、打开网页。

5

5、尽量采取一些安全隔离措施,以把安全事件的影响限制在最小的范围

内。

6、启用路由器的相应安全措施,如防flood攻击、ACL、禁WANPING

负载均衡和线路备份等。

7、必要采取流量限制,限制每IP的流量及NAT连接数,限制高耗带软件

的流量。

8、必要的安全管理制度。

9、其他必要措施。

6