网吧掉线的原因及处理

网吧掉线原因及处理方法网络掉线(即网络不通、无法上网)是严重的事情，掉线会使顾客怨声载道，如发生频繁持续性的掉线，会导致顾客走人，对网吧产生极大的经济损失和负面影响。好好看看吧。或许对你一、常见原因根据大量的案例分析，网吧掉线的原因大致可以分为两种情况，即物理（硬）故障和软故障，软故障又可分为遭受攻击掉线及网络流量拥塞的情况，下面依次介绍。 物理故障1、线路故障网吧发生掉线问题，首先应检查是否为外网掉线，外网掉线又可分为以下几种情况：线路掉线即因为不小心或物理原因导致网络接入实体线路连接问题。ISP线路不稳定有时线路断断续续掉线，出现这种线路不稳定的状况，尤其是运营商线路更新或技术升级后，可由ISP确认是否存在线路问题。2、网吧网络设备故障出现掉线现象时也应检查路由器与交换机。尤其是一些品牌不太好的路由器和交换机，在长期连续工作一段时间后，有时会出现性能或系统故障，导致网络卡或不通。此外，个别端口出现故障的例子也是时常可以见到。3、网卡故障当网络中有网卡出现故障后，可能会向网络中注入大量有问题的流量，导致网络性能急遽下降。（集成网卡容易出现此问题，尤其是网络中机器较多时此问题也较难于排查。） 软故障1、网络遭受攻击网络攻击是近年来时常发生的问题，可以分为遭受外网攻击及内网攻击。常见的攻击有：DoS/DDoS攻击DDOS即分布式拒绝服务，拒绝服务可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。DDOS的攻击策略侧重于通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConNECtions Flood、Script Flood、Proxy Flood。这种攻击的杀伤力较大，一般的网吧设备在这种攻击面前是无能为力的，需要IPS或专业部门的支持。如果是从外网来的攻击可从路由器的系统日志文件中，看出路由器显示遭受攻击，而且路由器持续在工作。如果是从内网来的攻击，也会造成掉线或拥塞，可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大。内网遭受冲击波攻击冲击波攻击，是针对网络特定服务端口（TCP/UDP 135139，445）发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络拥塞，以达到瘫痪网吧网络的目的。内网遭受病毒攻击ARP病毒攻击是网吧最常见的一种，它以篡改内网PC机或路由器IP或MAC地址，来达到盗取用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部分断线。网吧要确定已做好路由器及内网PC机端双向绑定IP/MAC地址的工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。2、发生网络拥塞有时网吧内少数客人可能大量占用带宽，当然也很有可能是线路带宽根本不足以因应众多人数使用，造成网络拥塞，部分顾客开始抱怨上网很卡。短暂网络拥塞有可能是网吧内突发的带宽高峰，若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理，即限流以规范内网用户最大使用带宽，才能让网络联机恢复正常，解决拥塞情况。尖峰时段持续性拥塞可能是有用户使用BT、P2P 软件进行下载，或在线观看电影、视讯等占用大量带宽行为。一般网吧应考虑增强内网电影服务器性能，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。长时间从路由器看到带宽占用率高这可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。二、检测与处理网络出现掉线故障现象，一般遵循一定的顺序进行检测。1、先判断是局部还是全网故障；是仅浏览网页、游戏等还是所有业务都受影响；是某些外网IP受影响还是全部，并区别处理。2、有故障时首先检查硬件 在局域网中，一旦遇到类似这样的问题时，我们首先应该认真检查接入线路、网络设备及网卡设备是否正常，即保证线通然后进行其他排查。必要时可重启路由或交换设备。3、进行流量监测，看能否找到流量异常的主机，如果发现有流量很大的主机则可先行将其断出，再看网络状况是否有所改善。4、检查是否遭受病毒或恶意入侵攻击。这一步也是技术含量较高、较难操作的一环。可以借助专门的工具软件进行入侵或病毒的检查，也可借助抓包工具人工分析。目前网上也可找到一些免费的入侵检测工具（如Watcher等），较专业一点有Snort。但目前常见的入侵检测工具普遍存在误报较多的情况，一般需结合其他手段进行。而抓包工具较好的工具有Sniffer和Ethreal等。对于病毒和流氓软件的影响则建议下载最新病毒库进行全面相杀。对于最常见的ARP攻击则可以参考以下方法：在网络正常的情况下，记录备份网络内的IP/MAC表，检测时用arp a命令列出网络内的arp表，主要对照一下网关的IP/MAC地址是否于原告备份的相符、是否有重复的IP或MAC地址，如有以上现象则可判定网络内存在ARP攻击。（打开路由器的系统历史记录中看到超过平常的MAC更换信息。）操作上可通过工具软件如anti arp sniffer或NBTSCAN命令行来检测，预防或解决措施如下：清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的，过程如下：在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；使用arp-d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。指定ARP对应关系：其实该方法就是强制指定ARP对应关系由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1,指定ARP对应关系就是指这些地址在感染了病毒的机器上，点击桌面-任务栏的“开始”-“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp-s命令来添加一条ARP地址对应关系，例如arp-s192.168.2.100-14-78-a7-77-5c命令这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除所以我们应该把这个ARP静态地址添加指令写到一个批处理文件例如：bat中，然后将这个文件放到系统的启动项中当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了添加路由信息应对ARP欺骗：一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了第一步：先通过点击桌面上任务栏的“开始”-“运行”，然后输入cmd后回车，进入cmd黑色背景命令行模式；第二步：手动添加路由，详细的命令如下：删除默认的路由:routedelete0000;添加路由:routeadd-p0000mask0000metric1;确认修改:routechange此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了使用杀毒软件或专杀工具（如anti arp）。三、预防措施：针对以上的讨论，我们可以采取以下预防措施，以尽量减少网吧掉线的发生：1、 IP/MAC地址双向绑定，并备份记录正常的IP/MAC地址表以备用。2、 尽量保证硬件设备正常工作，必要时作线路等冗余配置。3、 作好系统安全加固（如加强口令强度、关闭不必要的服务和端口），保持及时补丁更新和