如何摆脱恶意P2P终结者限制网速!!高手来答!

首先我们分析原因

网络攻击是近来常发生的问题，可以分为遭受外网攻击及内网攻击。以下分别说明:

1、外部来的DoS攻击会造成网络掉线，判别方法是从路由器的系统日志文件中可以看出，Qno侠诺的路由器会显示遭受攻击，而且路由器持续在工作。其它品牌的路由器，有些也有相关的功能，用户可以查看使用手册。DoS病毒攻击，如SYN攻击，因为发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，达到瘫痪网吧网络对于广域网来的攻击，路由器能作的不多，也无法反击。此时，网吧管理者或网管应直接联系对应的运营商，请求更换WAN IP。

2、内网遭受DoS攻击时，也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大，并进行杀毒或重新安装系统。

3、内网遭受冲击波攻击是另一个原因，冲击波攻击，是针对网络特定服务端口(TCP/UDP 135~139，445)发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中，发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139，445)设置网络存取条例，并从被激活的防火墙日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止冲击波攻击影响扩大，并进行杀毒或重新安装系统。

4、内网遭受ARP攻击是最近常发生的原因，ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址，来达到盗取用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机，但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器，进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具，系统日志中可提供攻击源的IP或MAC地址，帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。

网络遭受攻击，可从路由器相关功能找出遭受攻击类型，网吧管理者或网管查找、直击攻击源加以隔离与排除，在攻击发起时即能迅速加以解决，无需等到客人反应受到影响。

另外网络的雍堵也可能造成掉线.

1、短暂网络壅塞，有可能是网吧内突发的带宽高峰，网吧管理员或网管应关注路由器的带宽统计，可先持续关注状况。若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽，才能让网络联机恢复正常，解决壅塞情况。

2、尖峰时段持续性壅塞，是有用户使用BT、P2P 软件进行大量下载，或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多，网吧应考虑于内网安装电影服务器供用户使用，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。

3、若是长时间从路由器看到带宽占用率高，有可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。

措施:基于路由器的防范方法

一．内部PC基于IP地址限速

现在网络应用众多，BT、电驴、迅雷、FTP、在线视频等，都是非常占用带宽，以一个200台规模的网吧为例，出口带宽为10M，每台内部PC的平均带宽为50K左右，如果有几个人在疯狂的下载，把带宽都占用了，就会影响其他人的网络速度了，另外，下载的都是大文件，IP报文最大可以达到1518个BYTE，也就是1.5k，下载应用都是大报文，在网络传输中，一般都是以数据包为单位进行传输，如果几个人在同时下载，占用大量带宽，如果这时有人在玩网络游戏，就可能会出现卡的现象。

一个基于IP地址限速的功能，可以给整个网吧内部的所有PC进行速度限制，可以分别限制上传和下载速度，既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢？和具体的出口带宽和网吧规模有关系，不过最低不要小于40K的带宽，可以设置在100-400K比较合适。

二：内部PC限制NAT的链接数量

NAT功能是在网吧中应用最广的功能，由于IP地址不足的原因，运营商提供给网吧的一般就是1个IP地址，而网吧内部有大量的PC，这么多的PC都要通过这唯一的一个IP地址进行上网，如何做到这点呢？

答案就是NAT（网络IP地址转换）。内部PC访问外网的时候，在路由器内部建立一个对应列表，列表中包含内部PCIP地址、访问的外部IP地址，内部的IP端口，访问目的IP端口等信息，所以每次的ping、QQ、下载、WEB访问，都有在路由器上建立对应关系列表，如果该列表对应的网络链接有数据通讯，这些列表会一直保留在路由器中，如果没有数据通讯了，也需要20-150秒才会消失掉。（对于RG-NBR系列路由器来说，这些时间都是可以设置的）

现在有几种网络病毒，会在很短时间内，发出数以万计连续的针对不同IP的链接请求，这样路由器内部便要为这台PC建立万个以上的NAT的链接。

由于路由器上的NAT的链接是有限的，如果都被这些病毒给占用了，其他人访问网络，由于没有NAT链接的资源了，就会无法访问网络了，造成断线的现象，其实这是被网络病毒把所有的NAT资源给占用了。

针对这种情况，不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能，可以统一的对内部的PC进行设置最大的NAT的链接数量设置，也可以给每台PC进行单独限制。

同时，这些路由器还可以查看所有的NAT链接的内容，看看到底哪台PC占用的NAT链接数量最多，同时网络病毒也有一些特殊的端口，可以通过查看NAT链接具体内容，把到底哪台PC中毒了给揪出来。

三：ACL防网络病毒

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

优秀的网吧路由器应该提供功能强大的ACL功能，可以在内部网接口上限制网络报文，也可以在外部王接口上限制病毒网络报文，既可以现在出去的报文，也可以限制进来的网络报文。

四：WAN口防ping功能

以前有一个帖子，为了搞跨某个网站，只要有大量的人去ping这个网站，这个网站就会跨了，这个就是所谓的拒绝服务的攻击，用大量的无用的数据请求，让他无暇顾及正常的网络请求。

网络上的黑客在发起攻击前，都要对网络上的各个IP地址进行扫描，其中一个常见的扫描方法就是ping，如果有应答，则说明这个ip地址是活动的，就是可以攻击的，这样就会暴露了目标，同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求，也会把网吧的RG-NBR系列路由器拖跨掉。

现在多数网吧路由器都设计了一个WAN口防止ping的功能，可以简单方便的开启，所有外面过来的ping的数据报文请求，都装聋作哑，这样既不会暴露自己的目标，同时对于外部的ping攻击也是一个防范。

五：防ARP地址欺骗功能

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。

所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

这就是ARM地址欺骗，这就是造成内部PC和外部网的断线，该病毒在前一段时间特别的猖獗。针对这种情况，防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

六：负载均衡和线路备份

举例来说，如锐捷RG-NBR系列路由器全部支持VRRP热备份协议，最多可以设定2-255台的NBR路由器，同时链接2-255条宽带线路，这些NBR和宽带线路之间，实现负载均衡和线路备份，万一线路断线或者网络设备损坏，可以自动实现的备份，在线路和网络设备都正常的情况下，便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2个WAN口，如果有需要，还有一个模块扩展插槽，可以插上电口或者光接口模块，同时链接3条宽带线路，这3条宽带线路之间，可以实现负载均衡和线路备份，可以基于带宽的负载均衡，也可以对内部PC进行分组的负载均衡，还可以设置访问网通资源走网通线路，访问电信资源走电信线路的负载均衡。

回答者：heartthief - 魔法师 四级 10-18 12:28

提问者对于答案的评价：

虽然不知道哪里抄来的，- -！~呵呵。不过不错啦，挺详细，谢谢分享.

如何破除别人对我的上网限制？（反arp欺骗）

悬赏分：0 - 解决时间：2006-9-26 09:02

我现在在外面租房居住，可是最近网络有快半个月不能上网，一查才知道是有人限制了我的网络连接。

现在的情况是：

1、我的数据包的发送和接收数不相等，都是发送数大于接收数；

2、IE和QQ都无法连通；

3、修改本机的IP地址后提示“IP地址冲突”

现在需要处理以下几个问题：

1、修改本机mac地址后，再用arp命令自行绑定有没有效果？

2、如何查找出谁在对我作限制；包括他的IP和MAC地址；

3、如何避免被网络执法官之类的软件限制网速

本来现在住的房子挺破的，没想到网络都被别人给弄得网都上不了，郁闷，好象房东的儿子没有在家玩，是他就算了，要是别人的话一定得想办法整整他。

现在还没有试验过arp命令，今晚回家再慢慢研究，希望下班前能有高人给指点一二，谢过先！~~~

问题补充：xp系统:只要用arp命令绑定自己MAC和路由MAC就行了,

如:arp -s 自己IP 自己MAC

arp -s 路由IP 路由MAC

请问你这里的路由IP能够在本机设置吗？即我把网关的IP及MAC地址也绑定？

我这里是局域网***享式上网，网关为192.168.1.1，我的内网IP比如为192.168.1.23，谢谢！~@

你的回答还是不太让我满意~~~

提问者： fjd0105 - 高级经理 七级

最佳答案

介绍一个超好的防火墙给大家:Outpost Firewall 它可以防护p2p终结者等恶意软件..效果超好..还能查出局域网哪台机在使用,这个防火墙功能强大,占用资源少,个人评分5个星.可以上网查找一下.

其实，类似这种网络管理软件都是利用arp欺骗达到目的的

其原理就是使电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？

首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

解决方法归纳起来有以下方法:

1. 使用VLAN

只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法.

2. 使用双向IP/MAC绑定

在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC

还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC

上绑定出路路由的MAC地址, 在路由上绑定PC的IP和MAC地址, 这样要求路由要支持IP/MAC绑定, 比如HIPER路由器.

3. 使用IP/MAC地址盗用+IP/MAC绑定

索性你把自己的MAC地址和IP地址改成和运行P2P终结者软件者一样的IP和MAC, 看他如何管理, 这是一个两败俱伤的办法,

改动中要有一些小技巧, 否则会报IP冲突. 要先改MAC地址, 再改IP, 这样一来WINDOWS就不报IP冲突了(windows傻吧))), 做到这一步还没有完, 最好你在PC上吧路由的MAC地址也绑定, 这样一来P2P终结者欺骗路由也白费力气了.

解决方式

利用Look N Stop防火墙，防止arp欺骗

1.阻止网络执法官控制

网络执法官是利用的ARp欺骗的来达到控制目的的。

ARP协议用来解析IP与MAC的对应关系，所以用下列方法可以实现抗拒网络执法官的控制。

如果你的机器不准备与局域网中的机器通讯，那么可以使用下述方法：

A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志；

B.但这个规则默认会把网关的信息也禁止了，处理的办法是把网关的MAC地址（通常网关是固定的）放在这条规则的“目标”区，在“以太网：地址”里选择“不等于”，并把网关的MAC地址填写在那时；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。

C.在最后一条“All other packet”里，修改这条规则的“目标”区，在“以太网：地址”里选择“不等于”，MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。其它不改动。

这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯，且网关地址是固定的情况下。

如果你的机器需要与局域网中的机器通讯，仅需要摆脱网络执法官的控制，那么下述方法更简单实用（此方法与防火墙无关）：

进入命令行状态，运行“ARP -s 网关IP 网关MAC”就可以了，想获得网关的MAC，只要Ping一下网关，然后用Arp -a命令查看，就可以得到网关的IP与MAC的对应。此方法应该更具通用性，而且当网关地址可变时也很好操作，重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。

另外，听说op防火墙也可以阻止，我没有试过

防止P2P终结者的攻击

1：第一种方法就是修改自己的MAC地址，

下面就是修改方法：

在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4D36E9E}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述， 比如我的网卡是Intel 210 41 based Ethernet Controller）， 在这里假设你的网卡在0000子键。 在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述， 其值可为"MAC Address"。 这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MACAddress的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。 关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

2：第二种方法就是修改IP到MAC的映射就可使P2P攻击的ARP欺骗失效，就隔开突破它的限制。方法就是在cmd下用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

xp系统:只要用arp命令绑定自己MAC和路由MAC就行了,

如:arp -s 自己IP 自己MAC

arp -s 路由IP 路由MAC

最好都绑定一下,我试过,只绑定路由的话,出了IP冲突就上不去了,别人照样能T你下线.如果绑定了自己的话,IP冲突了也能上网

9x/2000就需要软件了

搜索一下anti arp sniffer就行了,

设置好路由IP,mac

不过我是xp系统也安装了这个软件,可以清楚的看到谁想T你下线或者想限制你

建议更换xp

只要上面设置一下,p2p终结者就报废了,

xp系统在cmd状态输入: arp -a

如果路由IP 还有自己IP最后面状态是static,那么就表示绑定成功

arp -d

绑定之前也最好输入一下,删除非法绑定

介绍个好的ARP防护软件给大家非常适合网吧及公司！/上面有ARP防护软件可以到上面去下载！

回答者：系情至燮 - 试用期 一级 9-26 09:00

提问者对于答案的评价：

现象:

网吧短时间内断线(全断或部分断),在很短的时间内会自动恢复.这是因为MAC地址冲突引起的,当病机的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题.多发于传奇游戏特别是私服务外挂等方面。

解决办法：

1、由于此类病毒采用arp攻击。因此在病毒发作时，网络管理员可任找一台机器，开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表：

Interface: 192.168.0.1 on Interface 0x1000004

Internet Address Physical Address Type

192.168.0.61 00-e0-4c-8c-9a-47 dynamic

192.168.0.70 00-e0-4c-8c-9a-47 dynamic

192.168.0.99 00-e0-4c-8c-81-cc dynamic

192.168.0.102 00-e0-4c-8c-9a-47 dynamic

192.168.0.103 00-e0-4c-8c-9a-47 dynamic

192.168.0.104 00-e0-4c-8c-9a-47 dynamic

可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后网络管理员在DOS窗口中输入“ipconfig /all” 命令，察看每台机器的MAC地址：

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO

Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 10.186.30.158

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 10.186.30.1

DNS Servers . . . . . . . . . . . : 61.147.37.1

通过以上步骤定位到染毒的机器，予以隔离处理。

2、网吧管理员检查局域网病毒，安装杀毒软件（金山毒霸/瑞星，必须要更新病毒代码），对机器进行病毒扫描。

3、没有完全解决方案出现之前，请停止传奇私服服务及客户端游戏。

4、采用工具软件（或者arp －s 方法）在服务器上将MAC地址和IP绑定，或者使用能将MAC地址和IP地址进行绑定的交换机来避免此类情况发生。

5、补充说明：这是全国性的问题，该病毒从3月初开始在全国大面积爆发，不是运营商的线路问题。

安全建议：

1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)

2、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户

3、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护

4、关闭一些不需要的服务，条件允许的可关闭一些没有必要的***享，也包括C$、D$等管理***享。完全单机的用户也可直接关闭Server服务

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。