网吧网络常见问题与解决方案

责任编辑：张富凯

网吧网络常见问题与解决方案

发表时间：2008-07-02 09:09:47.0 作者：CBISMB编辑

2.网吧网络遭受攻击的问题

随着网吧行业竞争的日益激烈，网吧的网络被人恶意DDoS攻击已经不再是新闻。网吧的网络设备如果遭到恶意的攻击，将导致网络无法使用，若攻击网吧的服务器则会使游戏服务器无法流畅运行，电影服务器播放视频断断续续，无盘服务器无法工作，导致无盘网吧停业，计费服务器无法正常工作，客户机认证、结账出现问题。

针对网吧的网络攻击又可以分为针对路由器的和针对内网服务器、交换机的两种。

2.1针对路由器的DDoS攻击

其中针对路由器的攻击会导致网吧的出口瘫痪，而目前路由器常见的防DDoS攻击的方法有三种：1、计数器法，2、协议分析法，3、协议分析+计数器。

2.1.1计数器法

计数器法通过端口计数器与事先设置的阀值，限制外网口收到的所有数据（无论是否由内网引发），该方法抗攻击能力较强，普通路由器器都能有10M以上的能力。但是该处理方式粗放，一旦端口上的数据量达到设定的阀值就进行全局限速，进而影响全局的应用。

2.1.2协议分析法

协议分析法对各种DDoS攻击方式进行协议级的分析，通过CPU判断所有经过端口的报文，若报文匹配内置的协议分析器，CPU将对攻击报文进行过滤，但是该处理方法消耗大量CPU资源，如果CPU性能不强将导致整体抗攻击性能不佳。

2.1.3协议分析+计数器法

协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引起的连接进行监控及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP协议栈，加强了抗DDoS能力，目前该处理方式可支持的DDoS攻击协议分析已达10种以上。

2.2针对内网服务器和交换机的DDoS攻击

针对内网服务器和交换机攻击常见的防御方法也有三种：1、关键设备前架设防火墙，2、在PC上安装过滤软件，3、通过交换机过滤DDoS攻击。

2.2.1 关键设备前加设防火墙

关键设备前加设防火墙，过滤内网PC向关键设备发起的DDoS攻击，该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙，防护的整体成本过高，使得该方案无法对网吧众多关键设备进行全面的防护，目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。

2.2.2在PC上安装过滤软件

在PC上安装过滤软件，PC成为软件防火墙过滤PC发出DDoS报文，一般这类软件称自己为防水墙。它与ARP防御软件类似，通过监控网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断，对PC的性能造成了影响严重，经过测试在30-40M流量下，由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。

2.2.3通过安全交换机过滤网络中所有的DDoS攻击

通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。

请您留言

热点新闻 | 头条回顾 | 热门案例 | 热门方案