這幾年隨着網絡的普及和網遊的火爆,讓全國各地形形×××的網吧遍佈大街小巷。網吧的玩家大部分是來玩網遊的,所以對網絡流暢度要求比較高。然而墨者安全通過對網吧業界進行一番調查,發現許多網吧常常受到DDoS功擊,造成網絡接入堵塞,嚴重影響玩家體驗。這已成爲了目前網吧運營面臨的最大問題。
網吧的由於受限於接入用戶的數目和投資成本的限制,往往都使用低端的,的處理性能、包轉發性能和安全防護性能都比較低,而且承擔的功能比較複雜(典型如NAT的功能和數據包過濾功能,都是比較消耗CPU的資源的),面對簡單的小流量TCP FLOOD/UDP FLOOD/ICMP FLOOD功擊都扛不住,更不要說其他大流量的DDOS功擊了,所以當網吧遭到DDOS功擊時,網吧根本沒什麼防禦能力,整個網吧的接入都會中斷,網頁無法正常打開,網絡遊戲也會頻繁掉線等等。
根據我們對網吧的訪問統計,網吧目前遭受DDOS功擊的現狀:
1、出口路由遭到小規模的DDoS功擊成爲家常便飯;
2、每個星期都會有數次較大規模DDoS 功擊導致整個網吧癱瘓;
3、分析網吧功擊的種類主要分爲兩種,一種是帶寬消耗型功擊,主要是把網吧出口的鏈路全部給堵死;另外一種是功擊網吧出口,讓的負載過高,導致數據不能正常轉發或宕機重啓
4、若出口路由遭受大流量 DDoS 功擊,常採用的方法需要網吧的工作人員手動更換IP,方法需要工作人員的干預,而且即使有效也會造成路由下面所有連接的中斷,這對於以網遊爲主要盈利點的網吧來說是不可容忍的更爲嚴重的是,網吧可以使用的IP地址是有限的,功擊者有可能掌握了網吧使用的全部IP,所以方法無法從根本解決問題。
面對DDOS功擊,網吧行業該如何防禦?
1、擴充網絡帶寬
網絡帶寬直接決定了能抗受功擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood功擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味着它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因爲網絡服務商很可能會在交換機上限制實際帶寬爲10M,這點一定要搞清楚。
2、升級服務器硬件性能
在有網絡帶寬保證的前提下,請儘量提升硬件配置,要有效對抗每秒10萬個SYN功擊包,服務器的配置至少應該爲:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要儘量選擇SCSI的,別隻貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的。
3、接入專業的抗DDOS高防服務
通過擴充帶寬和升級硬件,可以緩解那些小流量的DDOS功擊,當遭到大流量DDOS洪水功擊時,可能起到的效果就微乎其微了。這個時候只能通過接入專業的安全廠商來防禦DDOS,比如墨者安全這類的高防公司,通過流量清洗和隱藏源IP,有預防性的構建網絡防禦部署,消除網絡安全隱患,保障服務器的安全。