文章出自:http://blog.sina.com.cn/s/blog_599767520100a7u3.html 网吧以前面临的主要技术问题是网吧主机的管理和维护,接入带宽一般较小,流行于主干网络的DDoS攻击并不会对网吧造成影响。随着网游和网络使用人群的蓬勃发展,网吧的业务开始扩大,网络接入带宽越来越大,客户也更注重上网的感受,这种网络安全问题不可避免的蔓延到了网吧行业。自从2006年以来,许多网吧常常受到DDoS的洪水攻击,造成网络接入堵塞,影响了网吧正常业务的开展。我们安易公司也常常接到网吧业界关于DDoS攻击的咨询电话,根据我们对网络安全的专业优势和对网吧业务的了解,我们曾经建议网吧采用过许多方法,包括简单的封协议、封端口、封IP、换IP等等,这些方法在前两年曾经发挥了重要的作用。但随着网络攻击规模的升级,攻击的流量也越来越大,常见的100M接入的网吧采用这些传统的防御方法已经不能抵御目前这种流量,从而影响了客源的稳定和网吧的收入。怎么才能有效的避免网络DDoS的攻击,是目前网吧运营最大的难题。 一
& d9 M+ |: A# L6 l# q, H( P- z4 n: p& i6 C: {$ `
网吧遭受攻击的现状 根据我们对网吧的访问统计,网吧遭受攻击已经到了泛滥的程度: 1. 出口路由遭到小规模的DDoS攻击成为家常便饭; 2. 每个星期都会有数次较大规模DDoS 攻击导致整个网吧瘫痪; 3. 目前分析网吧攻击的种类主要分为两种,一种是带宽消耗型攻击,主要是把网吧出口的链路全部给堵死;另外一种是攻击网吧出口路由器,让路由器的负载过高,导致数据不能正常转发或宕机重启。 4. 若出口路由遭受大流量 DDoS 攻击,目前常采用的方法需要网吧的工作人员手动更换IP,这种方法需要工作人员的干预,而且即使有效也会造成路由下面所有连接的中断,这对于以网游为主要盈利点的网吧来说是不可容忍的。更为严重的是,网吧可以使用的IP地址是有限的,攻击者有可能掌握了网吧使用的全部IP,所以这种方法无法从根本解决问题。 二5 \& Z% P8 F# _- i! p3 l
DDoS 攻击网吧业务的影响 网吧是网络经营性的企业,稳定的网络接入对网吧起着决定性的影响。尤其是在各种网游、在线视频风行的今天,网络接入的故障会使顾客的消费感受大打折扣。如果这种不稳定成为常态,顾客自然会流失到其他的网吧,并使得网吧的声誉受到严重的影响。 在DDoS攻击泛滥的今天,网吧也未能幸免,一般的IDC拥有较为充足的带宽,所以抗DDoS的能力稍好,而网吧由于带宽的限制,其抗DDoS能力本质上就非常脆弱。目前网吧的出口带宽一般都是10~100M的专线接入,直接连接到城域网的接入层或汇聚层的路由器上,这种网吧带宽对于现在的DDoS攻击而言是相当脆弱的,从安易公司的调查来看,目前的DDoS攻击流量一般都大于100M,甚至超过1000M,在这种量级的流量攻击下,网吧100M大小的带宽对于攻击分别无能为力,整个网吧的接入都会中断,网页无法正常打开,网游也会断线和无法连接。 此外,网吧的路由器由于受限于接入用户的数目和投资成本的限制,往往都使用低端的路由器,路由器的处理性能、包转发性能和安全防护性能都比较低,而且承担的功能比较复杂(典型如NAT的功能和数据包过滤功能,都是比较消耗CPU的资源的),这种较为低端的路由器,面对简单的TCP FLOOD/UDP FLOOD/ICMP FLOOD攻击都无法胜任,遑论其他类型的攻击。在这种情况下,即使小流量的DDoS攻击都会使路由器正常的数据转发受到影响,典型表现如网页打开时间很长,网络游戏的频繁掉线等等。 由于以上的种种原因,DDoS攻击已经成为网吧运营面临的最大问题,解决这类网络安全问题是网吧技术员最头痛的问题,各大网吧也在尝试种种的解决方案,但根据安易的调查,目前各个网吧并没有找到根本的解决方法。 |