安易防火牆防火牆分析網吧為何受到ddos攻擊 (2008-08-04 16:36:49)

文章出自：http://blog.sina.com.cn/s/blog_599767520100a7u3.html 

網吧以前面臨的主要技術問題是網吧主機的管理和維護，接入帶寬一般較小，流行于主幹網絡的DDoS攻擊並不會對網吧造成影響。隨着網游和網絡使用人群的蓬勃發展，網吧的業務開始擴大，網絡接入帶寬越來越大，客戶也更注重上網的感受，這種網絡安全問題不可避免的蔓延到了網吧行業。自從2006年以來，許多網吧常常受到DDoS的洪水攻擊，造成網絡接入堵塞，影響了網吧正常業務的開展。我們安易防火牆公司也常常接到網吧業界關於DDoS攻擊的咨詢電話，根據我們對網絡安全的專業優勢和對網吧業務的了解，我們曾經建議網吧採用過許多方法，包括簡單的封協議、封端口、封IP、換IP等等，這些方法在前兩年曾經發揮了重要的作用。但隨着網絡攻擊規模的升級，攻擊的流量也越來越大，常見的100M接入的網吧採用這些傳統的防禦方法已經不能抵禦目前這種流量，從而影響了客源的穩定和網吧的收入。怎麼才能有效的避免網絡DDoS的攻擊，是目前網吧運營最大的難題。

一       網吧遭受攻擊的現狀

根據我們對網吧的訪問統計，網吧遭受攻擊已經到了氾濫的程度：

1.       出口路由遭到小規模的DDoS攻擊成為家常便飯；

2.       每個星期都會有數次較大規模DDoS 攻擊導致整個網吧癱瘓；

3.       目前分析網吧攻擊的種類主要分為兩種，一種是帶寬消耗型攻擊，主要是把網吧出口的鏈路全部給堵死；另外一種是攻擊網吧出口路由器，讓路由器的負載過高，導致數據不能正常轉發或宕機重啟。

4.       若出口路由遭受大流量 DDoS 攻擊，目前常採用的方法需要網吧的工作人員手動更換IP，這種方法需要工作人員的干預，而且即使有效也會造成路由下面所有連接的中斷，這對於以網游為主要盈利點的網吧來說是不可容忍的。更為嚴重的是，網吧可以使用的IP地址是有限的，攻擊者有可能掌握了網吧使用的全部IP，所以這種方法無法從根本解決問題。

二       DDoS 攻擊網吧業務的影響

網吧是網絡經營性的企業，穩定的網絡接入對網吧起着決定性的影響。尤其是在各種網游、在線視頻風行的今天，網絡接入的故障會使顧客的消費感受大打折扣。如果這種不穩定成為常態，顧客自然會流失到其他的網吧，並使得網吧的聲譽受到嚴重的影響。

在DDoS攻擊氾濫的今天，網吧也未能倖免，一般的IDC擁有較為充足的帶寬，所以抗DDoS的能力稍好，而網吧由於帶寬的限制，其抗DDoS能力本質上就非常脆弱。目前網吧的出口帶寬一般都是10～100M的專線接入，直接連接到城域網的接入層或匯聚層的路由器上，這種網吧帶寬對於現在的DDoS攻擊而言是相當脆弱的，從安易防火牆公司的調查來看，目前的DDoS攻擊流量一般都大於100M，甚至超過1000M，在這種量級的流量攻擊下，網吧100M大小的帶寬對於攻擊分別無能為力，整個網吧的接入都會中斷，網頁無法正常打開，網游也會斷線和無法連接。

此外，網吧的路由器由於受限於接入用戶的數目和投資成本的限制，往往都使用低端的路由器，路由器的處理性能、包轉發性能和安全防護性能都比較低，而且承擔的功能比較複雜（典型如NAT的功能和數據包過濾功能，都是比較消耗CPU的資源的），這種較為低端的路由器，面對簡單的TCP FLOOD/UDP FLOOD/ICMP FLOOD攻擊都無法勝任，遑論其他類型的攻擊。在這種情況下，即使小流量的DDoS攻擊都會使路由器正常的數據轉發受到影響，典型表現如網頁打開時間很長，網絡遊戲的頻繁掉線等等。

由於以上的種種原因，DDoS攻擊已經成為網吧運營面臨的最大問題，解決這類網絡安全問題是網吧技術員最頭痛的問題，各大網吧也在嘗試種種的解決方案，但根據安易防火牆的調查，目前各個網吧並沒有找到根本的解決方法。

安易網址： www.ezsafe.cn

聯繫人：楊婧

qq:1020776006

聯繫電話：0668-2990111

全國免費售前咨詢電話：800 888 4999

公司地址：廣東省茂名市光華中路116號A區二層27-28號