安易路由器隱藏IP技術(shù)有效解決網(wǎng)吧DDOS5 L. t! g a* g. w. h) @# N
網(wǎng)吧以前面臨的主要技術(shù)問(wèn)題是網(wǎng)吧主機(jī)的管理和維護(hù)�����,接入帶寬一般較小�,流行于主干網(wǎng)絡(luò)的DDoS攻擊并不會(huì)對(duì)網(wǎng)吧造成影響。隨著網(wǎng)游和網(wǎng)絡(luò)使用人群的蓬勃發(fā)展����,網(wǎng)吧的業(yè)務(wù)開(kāi)始擴(kuò)大,網(wǎng)絡(luò)接入帶寬越來(lái)越大�,客戶(hù)也更注重上網(wǎng)的感受,這種網(wǎng)絡(luò)安全問(wèn)題不可避免的蔓延到了網(wǎng)吧行業(yè)��。自從2006年以來(lái)����,許多網(wǎng)吧常常受到DDoS的洪水攻擊,造成網(wǎng)絡(luò)接入堵塞���,影響了網(wǎng)吧正常業(yè)務(wù)的開(kāi)展��。我們安易防火墻公司也常常接到網(wǎng)吧業(yè)界關(guān)于DDoS攻擊的咨詢(xún)電話(huà)���,根據(jù)我們對(duì)網(wǎng)絡(luò)安全的專(zhuān)業(yè)優(yōu)勢(shì)和對(duì)網(wǎng)吧業(yè)務(wù)的了解�,我們?cè)?jīng)建議網(wǎng)吧采用過(guò)許多方法���,包括簡(jiǎn)單的封協(xié)議��、封端口���、封IP、換IP等等�����,這些方法在前兩年曾經(jīng)發(fā)揮了重要的作用���。但隨著網(wǎng)絡(luò)攻擊規(guī)模的升級(jí)�����,攻擊的流量也越來(lái)越大�����,常見(jiàn)的100M接入的網(wǎng)吧采用這些傳統(tǒng)的防御方法已經(jīng)不能抵御目前這種流量��,從而影響了客源的穩(wěn)定和網(wǎng)吧的收入��。怎么才能有效的避免網(wǎng)絡(luò)DDoS的攻擊��,是目前網(wǎng)吧運(yùn)營(yíng)最大的難題���。' J- H) b; ^% E7 J' X* J
一 網(wǎng)吧遭受攻擊的現(xiàn)狀# `' n7 N: u* {/ T/ |
根據(jù)我們對(duì)網(wǎng)吧的訪問(wèn)統(tǒng)計(jì),網(wǎng)吧遭受攻擊已經(jīng)到了泛濫的程度:
5 i; R I) Z" n1. 出口路由遭到小規(guī)模的DDoS攻擊成為家常便飯�;
1 t9 T( v; V7 c6 Q2. 每個(gè)星期都會(huì)有數(shù)次較大規(guī)模DDoS 攻擊導(dǎo)致整個(gè)網(wǎng)吧癱瘓;+ s5 o \' K" X7 E2 ]" G# q
3. 目前分析網(wǎng)吧攻擊的種類(lèi)主要分為兩種�����,一種是帶寬消耗型攻擊����,主要是把網(wǎng)吧出口的鏈路全部給堵死;另外一種是攻擊網(wǎng)吧出口路由器����,讓路由器的負(fù)載過(guò)高�����,導(dǎo)致數(shù)據(jù)不能正常轉(zhuǎn)發(fā)或宕機(jī)重啟��。: T0 R5 U' i- U6 q' P/ E
4. 若出口路由遭受大流量 DDoS 攻擊�,目前常采用的方法需要網(wǎng)吧的工作人員手動(dòng)更換IP��,這種方法需要工作人員的干預(yù)��,而且即使有效也會(huì)造成路由下面所有連接的中斷�����,這對(duì)于以網(wǎng)游為主要盈利點(diǎn)的網(wǎng)吧來(lái)說(shuō)是不可容忍的��。更為嚴(yán)重的是����,網(wǎng)吧可以使用的IP地址是有限的,攻擊者有可能掌握了網(wǎng)吧使用的全部IP����,所以這種方法無(wú)法從根本解決問(wèn)題。$ K: e; v2 v/ ^/ \
二 DDoS 攻擊網(wǎng)吧業(yè)務(wù)的影響
5 q: @" {' a! C: H網(wǎng)吧是網(wǎng)絡(luò)經(jīng)營(yíng)性的企業(yè)�����,穩(wěn)定的網(wǎng)絡(luò)接入對(duì)網(wǎng)吧起著決定性的影響。尤其是在各種網(wǎng)游��、在線(xiàn)視頻風(fēng)行的今天�,網(wǎng)絡(luò)接入的故障會(huì)使顧客的消費(fèi)感受大打折扣��。如果這種不穩(wěn)定成為常態(tài)���,顧客自然會(huì)流失到其他的網(wǎng)吧��,并使得網(wǎng)吧的聲譽(yù)受到嚴(yán)重的影響��。1 \0 G* M6 I8 T2 X1 j* Q$ h
7 t/ U5 e6 g' S: q$ H! b9 l& l" f
在DDoS攻擊泛濫的今天����,網(wǎng)吧也未能幸免��,一般的IDC擁有較為充足的帶寬���,所以抗DDoS的能力稍好����,而網(wǎng)吧由于帶寬的限制,其抗DDoS能力本質(zhì)上就非常脆弱��。目前網(wǎng)吧的出口帶寬一般都是10~100M的專(zhuān)線(xiàn)接入�,直接連接到城域網(wǎng)的接入層或匯聚層的路由器上,這種網(wǎng)吧帶寬對(duì)于現(xiàn)在的DDoS攻擊而言是相當(dāng)脆弱的���,從安易防火墻公司的調(diào)查來(lái)看����,目前的DDoS攻擊流量一般都大于100M���,甚至超過(guò)1000M�����,在這種量級(jí)的流量攻擊下����,網(wǎng)吧100M大小的帶寬對(duì)于攻擊分別無(wú)能為力���,整個(gè)網(wǎng)吧的接入都會(huì)中斷�����,網(wǎng)頁(yè)無(wú)法正常打開(kāi)�����,網(wǎng)游也會(huì)斷線(xiàn)和無(wú)法連接���。
2 u) {; Y6 h& h& v7 l$ \ N/ f2 Z5 w$ r7 C! z: v
此外��,網(wǎng)吧的路由器由于受限于接入用戶(hù)的數(shù)目和投資成本的限制����,往往都使用低端的路由器�,路由器的處理性能��、包轉(zhuǎn)發(fā)性能和安全防護(hù)性能都比較低��,而且承擔(dān)的功能比較復(fù)雜(典型如NAT的功能和數(shù)據(jù)包過(guò)濾功能���,都是比較消耗CPU的資源的)����,這種較為低端的路由器���,面對(duì)簡(jiǎn)單的TCP FLOOD/UDP FLOOD/ICMP FLOOD攻擊都無(wú)法勝任�,遑論其他類(lèi)型的攻擊。在這種情況下�����,即使小流量的DDoS攻擊都會(huì)使路由器正常的數(shù)據(jù)轉(zhuǎn)發(fā)受到影響��,典型表現(xiàn)如網(wǎng)頁(yè)打開(kāi)時(shí)間很長(zhǎng)����,網(wǎng)絡(luò)游戲的頻繁掉線(xiàn)等等。9 i) u, j7 G/ @0 H
, L$ z; @# a" W8 P+ ^0 E/ F
由于以上的種種原因�����,DDoS攻擊已經(jīng)成為網(wǎng)吧運(yùn)營(yíng)面臨的最大問(wèn)題��,解決這類(lèi)網(wǎng)絡(luò)安全問(wèn)題是網(wǎng)吧技術(shù)員最頭痛的問(wèn)題���,各大網(wǎng)吧也在嘗試種種的解決方案���,但根據(jù)安易防火墻的調(diào)查,目前各個(gè)網(wǎng)吧并沒(méi)有找到根本的解決方法。' o+ f3 I, C8 f" i0 D
2 Q, q- w( l$ }7 J0 V {: Z公司的網(wǎng)址:www.ezsafe.cn����,
4 l- E8 N* i d0 M# D* Y小玲:0668-2707223: T1 H& [5 h6 F# ?5 C! X4 n+ {
QQ:1020776006 |
發(fā)表于 2009-7-31 16:18:33
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡