安易路由器隱藏IP技術(shù)有效解決網(wǎng)吧DDOS; T# |/ t) n- g2 ]5 m
網(wǎng)吧以前面臨的主要技術(shù)問題是網(wǎng)吧主機的管理和維護���,接入帶寬一般較小����,流行于主干網(wǎng)絡(luò)的DDoS攻擊并不會對網(wǎng)吧造成影響。隨著網(wǎng)游和網(wǎng)絡(luò)使用人群的蓬勃發(fā)展�,網(wǎng)吧的業(yè)務開始擴大���,網(wǎng)絡(luò)接入帶寬越來越大���,客戶也更注重上網(wǎng)的感受,這種網(wǎng)絡(luò)安全問題不可避免的蔓延到了網(wǎng)吧行業(yè)�����。自從2006年以來���,許多網(wǎng)吧常常受到DDoS的洪水攻擊���,造成網(wǎng)絡(luò)接入堵塞,影響了網(wǎng)吧正常業(yè)務的開展���。我們安易防火墻公司也常常接到網(wǎng)吧業(yè)界關(guān)于DDoS攻擊的咨詢電話���,根據(jù)我們對網(wǎng)絡(luò)安全的專業(yè)優(yōu)勢和對網(wǎng)吧業(yè)務的了解,我們曾經(jīng)建議網(wǎng)吧采用過許多方法,包括簡單的封協(xié)議���、封端口��、封IP��、換IP等等�����,這些方法在前兩年曾經(jīng)發(fā)揮了重要的作用�。但隨著網(wǎng)絡(luò)攻擊規(guī)模的升級�����,攻擊的流量也越來越大����,常見的100M接入的網(wǎng)吧采用這些傳統(tǒng)的防御方法已經(jīng)不能抵御目前這種流量,從而影響了客源的穩(wěn)定和網(wǎng)吧的收入�。怎么才能有效的避免網(wǎng)絡(luò)DDoS的攻擊,是目前網(wǎng)吧運營最大的難題����。
* C- v! e7 \+ e& E% W5 [一 網(wǎng)吧遭受攻擊的現(xiàn)狀; m! U0 g* S+ `
根據(jù)我們對網(wǎng)吧的訪問統(tǒng)計�,網(wǎng)吧遭受攻擊已經(jīng)到了泛濫的程度:
$ B& I7 p; p; D7 c+ m; R1. 出口路由遭到小規(guī)模的DDoS攻擊成為家常便飯�����;
1 K0 P9 Y' E. E! S$ s* @5 l5 S2. 每個星期都會有數(shù)次較大規(guī)模DDoS 攻擊導致整個網(wǎng)吧癱瘓����;
4 u( L$ }- [5 [ g3. 目前分析網(wǎng)吧攻擊的種類主要分為兩種��,一種是帶寬消耗型攻擊�����,主要是把網(wǎng)吧出口的鏈路全部給堵死���;另外一種是攻擊網(wǎng)吧出口路由器��,讓路由器的負載過高�,導致數(shù)據(jù)不能正常轉(zhuǎn)發(fā)或宕機重啟����。
; Z+ g0 H, G1 q8 ^ z4. 若出口路由遭受大流量 DDoS 攻擊,目前常采用的方法需要網(wǎng)吧的工作人員手動更換IP��,這種方法需要工作人員的干預,而且即使有效也會造成路由下面所有連接的中斷����,這對于以網(wǎng)游為主要盈利點的網(wǎng)吧來說是不可容忍的。更為嚴重的是����,網(wǎng)吧可以使用的IP地址是有限的,攻擊者有可能掌握了網(wǎng)吧使用的全部IP�����,所以這種方法無法從根本解決問題�����。# r4 A' L: J: R& ^+ q1 K
二 DDoS 攻擊網(wǎng)吧業(yè)務的影響
) M9 b! a* l j/ h! c1 W# z) t網(wǎng)吧是網(wǎng)絡(luò)經(jīng)營性的企業(yè)��,穩(wěn)定的網(wǎng)絡(luò)接入對網(wǎng)吧起著決定性的影響���。尤其是在各種網(wǎng)游����、在線視頻風行的今天�����,網(wǎng)絡(luò)接入的故障會使顧客的消費感受大打折扣。如果這種不穩(wěn)定成為常態(tài)��,顧客自然會流失到其他的網(wǎng)吧�����,并使得網(wǎng)吧的聲譽受到嚴重的影響���。
5 U% F( t& J3 L2 V5 V9 j
2 D8 [) G/ }0 M, ?在DDoS攻擊泛濫的今天����,網(wǎng)吧也未能幸免���,一般的IDC擁有較為充足的帶寬,所以抗DDoS的能力稍好�,而網(wǎng)吧由于帶寬的限制,其抗DDoS能力本質(zhì)上就非常脆弱���。目前網(wǎng)吧的出口帶寬一般都是10~100M的專線接入����,直接連接到城域網(wǎng)的接入層或匯聚層的路由器上,這種網(wǎng)吧帶寬對于現(xiàn)在的DDoS攻擊而言是相當脆弱的��,從安易防火墻公司的調(diào)查來看����,目前的DDoS攻擊流量一般都大于100M,甚至超過1000M�����,在這種量級的流量攻擊下���,網(wǎng)吧100M大小的帶寬對于攻擊分別無能為力����,整個網(wǎng)吧的接入都會中斷�����,網(wǎng)頁無法正常打開���,網(wǎng)游也會斷線和無法連接����。
( h) f& A1 b& g( e
" K1 A; y. K) ~* D) L' S此外,網(wǎng)吧的路由器由于受限于接入用戶的數(shù)目和投資成本的限制�,往往都使用低端的路由器,路由器的處理性能����、包轉(zhuǎn)發(fā)性能和安全防護性能都比較低,而且承擔的功能比較復雜(典型如NAT的功能和數(shù)據(jù)包過濾功能��,都是比較消耗CPU的資源的)���,這種較為低端的路由器��,面對簡單的TCP FLOOD/UDP FLOOD/ICMP FLOOD攻擊都無法勝任���,遑論其他類型的攻擊。在這種情況下���,即使小流量的DDoS攻擊都會使路由器正常的數(shù)據(jù)轉(zhuǎn)發(fā)受到影響,典型表現(xiàn)如網(wǎng)頁打開時間很長�����,網(wǎng)絡(luò)游戲的頻繁掉線等等���。& i* n) S; V* s) s, p4 j2 n6 q
g: e1 y2 @1 W4 I) S9 `由于以上的種種原因��,DDoS攻擊已經(jīng)成為網(wǎng)吧運營面臨的最大問題�,解決這類網(wǎng)絡(luò)安全問題是網(wǎng)吧技術(shù)員最頭痛的問題,各大網(wǎng)吧也在嘗試種種的解決方案���,但根據(jù)安易防火墻的調(diào)查���,目前各個網(wǎng)吧并沒有找到根本的解決方法。5 {3 A% R9 m# V9 I- I8 z
* y/ w" z6 ]0 ?1 x) M
公司的網(wǎng)址:www.ezsafe.cn�����,% ?+ U" c& x# k& k
小玲:0668-2707223
. v7 M: {" s* ~& o' h( t* O% {QQ:1020776006 |
發(fā)表于 2009-7-31 16:18:33
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡