1. 程式人生 > >網咖行業遭到DDOS功擊該怎麼辦?

網咖行業遭到DDOS功擊該怎麼辦?

這幾年隨著網路的普及和網遊的火爆,讓全國各地形形×××的網咖遍佈大街小巷。網咖的玩家大部分是來玩網遊的,所以對網路流暢度要求比較高。然而墨者安全通過對網咖業界進行一番調查,發現許多網咖常常受到DDoS功擊,造成網路接入堵塞,嚴重影響玩家體驗。這已成為了目前網咖運營面臨的最大問題。


QQ截圖20181204145733.jpg


網咖的由於受限於接入使用者的數目和投資成本的限制,往往都使用低端的,的處理效能、包轉發效能和安全防護效能都比較低,而且承擔的功能比較複雜(典型如NAT的功能和資料包過濾功能,都是比較消耗CPU的資源的),面對簡單的小流量TCP FLOOD/UDP FLOOD/ICMP FLOOD功擊都扛不住,更不要說其他大流量的DDOS功擊了,所以當網咖遭到DDOS功擊時,網咖根本沒什麼防禦能力,整個網咖的接入都會中斷,網頁無法正常開啟,網路遊戲也會頻繁掉線等等。



QQ截圖20181204151233.jpg


根據我們對網咖的訪問統計,網咖目前遭受DDOS功擊的現狀:


1、出口路由遭到小規模的DDoS功擊成為家常便飯;

2、每個星期都會有數次較大規模DDoS 功擊導致整個網咖癱瘓;

3、分析網咖功擊的種類主要分為兩種,一種是頻寬消耗型功擊,主要是把網咖出口的鏈路全部給堵死;另外一種是功擊網咖出口,讓的負載過高,導致資料不能正常轉發或宕機重啟

4、若出口路由遭受大流量 DDoS 功擊,常採用的方法需要網咖的工作人員手動更換IP,方法需要工作人員的干預,而且即使有效也會造成路由下面所有連線的中斷,這對於以網遊為主要盈利點的網咖來說是不可容忍的更為嚴重的是,網咖可以使用的IP地址是有限的,功擊者有可能掌握了網咖使用的全部IP,所以方法無法從根本解決問題。



QQ截圖20181129134723.jpg


面對DDOS功擊,網咖行業該如何防禦?


1、擴充網路頻寬

網路頻寬直接決定了能抗受功擊的能力,假若僅僅有10M頻寬的話,無論採取什麼措施都很難對抗現在的SYNFlood功擊,當前至少要選擇100M的共享頻寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網絡卡是1000M的並不意味著它的網路頻寬就是千兆的,若把它接在100M的交換機上,它的實際頻寬不會超過100M,再就是接在100M的頻寬上也不等於就有了百兆的頻寬,因為網路服務商很可能會在交換機上限制實際頻寬為10M,這點一定要搞清楚。


2、升級伺服器硬體效能

在有網路頻寬保證的前提下,請儘量提升硬體配置,要有效對抗每秒10萬個SYN功擊包,伺服器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和記憶體,若有志強雙CPU的話就用它吧,記憶體一定要選擇DDR的高速記憶體,硬碟要儘量選擇SCSI的,別隻貪IDE價格不貴量還足的便宜,否則會付出高昂的效能代價,再就是網絡卡一定要選用3COM或Intel等名牌的。


3、接入專業的抗DDOS高防服務

通過擴充頻寬和升級硬體,可以緩解那些小流量的DDOS功擊,當遭到大流量DDOS洪水功擊時,可能起到的效果就微乎其微了。這個時候只能通過接入專業的安全廠商來防禦DDOS,比如墨者安全這類的高防公司,通過流量清洗和隱藏源IP,有預防性的構建網路防禦部署,消除網路安全隱患,保障伺服器的安全。