這幾年隨著網路的普及和網遊的火爆，讓全國各地形形×××的網咖遍佈大街小巷。網咖的玩家大部分是來玩網遊的，所以對網路流暢度要求比較高。然而墨者安全通過對網咖業界進行一番調查，發現許多網咖常常受到DDoS功擊，造成網路接入堵塞，嚴重影響玩家體驗。這已成為了目前網咖運營面臨的最大問題。

網咖的由於受限於接入使用者的數目和投資成本的限制，往往都使用低端的，的處理效能、包轉發效能和安全防護效能都比較低，而且承擔的功能比較複雜（典型如NAT的功能和資料包過濾功能，都是比較消耗CPU的資源的），面對簡單的小流量TCP FLOOD/UDP FLOOD/ICMP FLOOD功擊都扛不住，更不要說其他大流量的DDOS功擊了，所以當網咖遭到DDOS功擊時，網咖根本沒什麼防禦能力，整個網咖的接入都會中斷，網頁無法正常開啟，網路遊戲也會頻繁掉線等等。

根據我們對網咖的訪問統計，網咖目前遭受DDOS功擊的現狀：

1、出口路由遭到小規模的DDoS功擊成為家常便飯；

2、每個星期都會有數次較大規模DDoS 功擊導致整個網咖癱瘓；

3、分析網咖功擊的種類主要分為兩種，一種是頻寬消耗型功擊，主要是把網咖出口的鏈路全部給堵死；另外一種是功擊網咖出口，讓的負載過高，導致資料不能正常轉發或宕機重啟

4、若出口路由遭受大流量 DDoS 功擊，常採用的方法需要網咖的工作人員手動更換IP，方法需要工作人員的干預，而且即使有效也會造成路由下面所有連線的中斷，這對於以網遊為主要盈利點的網咖來說是不可容忍的更為嚴重的是，網咖可以使用的IP地址是有限的，功擊者有可能掌握了網咖使用的全部IP，所以方法無法從根本解決問題。

面對DDOS功擊，網咖行業該如何防禦？

1、擴充網路頻寬

網路頻寬直接決定了能抗受功擊的能力，假若僅僅有10M頻寬的話，無論採取什麼措施都很難對抗現在的SYNFlood功擊，當前至少要選擇100M的共享頻寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網絡卡是1000M的並不意味著它的網路頻寬就是千兆的，若把它接在100M的交換機上，它的實際頻寬不會超過100M，再就是接在100M的頻寬上也不等於就有了百兆的頻寬，因為網路服務商很可能會在交換機上限制實際頻寬為10M，這點一定要搞清楚。

2、升級伺服器硬體效能

在有網路頻寬保證的前提下，請儘量提升硬體配置，要有效對抗每秒10萬個SYN功擊包，伺服器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和記憶體，若有志強雙CPU的話就用它吧，記憶體一定要選擇DDR的高速記憶體，硬碟要儘量選擇SCSI的，別隻貪IDE價格不貴量還足的便宜，否則會付出高昂的效能代價，再就是網絡卡一定要選用3COM或Intel等名牌的。

3、接入專業的抗DDOS高防服務

通過擴充頻寬和升級硬體，可以緩解那些小流量的DDOS功擊，當遭到大流量DDOS洪水功擊時，可能起到的效果就微乎其微了。這個時候只能通過接入專業的安全廠商來防禦DDOS，比如墨者安全這類的高防公司，通過流量清洗和隱藏源IP，有預防性的構建網路防禦部署，消除網路安全隱患，保障伺服器的安全。