取经篇！网吧网络常见问题与解决方案

第三页

2.1.3 协议分析+计数器法

协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引起的连接进行监控及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP协议栈，加强了抗DDoS能力，目前该处理方式可支持的DDoS攻击协议分析已达10种以上。

2.2 针对内网服务器和交换机的DDoS攻击

针对内网服务器和交换机攻击常见的防御方法也有三种：1、关键设备前架设防火墙，2、在PC上安装过滤软件，3、通过交换机过滤DDoS攻击。

2.2.1 关键设备前加设防火墙

关键设备前加设防火墙，过滤内网PC向关键设备发起的DDoS攻击，该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙，防护的整体成本过高，使得该方案无法对网吧众多关键设备进行全面的防护，目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。

2.2.2 在PC上安装过滤软件

在PC上安装过滤软件，PC成为软件防火墙过滤PC发出DDoS报文，一般这类软件称自己为防水墙。它与ARP防御软件类似，通过监控网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断，对PC的性能造成了影响严重，经过测试在30-40M流量下，由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。

2.2.3 通过安全交换机过滤网络中所有的DDoS攻击

通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。

3. 网络网吧的带宽利用率低

网吧网络速度的快慢是网吧吸引网民的一个根本，但目前网吧中经常出现看电影慢、玩游戏卡，内网系统更新慢、更新时还在营业的PC变卡，无盘系统运行慢、无盘系统的DHCP服务器被顶替的情况。

3.1 网吧网络关键设备选项

而这一类问题中慢与卡基本都与设备的选型息息相关，接下来我们将向大家介绍路由器、交换机选型中比较关键的几个参数指标：

开心

【本文章已有0人讨论,点击查看】

网吧常见问题相关文章 »更多

»返回企业中心