loveqcn2008 发表于 2009-6-3 06:25:00

网吧网络常见问题与解决方案2

2.1.3 协议分析+计数器法
协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对所有非内部引起的连接进行监控及协议匹配,并对其进行严格的计数控制,同时该处理方法还修改了TCP/IP协议栈,加强了抗DDoS能力,目前该处理方式可支持的DDoS攻击协议分析已达10种以上。
2.2 针对内网服务器和交换机的DDoS攻击
针对内网服务器和交换机攻击常见的防御方法也有三种:1、关键设备前架设防火墙,2、在PC上安装过滤软件,3、通过交换机过滤DDoS攻击。
2.2.1 关键设备前加设防火墙
关键设备前加设防火墙,过滤内网PC向关键设备发起的DDoS攻击,该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙,防护的整体成本过高,使得该方案无法对网吧众多关键设备进行全面的防护,目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。
2.2.2 在PC上安装过滤软件
在PC上安装过滤软件,PC成为软件防火墙过滤PC发出DDoS报文,一般这类软件称自己为防水墙。它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断,对PC的性能造成了影响严重,经过测试在30-40M流量下,由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。
2.2.3 通过安全交换机过滤网络中所有的DDoS攻击
通过安全交换机过滤网络中所有的DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。目前已知的,通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击,防御效率高,对PC和网络无影响,是目前最经济高效的防御方式。
3. 网络网吧的带宽利用率低
网吧网络速度的快慢是网吧吸引网民的一个根本,但目前网吧中经常出现看电影慢、玩游戏卡,内网系统更新慢、更新时还在营业的PC变卡,无盘系统运行慢、无盘系统的DHCP服务器被顶替的情况。
3.1 网吧网络关键设备选项
而这一类问题中慢与卡基本都与设备的选型息息相关,接下来我们将向大家介绍路由器、交换机选型中比较关键的几个参数指标:
3.1.1 路由器选型关键参数
?转发速率——100M线路需要297.6kpps转发速率(双向),若以20M带宽为例,需要路由器的转发能力达到60Kpps(双向)。
?NAT会话总数——一台PC设置350-500个NAT会话数,200台PC的网吧需要7—10万条NAT会话数。
?可以提供合理的基于网络使用率、上机率、时间的带宽控制,有效的提供网吧的出口带宽使用率。
3.1.2 交换机选型关键参数
?交换容量——该参数影响交换机的转发能力,该数值的计算最低要求所有交换机端口带宽相加×2
?支持ARP欺骗防御、防DDoS攻击等安全功能,且都采用硬件方式实现
?支持VLAN划分,支持QoS,支持组播,可以有效避免网络克隆、广播风暴等造成的网吧卡现象
3.2 内网系统更新慢、营业的PC卡
内网系统更新慢、更新时还在营业的PC变卡,多因交换机不支持系统更新(网络克隆)所采用的组播技术。随着技术的发展,网吧系统更新已经从过去的广播模式转变成现在使用的高效的组播更新技术,系统更新数据在不支持组播的交换机上向网吧所有PC进行转发。而广播方式的转发导致正常使用的PC需接收处理无用的数据,同时广播导致网络拥塞,使得更新数据与上网数据滞留在传输通道。如采用组播更新系统,交换机仅对需要跟新的PC转发数据,保证了营业PC的正常使用,组播仅对数据进行一次复制,交换总带宽得到合理保证,有效避免网络拥塞。
3.3 无盘系统运行慢,DHCP服务器被人恶意攻击
由于无盘系统在短时间(几秒钟)内需要传输几个G的数据,此时需要全千兆网络支撑无盘网吧,而无盘系统采用与系统更新相同的先进的组播技术进行数据转发,可利用支持组播的交换机加速传输。当无盘系统启用时,首先需要一台DHCP服务器对客户端进行IP地址分配。根据DHCP协议定义,一个网络中只允许存在一台DHCP服务器,若有人蓄意架设第二台DHCP服务器,将出现网吧PC无法获得正确IP地址的情况,通过交换机的DHCP服务器保护功能,可以将所有客户端的IP地址分配都指向我们指定的DHCP服务器,保证客户端获得正确的IP地址。
页: [1]
查看完整版本: 网吧网络常见问题与解决方案2