FavoriteLoading
0

網吧被攻擊怎么辦?網吧DDOS防御解決方案

網吧大家都去過吧,中國互聯網的普及,以及電腦的普及。不僅提高了工作效率而且極大的豐富了人們的業余生活,因此,在全國很多城市和縣城都會有網吧的存在,但由于上網的人員比較復雜并且競爭壓力大,所以往往容易遭受競爭對手或打擊報復者的惡意DDOS攻擊,而導致所有網絡用戶無法上網,服務器無法對外網提供服務,輕則人氣漸失,重則因長期無法正常營業導致被迫關門,實在是網吧主的長久之痛,為了最大程度的保護運營者的利益,8090安全小組結合天津Ddos聯盟 多年抗DDOS的實踐經驗給出了最少的安全投資可獲得最大安全回報的DDOS防御解決方案,希望對廣大網吧吧主有所幫助。

一、現象分析

網吧接入商的互聯網接入形式主要為自拉網絡專線,通過購買一臺路由器或用安裝有Sygate等路由軟件的服務器作為網關為內網用戶提供上網服務,正常情況下,內網都可以自由流暢的訪問互聯網絡,但假定可排除線路和硬件故障的情況下,若突然發現無法瀏覽外部網站網頁,正在玩游戲的用戶掉線等現象,則說明很有可能是遭受了DDOS攻擊,具體判定方法如下:

找一臺配置較高,網卡品質較好的電腦,把外部接入互聯網的網線插入到該電腦的網卡上并設置好外網IP地址和網關,然后按照以下步驟進行觀察分析。

1、SYNFlood攻擊判定

(1)網上鄰居->右鍵選“屬性”->雙擊網卡,觀察每秒收到的包數量,若大于500,則可以肯定是受到了SYNFlood攻擊。

(2)開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態,則說明遭受了SYNFlood攻擊。

(3)網線插上后,服務器立即凝固無法操作,拔出后有時可以恢復,有時候需要重新啟動機器才可恢復,則也說明遭受了SYNFlood類的流量攻擊。

2、TCP多連接攻擊判定

開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到很多外部IP地址都與本機的服務端口建立了幾十個以上的ESTABLISHED狀態的連接,則說明遭到了TCP多連接攻擊。

二、解決方案

多年的統計數據表明,想徹底解決DDOS是幾乎不可能的,就好比治療感冒一樣,我們可以治療,也可以預防,但卻無法根治,但我們若采取積極有效的防御方法,則可在很大程度上降低或減緩生病的機率,防治DDOS攻擊也是如此,擁有充足的帶寬和配置足夠高的主機硬件是必需的,那么什么算是充足的帶寬呢?一般來說至少應該是100M共享,那么什么算配置足夠高的主機硬件呢?一般來說至少應該是P4 2.4G的CPU、512M內存和Intel等品牌網卡。擁有此配置的帶寬和主機理論上可應對每秒20萬以上的SYN攻擊,但這需要借助于專業配置和專用軟件才可實現,默認情況下,絕大多數服務器難以抵御每秒1000個以上SYN的攻擊。針對網吧的DDOS解決方案,首先要確保有一臺高配置帶雙網卡的電腦做為網關機,外網卡接外網,內網卡接內網,對于已經購買路由器的,可考慮將路由器串接在內網卡上或者放棄不用,對于采用安裝Sygate等路由軟件做網關機的直接對該網關機做優化處理或安裝專業防火墻軟件即可。以下方案即為針對網關機進行的。

1、免費DDOS解決方案

通過優化Windows 2000或2003系統的注冊表,可有效對抗每秒約1萬個左右的SYN攻擊,方法是把以下文本內容存盤為antiddos.reg然后導入注冊表并重新啟動即可

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

此方案的優點是,采用系統自身的能力來解決問題,而無需任何花費,缺點是只能抵御每秒少于10000的SYN攻擊,并且無法解決TCP多連接攻擊。

 

 

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。