网吧DDOS攻击防御详细解释(附图)

网吧DDOS攻击图解

DDOS攻击：

DOS攻击是拒绝服务攻击，是一对一的。DDOS攻击是分布式拒绝服务攻击，是多对一的。

我下面要说的是内网的DDOS攻击，因为外网的DDOS攻击确实还没有人敢说可以100%搞定，具体原因，我们下面来详细的分析下。

DDOS攻击，我们又称为洪水攻击，单一或者多个机器发送大量数据包堵塞路由或服务器（无盘），那我们就要解决：核心交换机到路由和核心交换机到服务器之间的链路带宽问题。我们先看下面的网络拓扑图：

网吧的网络拓扑可以简化成以上类型（全千兆网络），DOS攻击我们可以看做是其中的一台客户机向网关路由192.168.1.1发生洪水攻击包，路由采用ROS的时候，用UDP攻击器（阿拉丁）一台机器攻击的时候，攻击流量为760M，ROS、海蜘蛛都一切正常，760M 小于核心交换机和路由器之间的总带宽1G，当192.168.1.2和192.168.1.3同时进行UDP阿拉丁攻击路由器的时候，两台机器的流量都达到760M，加起来是1520M大于1G，192.168.1.6 PING ROS、海蜘蛛已经大量丢包（不是说ROS与海蜘蛛不行，向下看）。后来我拿了个NRN2600-07路由进行测试，因为NRN2600-07上有4个百兆LAN口，一个千兆LAN口，我用千兆LAN口接在核心交换机千兆口上，用一台笔记本接在NRN2600-07的百兆LAN 口上，下面的192.168.1.2和192.168.1.3同时攻击NRN2600-07的时候，路由器也是出现了掉包，单是接在路由器上的笔记本一个包都没掉，再次进行3台客户机，四台客户机进行阿拉丁攻击的时候，客户机192.168.1.6始终是掉包，但是笔记本192.168.1.8都没有掉包。我们现在分析了下这个网络拓扑图，结论是并不一定是ROS、海蜘蛛，或者是一些其他的硬路由处理不了这么大的洪水流量，而是因为核心交换机到路由器之间的带宽瓶颈问题，那我们该怎么解决这样的问题呢？

我走访了南京很多的网吧网管，包括一些网维商，其中包括一些在南京比较有名的技术牛人，他们说想解决DDOS攻击还真没碰到一个确实可行的方式，不管是内网还是外网。我就跟他们随便聊了下，说我外网解决不了，但是内网我能解决，他们很木讷，我今天就把这个解决方案写出来，大家来讨论下，我采用的这种方式是不是能够解决DDOS洪水攻击：

因为核心交换机到路由器之间最大只有1G的带宽，我们就要想办法当攻击产生的时候，使核心交换机到路由之间的攻击流量小于1G，这个时候不但交换机和路由器之间的带宽没被堵塞，而且小于1G的攻击流量不管是软路由还是硬路由都能够处理的过来，不会掉包。

那首先想到的是，所有的内网攻击包都会经过核心交换机，那就要想办法在核心交换机上做手脚，我们都知道交换机是通过MAC地址寻址的，路由是通过IP地址寻址的，要是在交换机上能做到基于IP地址的限速，那上面的解决方式完全能够实现。现在目前发现一款交换机支持这种功能,NSW1824

这个地方的限速不是端口限速，我们也知道，要是端口限速的话，我们的内网速度会荡然无存，这个地方的限速是指，下面的客户机IP到路由器IP的上传流量的限速。

这个意思就是，当你下面的客户机发起再大流量攻击路由的时候，数据到达交换机，交换机做到数据上传到路由的流量限速，这样还不影响下面的客户机到电影、游戏、无盘服务器的传输速度。如果觉得上传速度小的话，对于一个500台的网络，我们在交换机上限制上传速度2048Kb，500台也才1G。所以这种方式对于网吧防御DDOS攻击最有效的方法。

大家可以发表讨论，交流下DDOS攻击，我们主要讨论的是内网DDOS攻击。