解密:網吧中DDOS攻擊防備的詳細說明（附圖）_IT /計算機_資料

網吧的DDOS攻擊插圖DDOS攻擊：DOS攻擊是一種拒絕服務攻擊，它是的。 DDOS攻擊是多對一的分布式拒絕服務攻擊。我下面要談論的是內部網絡上的DDOS攻擊，因為沒有人敢說可以對外部網絡上的DDOS攻擊做到100％。出于特定原因，讓我們在下面進行詳細分析。 DDOS攻擊，我們也稱為泛洪攻擊，單臺或多臺計算機發送大量數據包以阻止路由器或服務器（無盤），那么我們必須解決：核心交換機到路由器和核心交換機到服務器之間的鏈路帶寬問題。讓我們首先看下面的網絡拓撲圖：網吧的網絡拓撲可以簡化為上述類型（完整的千兆網絡），而DOS攻擊可以看作是路由到網關192.的客戶端之一。 168.1.1當泛洪攻擊數據包出現并且路由使用ROS時，使用UDP攻擊者（阿拉丁）攻擊計算機時，攻擊流量為760M，ROS和Sea Spider都正常，而760M小于核心交換機和路由器之間的總帶寬。當192. 168.1.2和192. 168.1.3同時使用UDP Aladdin攻擊路由器時，總帶寬為1G ，兩臺機器的流量均達到760M，總共1520M大于1G，192. 168.1.6 PING ROS，海蜘蛛丟失了很多數據包（并不是說ROS不好對于海蜘蛛，請往下看。）

后來我拿一臺NRN2600-07路由器進行測試，因為NRN2600-07上有4個100M LAN端口，一個千兆位LAN端口，我使用千兆位LAN端口連接到核心交換機千兆位端口，使用一臺筆記本電腦是連接到NRN2600-07的100M LAN端口。當以下192. 168.1.2和192. 168.1.3同時攻擊NRN2600-07時，路由器也存在數據包丟失，并且僅連接到路由器的筆記本電腦沒有丟包，并且再次執行了三個客戶端。當四個客戶端受到Aladdin攻擊時，客戶端192. 168.1.6數據包始終被丟棄，但筆記本電腦192. 168.1.8未被丟棄�，F在，我們已經分析了該網絡拓撲圖，結論是不一定是ROS，海蜘蛛或某些其他硬路由無法處理如此大的洪流，而是由于核心交換機和路由器之間的帶寬瓶頸。我們如何解決這個問題？我訪問了南京的許多網吧和網絡管理員，包括一些互聯網服務提供商，包括南京的一些知名技術專家。他們說，他們想解決DDOS攻擊，而且無論是Intranet還是Extranet，都沒有遇到真正可行的方法。 。我只是隨便與他們聊天，說我無法在外部網絡上解決它，但可以在內部網絡上解決它。他們非常愚蠢。我今天將編寫此解決方案。讓我們討論一下。我采用了這種方法嗎？可以解決DDOS泛洪攻擊：因為核心交換機和路由器之間的最大帶寬只有1G，所以當攻擊發生時，我們必須找到一種使核心交換機和路由器之間的攻擊流量小于1G的方法。這時，它不僅在交換機和路由器之間。帶寬不會被阻塞，無論是軟路由還是硬路由，小于1G的攻擊流量都可以得到處理，而不會丟失數據包。

首先想到的是所有內部網絡攻擊數據包都將通過核心交換機。然后，我們必須找到一種操縱核心交換機的方法。我們都知道交換機是通過MAC地址尋址的，而路由是通過IP地址搜索的。如果可以在交換機上實現基于IP地址的限速，則可以完全實現上述解決方案�，F在發現交換機支持此功能。 NSW1824中的速度限制不是端口速度限制。我們也知道，如果使用端口速度限制，我們的內部網絡速度將消失。這里的速度限制是，以下是從客戶端IP到路由器IP的上載流量的速率限制。這意味著，當您下面的客戶端啟動大量的流量攻擊路由時，數據將到達交換機，而交換機會限制將數據上傳到路由的速率，從而不會影響以下客戶端訪問電影，游戲，和無盤服務器的傳輸速度。如果您認為上傳速度較低，對于500個單位的網絡，我們將交換機的上傳速度限制為2048Kb，而500個單位僅為1G。因此，此方法是網吧抵御DDOS攻擊的最有效方法。您可以發布討論并交換DDOS攻擊。我們主要討論Intranet DDOS攻擊。

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/tongxingongju/article-343883-1.html