解密:网吧中DDOS攻击防备的详细说明（附图）_IT /计算机_资料

网吧的DDOS攻击插图DDOS攻击：DOS攻击是一种拒绝服务攻击，它是的。 DDOS攻击是多对一的分布式拒绝服务攻击。我下面要谈论的是内部网络上的DDOS攻击，因为没有人敢说可以对外部网络上的DDOS攻击做到100％。出于特定原因，让我们在下面进行详细分析。 DDOS攻击，我们也称为泛洪攻击，单台或多台计算机发送大量数据包以阻止路由器或服务器（无盘），那么我们必须解决：核心交换机到路由器和核心交换机到服务器之间的链路带宽问题。让我们首先看下面的网络拓扑图：网吧的网络拓扑可以简化为上述类型（完整的千兆网络），而DOS攻击可以看作是路由到网关192.的客户端之一。 168.1.1当泛洪攻击数据包出现并且路由使用ROS时，使用UDP攻击者（阿拉丁）攻击计算机时，攻击流量为760M，ROS和Sea Spider都正常，而760M小于核心交换机和路由器之间的总带宽。当192. 168.1.2和192. 168.1.3同时使用UDP Aladdin攻击路由器时，总带宽为1G ，两台机器的流量均达到760M，总共1520M大于1G，192. 168.1.6 PING ROS，海蜘蛛丢失了很多数据包（并不是说ROS不好对于海蜘蛛，请往下看。）

后来我拿一台NRN2600-07路由器进行测试，因为NRN2600-07上有4个100M LAN端口，一个千兆位LAN端口，我使用千兆位LAN端口连接到核心交换机千兆位端口，使用一台笔记本电脑是连接到NRN2600-07的100M LAN端口。当以下192. 168.1.2和192. 168.1.3同时攻击NRN2600-07时，路由器也存在数据包丢失，并且仅连接到路由器的笔记本电脑没有丢包，并且再次执行了三个客户端。当四个客户端受到Aladdin攻击时，客户端192. 168.1.6数据包始终被丢弃，但笔记本电脑192. 168.1.8未被丢弃。现在，我们已经分析了该网络拓扑图，结论是不一定是ROS，海蜘蛛或某些其他硬路由无法处理如此大的洪流，而是由于核心交换机和路由器之间的带宽瓶颈。我们如何解决这个问题？我访问了南京的许多网吧和网络管理员，包括一些互联网服务提供商，包括南京的一些知名技术专家。他们说，他们想解决DDOS攻击，而且无论是Intranet还是Extranet，都没有遇到真正可行的方法。 。我只是随便与他们聊天，说我无法在外部网络上解决它，但可以在内部网络上解决它。他们非常愚蠢。我今天将编写此解决方案。让我们讨论一下。我采用了这种方法吗？可以解决DDOS泛洪攻击：因为核心交换机和路由器之间的最大带宽只有1G，所以当攻击发生时，我们必须找到一种使核心交换机和路由器之间的攻击流量小于1G的方法。这时，它不仅在交换机和路由器之间。带宽不会被阻塞，无论是软路由还是硬路由，小于1G的攻击流量都可以得到处理，而不会丢失数据包。

首先想到的是所有内部网络攻击数据包都将通过核心交换机。然后，我们必须找到一种操纵核心交换机的方法。我们都知道交换机是通过MAC地址寻址的，而路由是通过IP地址搜索的。如果可以在交换机上实现基于IP地址的限速，则可以完全实现上述解决方案。现在发现交换机支持此功能。 NSW1824中的速度限制不是端口速度限制。我们也知道，如果使用端口速度限制，我们的内部网络速度将消失。这里的速度限制是，以下是从客户端IP到路由器IP的上载流量的速率限制。这意味着，当您下面的客户端启动大量的流量攻击路由时，数据将到达交换机，而交换机会限制将数据上传到路由的速率，从而不会影响以下客户端访问电影，游戏，和无盘服务器的传输速度。如果您认为上传速度较低，对于500个单位的网络，我们将交换机的上传速度限制为2048Kb，而500个单位仅为1G。因此，此方法是网吧抵御DDOS攻击的最有效方法。您可以发布讨论并交换DDOS攻击。我们主要讨论Intranet DDOS攻击。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-343883-1.html