隨著國(guó)內(nèi) Internet 的普及和信息產(chǎn)業(yè)的深化，近幾年寬帶網(wǎng)絡(luò)的發(fā)展尤為迅速。做為寬帶接入重要的客戶群體-網(wǎng)吧，每天聚集著數(shù)量眾多的網(wǎng)迷和潛在的資源。 目前網(wǎng)吧的建設(shè)日益規(guī)模化，高標(biāo)準(zhǔn)化，上百臺(tái)電腦的網(wǎng)吧隨處可見，網(wǎng)吧行業(yè)開始向產(chǎn)業(yè)化過渡。在未來的日子，網(wǎng)吧多樣化經(jīng)營(yíng)的收入將成為影響網(wǎng)吧生存的要素，經(jīng)營(yíng)者也只有提供更多增值服務(wù)才能獲得更大效益。

目前網(wǎng)民在網(wǎng)吧中運(yùn)行的程序也從早期的僅提供網(wǎng)頁瀏覽，文本聊天，查詢資料等應(yīng)用發(fā)展到今天要提供視頻聊天，影視服務(wù)，競(jìng)技游戲等日益復(fù)雜的應(yīng)用，同時(shí)網(wǎng)民在上網(wǎng)的同時(shí)還附帶了大量的其他消費(fèi)，而這些銷售也給網(wǎng)吧提供了更多的收益。通過對(duì)網(wǎng)吧主要收入的分析，我們發(fā)現(xiàn)網(wǎng)吧的主營(yíng)收入基本是由網(wǎng)民的上網(wǎng)費(fèi)及上網(wǎng)中產(chǎn)生的其他消費(fèi)組成，而這些收入無不與網(wǎng)吧良好穩(wěn)定的網(wǎng)絡(luò)相關(guān)。網(wǎng)吧的核心競(jìng)爭(zhēng)力無疑是強(qiáng)大的網(wǎng)絡(luò)應(yīng)用和多元化的增值服務(wù)，如果沒有網(wǎng)絡(luò)平臺(tái)的強(qiáng)力支持，上層的核心競(jìng)爭(zhēng)力是無法保證的，最終也是導(dǎo)致網(wǎng)吧盈利受損。

本文將針對(duì)目前網(wǎng)吧常見的網(wǎng)絡(luò)問題及解決方法進(jìn)行介紹，希望對(duì)各位在日常的經(jīng)營(yíng)中有所幫助。

首先我們先對(duì)網(wǎng)吧常見的網(wǎng)絡(luò)問題進(jìn)行一些初步的了解，目前網(wǎng)吧的網(wǎng)吧常見的問題可以分成三類：1、網(wǎng)民的信息失竊、虛擬貨幣丟失，2、網(wǎng)吧的網(wǎng)絡(luò)遭受攻，3、網(wǎng)吧的帶寬利用率低。這三類問題分別對(duì)應(yīng)這網(wǎng)民的各人信息、財(cái)產(chǎn)的安全，網(wǎng)吧的出口和內(nèi)部服務(wù)器的穩(wěn)定，網(wǎng)絡(luò)游戲、電影、PC運(yùn)營(yíng)慢的問題，這些問題已經(jīng)大范圍的影響了網(wǎng)吧日常的經(jīng)營(yíng)，下面我們將對(duì)每個(gè)不同的問題進(jìn)行詳細(xì)的介紹。

1.網(wǎng)民的信息失竊、虛擬貨幣丟失問題

在近幾年對(duì)網(wǎng)民的調(diào)查中發(fā)現(xiàn)很多網(wǎng)民在網(wǎng)吧上網(wǎng)后丟失了游戲賬號(hào)、游戲中的物品，QQ賬號(hào)被盜、Q幣丟失，銀行帳號(hào)、股票賬號(hào)丟失等。因虛擬貨幣丟失而引起的訴述和商業(yè)糾紛在2007年已經(jīng)成一個(gè)社會(huì)各界關(guān)注的問題，網(wǎng)吧作為為眾多人員提供上網(wǎng)的文化娛樂場(chǎng)所，已經(jīng)被眾多的不法份子當(dāng)作一個(gè)盜竊他人虛擬貨幣的平臺(tái)。而這一切的盜取虛擬貨幣的行為大多都依賴于一個(gè)名叫ARP欺騙的病毒，由ARP欺騙引起的虛擬貨幣盜竊行為，會(huì)修改受害者與出口路由器的映射關(guān)系，將所有向外發(fā)送的數(shù)據(jù)轉(zhuǎn)向由盜竊者控制的電腦，通過截取其中的用戶名和密碼來實(shí)現(xiàn)盜取受害者虛擬貨幣的目的，同時(shí)ARP欺騙還將造成受害者無法上網(wǎng)的情況。

目前針對(duì)這種有ARP欺騙導(dǎo)致的虛擬財(cái)產(chǎn)失竊問題，常見的解決方法有：“雙向ARP綁定，安裝ARP綁定、過濾軟件，通過交換機(jī)過濾ARP欺騙”三種。

1.1 雙向綁定

其中雙向綁定是過去比較常用的一種方法，它在路由器或者ROS代理服務(wù)器上上綁定內(nèi)網(wǎng)所有PC的IP地址和MAC地址，在每一臺(tái)PC上綁定網(wǎng)關(guān)的IP地址和MAC地址，形成一個(gè)相對(duì)固定映射關(guān)系來防止ARP欺騙。這種做法對(duì)過去的ARP病毒是有效的，隨著ARP病毒的演進(jìn)，新的ARP病毒會(huì)在系統(tǒng)運(yùn)行過程中刪除PC的ARP綁定，此時(shí)雙向綁定將失效，所以眾多網(wǎng)吧在雙向綁定后依然出現(xiàn)個(gè)人數(shù)據(jù)、財(cái)產(chǎn)被盜取的事件。

1.2 安裝防ARP欺騙軟件

在雙向綁定失效后，網(wǎng)吧中有出現(xiàn)了一種安裝防ARP欺騙軟件的方法來解決這一類的問題。該方法在PC上安裝ARP FIX或Anti-ARP等類似功能的軟件，該類型軟件先在PC上綁定路由器正確ARP映射，同時(shí)通過監(jiān)控網(wǎng)卡的數(shù)據(jù)，攔截其中的ARP欺騙報(bào)文，來實(shí)現(xiàn)對(duì)ARP欺騙的防御。隨著這類型軟件的流行，新的盜號(hào)人士通過修改病毒代碼，使ARP病毒可以通過修改注冊(cè)表和進(jìn)程管理器，直接停止該類型程序的運(yùn)行，更有甚者可以對(duì)防御軟件其進(jìn)行卸載，使得這類型的軟件失去效果。同時(shí)由于該類型軟件應(yīng)修改了操作系統(tǒng)底層內(nèi)核，加大了系統(tǒng)消耗，使PC的性能降低。另外如果AntiARP驅(qū)動(dòng)不穩(wěn)定，將會(huì)導(dǎo)致用戶計(jì)算機(jī)輕則不能上網(wǎng)，重則系統(tǒng)崩潰。AntiARP驅(qū)動(dòng)在系統(tǒng)0層運(yùn)行，其實(shí)用戶相當(dāng)于將全部權(quán)限給了AntiARP，如果這個(gè)軟件萬一染毒，任何殺毒軟件都無效。(殺毒軟件的權(quán)限最高也只有0層)。

1.3 通過交換機(jī)過濾ARP欺騙

在經(jīng)過雙向綁定和、安裝防ARP欺騙軟件之后，目前網(wǎng)吧中出現(xiàn)了另一個(gè)依靠硬件的防ARP方法。這種方式在交換機(jī)生成每臺(tái)PC的IP、MAC關(guān)系映射表，通過交換機(jī)自身的ARP過濾模塊，過濾每個(gè)端口下連接的PC發(fā)出的ARP報(bào)文。交換機(jī)只轉(zhuǎn)發(fā)擁有正確映射關(guān)系的ARP報(bào)文，對(duì)所有IP或MAC不對(duì)應(yīng)的ARP報(bào)文自動(dòng)丟棄。該處理方法無需對(duì)PC進(jìn)行任何操作，節(jié)省了PC的資源。

2. 網(wǎng)吧網(wǎng)絡(luò)遭受攻擊的問題

隨著網(wǎng)吧行業(yè)競(jìng)爭(zhēng)的日益激烈，網(wǎng)吧的網(wǎng)絡(luò)被人惡意DDoS攻擊已經(jīng)不再是新聞。網(wǎng)吧的網(wǎng)絡(luò)設(shè)備如果遭到惡意的攻擊，將導(dǎo)致網(wǎng)絡(luò)無法使用，若攻擊網(wǎng)吧的服務(wù)器則會(huì)使游戲服務(wù)器無法流暢運(yùn)行，電影服務(wù)器播放視頻斷斷續(xù)續(xù)，無盤服務(wù)器無法工作，導(dǎo)致無盤網(wǎng)吧停業(yè)，計(jì)費(fèi)服務(wù)器無法正常工作，客戶機(jī)認(rèn)證、結(jié)賬出現(xiàn)問題。

針對(duì)網(wǎng)吧的網(wǎng)絡(luò)攻擊又可以分為針對(duì)路由器的和針對(duì)內(nèi)網(wǎng)服務(wù)器、交換機(jī)的兩種。

2.1 針對(duì)路由器的DDoS攻擊

其中針對(duì)路由器的攻擊會(huì)導(dǎo)致網(wǎng)吧的出口癱瘓，而目前路由器常見的防DDoS攻擊的方法有三種：1、計(jì)數(shù)器法，2、協(xié)議分析法，3、協(xié)議分析+計(jì)數(shù)器。

2.1.1 計(jì)數(shù)器法

計(jì)數(shù)器法通過端口計(jì)數(shù)器與事先設(shè)置的閥值，限制外網(wǎng)口收到的所有數(shù)據(jù)(無論是否由內(nèi)網(wǎng)引發(fā))，該方法抗攻擊能力較強(qiáng)，普通路由器器都能有10M以上的能力。但是該處理方式粗放，一旦端口上的數(shù)據(jù)量達(dá)到設(shè)定的閥值就進(jìn)行全局限速，進(jìn)而影響全局的應(yīng)用。

2.1.2 協(xié)議分析法

協(xié)議分析法對(duì)各種DDoS攻擊方式進(jìn)行協(xié)議級(jí)的分析，通過CPU判斷所有經(jīng)過端口的報(bào)文，若報(bào)文匹配內(nèi)置的協(xié)議分析器，CPU將對(duì)攻擊報(bào)文進(jìn)行過濾，但是該處理方法消耗大量CPU資源，如果CPU性能不強(qiáng)將導(dǎo)致整體抗攻擊性能不佳。

2.1.3 協(xié)議分析+計(jì)數(shù)器法

協(xié)議分析+計(jì)數(shù)器法，該處理方法兼有協(xié)議分析法的精確與計(jì)數(shù)器法的性能，它對(duì)所有非內(nèi)部引起的連接進(jìn)行監(jiān)控及協(xié)議匹配，并對(duì)其進(jìn)行嚴(yán)格的計(jì)數(shù)控制，同時(shí)該處理方法還修改了TCP/IP協(xié)議棧，加強(qiáng)了抗DDoS能力，目前該處理方式可支持的DDoS攻擊協(xié)議分析已達(dá)10種以上。

2.2 針對(duì)內(nèi)網(wǎng)服務(wù)器和交換機(jī)的DDoS攻擊

針對(duì)內(nèi)網(wǎng)服務(wù)器和交換機(jī)攻擊常見的防御方法也有三種：1、關(guān)鍵設(shè)備前架設(shè)防火墻，2、在PC上安裝過濾軟件，3、通過交換機(jī)過濾DDoS攻擊。

2.2.1 關(guān)鍵設(shè)備前加設(shè)防火墻

關(guān)鍵設(shè)備前加設(shè)防火墻，過濾內(nèi)網(wǎng)PC向關(guān)鍵設(shè)備發(fā)起的DDoS攻擊，該方法在每個(gè)核心網(wǎng)絡(luò)設(shè)備如核心交換機(jī)、路由器、服務(wù)器前安裝一臺(tái)硬件防火墻，防護(hù)的整體成本過高，使得該方案無法對(duì)網(wǎng)吧眾多關(guān)鍵設(shè)備進(jìn)行全面的防護(hù)，目前2-3萬元左右的防火墻整體通過能力與防護(hù)能力在60M左右。

2.2.2 在PC上安裝過濾軟件

在PC上安裝過濾軟件，PC成為軟件防火墻過濾PC發(fā)出DDoS報(bào)文，一般這類軟件稱自己為防水墻。它與ARP防御軟件類似，通過監(jiān)控網(wǎng)卡中所有的報(bào)文，并將其與軟件自身設(shè)定的內(nèi)容進(jìn)行比對(duì)。受限于軟件自身的處理能力，該類型的軟件一般僅過濾TCP協(xié)議，而對(duì)網(wǎng)吧中大量游戲、視頻應(yīng)用使用的UDP、ICMP、ARP等報(bào)文不做過濾。由于過濾的報(bào)文數(shù)量眾多且持續(xù)不斷，對(duì)PC的性能造成了影響嚴(yán)重，經(jīng)過測(cè)試在30-40M流量下，由于過濾軟件的原因很容易導(dǎo)致PC的CPU使用率超過90% 。

2.2.3 通過安全交換機(jī)過濾網(wǎng)絡(luò)中所有的DDoS攻擊

通過安全交換機(jī)過濾網(wǎng)絡(luò)中所有的DDoS攻擊，該方法類似于對(duì)ARP的防御方法，通過交換機(jī)內(nèi)置硬件DDoS防御模塊，每個(gè)端口對(duì)收到的DDoS攻擊報(bào)文，進(jìn)行基于硬件的過濾。同時(shí)交換機(jī)在開啟DDoS攻擊防御的同時(shí)，啟用自身協(xié)議保護(hù)，保證自身的CPU不被DDoS報(bào)文影響。目前已知的，通過交換機(jī)可以過濾TCP SYN、UDP SYN、ICMP SYN、Land等常見DDoS攻擊，基本涵蓋了網(wǎng)吧中常見的各種DDoS攻擊。利用交換機(jī)防御DDoS攻擊，防御效率高，對(duì)PC和網(wǎng)絡(luò)無影響，是目前最經(jīng)濟(jì)高效的防御方式。