深入分析 網吧網路常見問題與解決方案

深入分析 網吧網路常見問題與解決方案 （1）

發佈時間：2008.07.04 06:49 來源：賽迪網 作者：majusaka


【賽迪網-IT技術社區整理】隨著國內 Internet 的普及和資訊產業的深化，近幾年寬帶網路的發展尤為迅速。做為寬帶接入重要的客戶群體-網吧，每天聚集著數量眾多的網迷和潛在的資源。 目前網吧的建設日益規模化，高標準化，上百台電腦的網吧隨處可見，網吧行業開始向產業化過渡。在未來的日子，網吧多樣化經營的收入將成為影響網吧生存的要素，經營者也只有提供更多增值服務才能獲得更大效益。

從上圖可以看出目前網民在網吧中運行的程式也從早期的僅提供網頁瀏覽，文本聊天，查詢資料等應用發展到今天要提供視頻聊天，影視服務，競技遊戲等日益複雜的應用，同時網民在上網的同時還附帶了大量的其他消費，而這些銷售也給網吧提供了更多的收益。通過對網吧主要收入的分析，我們發現網吧的主營收入基本是由網民的上網費及上網中產生的其他消費組成，而這些收入無不與網吧良好穩定的網路相關。網吧的核心競爭力無疑是強大的網路應用和多元化的增值服務，如果沒有網路平臺的強力支援，上層的核心競爭力是無法保證的，最終也是導致網吧盈利受損。

本文將針對目前網吧常見的網路問題及解決方法進行介紹，希望對各位在日常的經營中有所幫助。

首先我們先對網吧常見的網路問題進行一些初步的了解，目前網吧的網吧常見的問題可以分成三類：1、網民的資訊失竊、虛擬貨幣丟失，2、網吧的網路遭受攻，3、網吧的帶寬利用率低。這三類問題分別對應這網民的各人資訊、財產的安全，網吧的出口和內部伺服器的穩定，網路遊戲、電影、PC運營慢的問題，這些問題已經大範圍的影響了網吧日常的經營，下面我們將對每個不同的問題進行詳細的介紹。

1.網民的資訊失竊、虛擬貨幣丟失問題

在近幾年對網民的調查中發現很多網民在網吧上網後丟失了遊戲賬號、遊戲中的物品，QQ賬號被盜、Q幣丟失，銀行帳號、股票賬號丟失等。因虛擬貨幣丟失而引起的訴述和商業糾紛在2007年已經成一個社會各界關注的問題，網吧作為為眾多人員提供上網的文化娛樂場所，已經被眾多的不法份子當作一個盜竊他人虛擬貨幣的平臺。而這一切的盜取虛擬貨幣的行為大多都依賴於一個名叫ARP欺騙的病毒，由ARP欺騙引起的虛擬貨幣盜竊行為，會修改受害者與出口路由器的映射關係，將所有向外發送的數據轉向由盜竊者控制的電腦，通過截取其中的用戶名和密碼來實現盜取受害者虛擬貨幣的目的，同時ARP欺騙還將造成受害者無法上網的情況。

目前針對這種有ARP欺騙導致的虛擬財產失竊問題，常見的解決方法有：“雙向ARP綁定，安裝ARP綁定、過濾軟體，通過交換機過濾ARP欺騙”三種。


深入分析 網吧網路常見問題與解決方案 （2）

發佈時間：2008.07.04 06:49 來源：賽迪網 作者：majusaka


1.1 雙向綁定

其中雙向綁定是過去比較常用的一種方法，它在路由器或者ROS代理伺服器上上綁定內網所有PC的IP地址和MAC地址，在每一台PC上綁定網關的IP地址和MAC地址，形成一個相對固定映射關係來防止ARP欺騙。這種做法對過去的ARP病毒是有效的，隨著ARP病毒的演進，新的ARP病毒會在系統運行過程中刪除PC的ARP綁定，此時雙向綁定將失效，所以眾多網吧在雙向綁定後依然出現個人數據、財產被盜取的事件。

1.2 安裝防ARP欺騙軟體

在雙向綁定失效後，網吧中有出現了一種安裝防ARP欺騙軟體的方法來解決這一類的問題。該方法在PC上安裝ARP FIX或Anti-ARP等類似功能的軟體，該類型軟體先在PC上綁定路由器正確ARP映射，同時通過監控網卡的數據，攔截其中的ARP欺騙報文，來實現對ARP欺騙的防禦。隨著這類型軟體的流行，新的盜號人士通過修改病毒代碼，使ARP病毒可以通過修改註冊表和進程管理器，直接停止該類型程式的運行，更有甚者可以對防禦軟體其進行卸載，使得這類型的軟體失去效果。同時由於該類型軟體應修改了作業系統底層內核，加大了系統消耗，使PC的性能降低。另外如果AntiARP驅動不穩定，將會導致用戶電腦輕則不能上網，重則系統崩潰。AntiARP驅動在系統0層運行，其實用戶相當於將全部許可權給了AntiARP，如果這個軟體萬一染毒，任何殺毒軟體都無效。（殺毒軟體的許可權最高也只有0層）。

1.3 通過交換機過濾ARP欺騙
在經過雙向綁定和、安裝防ARP欺騙軟體之後，目前網吧中出現了另一個依靠硬體的防ARP方法。這種方式在交換機生成每台PC的IP、MAC關係映射表，通過交換機自身的ARP過濾模組，過濾每個端口下連接的PC發出的ARP報文。交換機只轉發擁有正確映射關係的ARP報文，對所有IP或MAC不對應的ARP報文自動丟棄。該處理方法無需對PC進行任何操作，節省了PC的資源。

2. 網吧網路遭受攻擊的問題

隨著網吧行業競爭的日益激烈，網吧的網路被人惡意DDoS攻擊已經不再是新聞。網吧的網路設備如果遭到惡意的攻擊，將導致網路無法使用，若攻擊網吧的伺服器則會使遊戲伺服器無法流暢運行，電影伺服器播放視頻斷斷續續，無盤伺服器無法工作，導致無盤網吧停業，計費伺服器無法正常工作，客戶機認證、結賬出現問題。

針對網吧的網路攻擊又可以分為針對路由器的和針對內網伺服器、交換機的兩種。

2.1 針對路由器的DDoS攻擊

其中針對路由器的攻擊會導致網吧的出口癱瘓，而目前路由器常見的防DDoS攻擊的方法有三種：1、計數器法，2、協議分析法，3、協議分析+計數器。

2.1.1 計數器法

計數器法通過端口計數器與事先設置的閥值，限制外網口收到的所有數據（無論是否由內網引發），該方法抗攻擊能力較強，普通路由器器都能有10M以上的能力。但是該處理方式粗放，一旦端口上的數據量達到設定的閥值就進行全局限速，進而影響全局的應用。

2.1.2 協議分析法

協議分析法對各種DDoS攻擊方式進行協議級的分析，通過CPU判斷所有經過端口的報文，若報文匹配內置的協議分析器，CPU將對攻擊報文進行過濾，但是該處理方法消耗大量CPU資源，如果CPU性能不強將導致整體抗攻擊性能不佳。

深入分析 網吧網路常見問題與解決方案 （3）

發佈時間：2008.07.04 06:49 來源：賽迪網 作者：majusaka


2.1.3 協議分析+計數器法

協議分析+計數器法，該處理方法兼有協議分析法的精確與計數器法的性能，它對所有非內部引起的連接進行監控及協議匹配，並對其進行嚴格的計數控制，同時該處理方法還修改了TCP/IP協議棧，加強了抗DDoS能力，目前該處理方式可支援的DDoS攻擊協議分析已達10種以上。

2.2 針對內網伺服器和交換機的DDoS攻擊

針對內網伺服器和交換機攻擊常見的防禦方法也有三種：1、關鍵設備前架設防火牆，2、在PC上安裝過濾軟體，3、通過交換機過濾DDoS攻擊。

2.2.1 關鍵設備前加設防火牆

關鍵設備前加設防火牆，過濾內網PC向關鍵設備發起的DDoS攻擊，該方法在每個核心網路設備如核心交換機、路由器、伺服器前安裝一台硬體防火牆，防護的整體成本過高，使得該方案無法對網吧眾多關鍵設備進行全面的防護，目前2-3萬元左右的防火牆整體通過能力與防護能力在60M左右。

2.2.2 在PC上安裝過濾軟體

在PC上安裝過濾軟體，PC成為軟體防火牆過濾PC發出DDoS報文，一般這類軟體稱自己為防水墻。它與ARP防禦軟體類似，通過監控網卡中所有的報文，並將其與軟體自身設定的內容進行比對。受限于軟體自身的處理能力，該類型的軟體一般僅過濾TCP協議，而對網吧中大量遊戲、視頻應用使用的UDP、ICMP、ARP等報文不做過濾。由於過濾的報文數量眾多且持續不斷，對PC的性能造成了影響嚴重，經過測試在30-40M流量下，由於過濾軟體的原因很容易導致PC的CPU使用率超過90% 。

2.2.3 通過安全交換機過濾網路中所有的DDoS攻擊

通過安全交換機過濾網路中所有的DDoS攻擊，該方法類似于對ARP的防禦方法，通過交換機內置硬體DDoS防禦模組，每個端口對收到的DDoS攻擊報文，進行基於硬體的過濾。同時交換機在開啟DDoS攻擊防禦的同時，啟用自身協議保護，保證自身的CPU不被DDoS報文影響。目前已知的，通過交換機可以過濾TCP SYN、UDP SYN、ICMP SYN、Land等常見DDoS攻擊，基本涵蓋了網吧中常見的各種DDoS攻擊。利用交換機防禦DDoS攻擊，防禦效率高，對PC和網路無影響，是目前最經濟高效的防禦方式。

3. 網路網吧的帶寬利用率低

網吧網路速度的快慢是網吧吸引網民的一個根本，但目前網吧中經常出現看電影慢、玩遊戲卡，內網系統更新慢、更新時還在營業的PC變卡，無盤系統運行慢、無盤系統的DHCP伺服器被頂替的情況。

3.1 網吧網路關鍵設備選項

而這一類問題中慢與卡基本都與設備的選型息息相關，接下來我們將向大家介紹路由器、交換機選型中比較關鍵的幾個參數指標：


深入分析 網吧網路常見問題與解決方案 （4）

發佈時間：2008.07.04 06:49 來源：賽迪網 作者：majusaka


3.1.1 路由器選型關鍵參數

•轉發速率——100M線路需要297.6kpps轉發速率（雙向），若以20M帶寬為例，需要路由器的轉發能力達到60Kpps（雙向）。

•NAT會話總數——一台PC設置350-500個NAT會話數，200台PC的網吧需要7—10萬條NAT會話數。

•可以提供合理的基於網路使用率、上機率、時間的帶寬控制，有效的提供網吧的出口帶寬使用率。

3.1.2 交換機選型關鍵參數

•交換容量——該參數影響交換機的轉發能力，該數值的計算最低要求所有交換機端口帶寬相加×2

•支援ARP欺騙防禦、防DDoS攻擊等安全功能，且都採用硬體方式實現

•支援VLAN劃分，支援QoS，支援組播，可以有效避免網路克隆、廣播風暴等造成的網吧卡現象

3.2 內網系統更新慢、營業的PC卡

內網系統更新慢、更新時還在營業的PC變卡，多因交換機不支援系統更新（網路克隆）所採用的組播技術。隨著技術的發展，網吧系統更新已經從過去的廣播模式轉變成現在使用的高效的組播更新技術，系統更新數據在不支援組播的交換機上向網吧所有PC進行轉發。而廣播方式的轉發導致正常使用的PC需接收處理無用的數據，同時廣播導致網路擁塞，使得更新數據與上網數據滯留在傳輸通道。如採用組播更新系統，交換機僅對需要跟新的PC轉發數據，保證了營業PC的正常使用，組播僅對數據進行一次複製，交換總帶寬得到合理保證，有效避免網路擁塞。

3.3 無盤系統運行慢，DHCP伺服器被人惡意攻擊

由於無盤系統在短時間（幾秒鐘）內需要傳輸幾個G的數據，此時需要全千兆網路支撐無盤網吧，而無盤系統採用與系統更新相同的先進的組播技術進行數據轉發，可利用支援組播的交換機加速傳輸。當無盤系統啟用時，首先需要一台DHCP伺服器對客戶端進行IP地址分配。根據DHCP協議定義，一個網路中只允許存在一台DHCP伺服器，若有人蓄意架設第二台DHCP伺服器，將出現網吧PC無法獲得正確IP地址的情況，通過交換機的DHCP伺服器保護功能，可以將所有客戶端的IP地址分配都指向我們指定的DHCP伺服器，保證客戶端獲得正確的IP地址。

責任編輯：封小明