随着国内 Internet 的普及和信息产业的深化。 近几年宽带网络的发展尤为迅速。做为宽带接入重要的客户群体-网吧,每天聚集着数量众多的网迷和潜在的资源。 目前网吧的建设日益规模化,高标准化,上百台电脑的网吧随处可见,网吧行业开始向产业化过渡。在未来的日子,网吧多样化经营的收入将成为影响网吧生存的要素,经营者也只有提供更多增值服务才能获得更大效益。
从上图可以看出目前网民在网吧中运行的程序也从早期的仅提供网页浏览,文本聊天,查询资料等应用发展到今天要提供视频聊天,影视服务,竞技游戏等日益复杂的应用,同时网民在上网的同时还附带了大量的其他消费,而这些销售也给网吧提供了更多的收益。通过对网吧主要收入的分析,我们发现网吧的主营收入基本是由网民的上网费及上网中产生的其他消费组成,而这些收入无不与网吧良好稳定的网络相关。网吧的核心竞争力无疑是强大的网络应用和多元化的增值服务,如果没有网络平台的强力支持,上层的核心竞争力是无法保证的,最终也是导致网吧盈利受损。
本文将针对目前网吧常见的网络问题及解决方法进行介绍,希望对各位在日常的经营中有所帮助。
首先我们先对网吧常见的网络问题进行一些初步的了解,目前网吧的网吧常见的问题可以分成三类:1、网民的信息失窃、虚拟货币丢失,2、网吧的网络遭受攻,3、网吧的带宽利用率低。这三类问题分别对应这网民的各人信息、财产的安全,网吧的出口和内部服务器的稳定,网络游戏、电影、PC运营慢的问题,这些问题已经大范围的影响了网吧日常的经营,
下面我们将对每个不同的问题进行详细的介绍。
1. 网民的信息失窃、虚拟货币丢失问题
在近几年对网民的调查中发现很多网民在网吧上网后丢失了游戏账号、游戏中的物品,QQ账号被盗、Q币丢失,银行帐号、股票账号丢失等。因虚拟货币丢失而引起的诉述和商业纠纷在2007年已经成一个社会各界关注的问题,网吧作为为众多人员提供上网的文化娱乐场所,已经被众多的不法份子当作一个盗窃他人虚拟货币的平台。而这一切的盗取虚拟货币的行为大多都依赖于一个名叫ARP欺骗的病毒,由ARP欺骗引起的虚拟货币盗窃行为,会修改受害者与出口路由器的映射关系,将所有向外发送的数据转向由盗窃者控制的电脑,通过截取其中的用户名和密码来实现盗取受害者虚拟货币的目的,同时ARP欺骗还将造成受害者无法上网的情况。
目前针对这种有ARP欺骗导致的虚拟财产失窃问题,常见的解决方法有:"双向ARP绑定,安装ARP绑定、过滤软件,通过交换机过滤ARP欺骗"三种。
1.1 双向绑定
其中双向绑定是过去比较常用的一种方法,它在路由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址,在每一台PC上绑定网关的IP地址和MAC地址,形成一个相对固定映射关系来防止ARP欺骗。这种做法对过去的ARP病毒是有效的,随着ARP病毒的演进,新的ARP病毒会在系统运行过程中删除PC的ARP绑定,此时双向绑定将失效,所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。
1.2 安装防ARP欺骗软件
在双向绑定失效后,网吧中有出现了一种安装防ARP欺骗软件的方法来解决这一类的问题。该方法在PC上安装ARP FIX或Anti-ARP等类似功能的软件,该类型软件先在PC上绑定路由器正确ARP映射,同时通过监控网卡的数据,拦截其中的ARP欺骗报文,来实现对ARP欺骗的防御。随着这类型软件的流行,新的盗号人士通过修改病毒代码,使ARP病毒可以通过修改注册表和进程管理器,直接停止该类型程序的运行,更有甚者可以对防御软件其进行卸载,使得这类型的软件失去效果。同时由于该类型软件应修改了操作系统底层内核,加大了系统消耗,使PC的性能降低。另外如果AntiARP驱动不稳定,将会导致用户计算机轻则不能上网,重则系统崩溃。AntiARP驱动在系统0层运行,其实用户相当于将全部权限给了AntiARP,如果这个软件万一染毒,任何杀毒软件都无效。(杀毒软件的权限最高也只有0层)。
1.3 通过交换机过滤ARP欺骗
在经过双向绑定和、安装防ARP欺骗软件之后,目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表,通过交换机自身的ARP过滤模块,过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文,对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作,节省了PC的资源。
2. 网吧网络遭受攻击的问题
随着网吧行业竞争的日益激烈,网吧的网络被人恶意DDoS攻击已经不再是新闻。网吧的网络设备如果遭到恶意的攻击,将导致网络无法使用,若攻击网吧的服务器则会使游戏服务器无法流畅运行,电影服务器播放视频断断续续,无盘服务器无法工作,导致无盘网吧停业,计费服务器无法正常工作,客户机认证、结账出现问题。
针对网吧的网络攻击又可以分为针对路由器的和针对内网服务器、交换机的两种。
2.1 针对路由器的DDoS攻击
其中针对路由器的攻击会导致网吧的出口瘫痪,而目前路由器常见的防DDoS攻击的方法有三种:1、计数器法,2、协议分析法,3、协议分析+计数器。
2.1.1 计数器法
计数器法通过端口计数器与事先设置的阀值,限制外网口收到的所有数据(无论是否由内网引发),该方法抗攻击能力较强,普通路由器器都能有10M以上的能力。但是该处理方式粗放,一旦端口上的数据量达到设定的阀值就进行全局限速,进而影响全局的应用。
2.1.2 协议分析法
协议分析法对各种DDoS攻击方式进行协议级的分析,通过CPU判断所有经过端口的报文,若报文匹配内置的协议分析器,CPU将对攻击报文进行过滤,但是该处理方法消耗大量CPU资源,如果CPU性能不强将导致整体抗攻击性能不佳。
2.1.3 协议分析+计数器法
协议分析+计数器法,该处理方法兼有协议分析法的精确与计数器法的性能,它对所有非内部引起的连接进行监控及协议匹配,并对其进行严格的计数控制,同时该处理方法还修改了TCP/IP协议栈,加强了抗DDoS能力,目前该处理方式可支持的DDoS攻击协议分析已达10种以上。
2.2 针对内网服务器和交换机的DDoS攻击
针对内网服务器和交换机攻击常见的防御方法也有三种:1、关键设备前架设防火墙,2、在PC上安装过滤软件,3、通过交换机过滤DDoS攻击。
2.2.1 关键设备前加设防火墙
关键设备前加设防火墙,过滤内网PC向关键设备发起的DDoS攻击,该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙,防护的整体成本过高,使得该方案无法对网吧众多关键设备进行全面的防护,目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。
2.2.2 在PC上安装过滤软件
在PC上安装过滤软件,PC成为软件防火墙过滤PC发出DDoS报文,一般这类软件称自己为防水墙。它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断,对PC的性能造成了影响严重,经过测试在30-40M流量下,由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。
2.2.3 通过安全交换机过滤网络中所有的DDoS攻击
通过安全交换机过滤网络中所有的DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。目前已知的,通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击,防御效率高,对PC和网络无影响,是目前最经济高效的防御方式。
3. 网络网吧的带宽利用率低
网吧网络速度的快慢是网吧吸引网民的一个根本,但目前网吧中经常出现看电影慢、玩游戏卡,内网系统更新慢、更新时还在营业的PC变卡,无盘系统运行慢、无盘系统的DHCP服务器被顶替的情况。
3.1 网吧网络关键设备选项
而这一类问题中慢与卡基本都与设备的选型息息相关,接下来我们将向大家介绍路由器、交换机选型中比较关键的几个参数指标
3.1.1 路由器选型关键参数
o 转发速率--100M线路需要297.6kpps转发速率(双向),若以20M带宽为例,需要路由器的转发能力达到60Kpps(双向)。
o NAT会话总数--一台PC设置350-500个NAT会话数,200台PC的网吧需要7-10万条NAT会话数。
o 可以提供合理的基于网络使用率、上机率、时间的带宽控制,有效的提供网吧的出口带宽使用率。
3.1.2 交换机选型关键参数
o 交换容量--该参数影响交换机的转发能力,该数值的计算最低要求所有交换机端口带宽相加×2
o 支持ARP欺骗防御、防DDoS攻击等安全功能,且都采用硬件方式实现
o 支持VLAN划分,支持QoS,支持组播,可以有效避免网络克隆、广播风暴等造成的网吧卡现象
3.2 内网系统更新慢、营业的PC卡
内网系统更新慢、更新时还在营业的PC变卡,多因交换机不支持系统更新(网络克隆)所采用的组播技术。随着技术的发展,网吧系统更新已经从过去的广播模式转变成现在使用的高效的组播更新技术,系统更新数据在不支持组播的交换机上向网吧所有PC进行转发。而广播方式的转发导致正常使用的PC需接收处理无用的数据,同时广播导致网络拥塞,使得更新数据与上网数据滞留在传输通道。如采用组播更新系统,交换机仅对需要跟新的PC转发数据,保证了营业PC的正常使用,组播仅对数据进行一次复制,交换总带宽得到合理保证,有效避免网络拥塞。
3.3 无盘系统运行慢,DHCP服务器被人恶意攻击
由于无盘系统在短时间(几秒钟)内需要传输几个G的数据,此时需要全千兆网络支撑无盘网吧,而无盘系统采用与系统更新相同的先进的组播技术进行数据转发,可利用支持组播的交换机加速传输。当无盘系统启用时,首先需要一台DHCP服务器对客户端进行IP地址分配。根据DHCP协议定义,一个网络中只允许存在一台DHCP服务器,若有人蓄意架设第二台DHCP服务器,将出现网吧PC无法获得正确IP地址的情况,通过交换机的DHCP服务器保护功能,可以将所有客户端的IP地址分配都指向我们指定的DHCP服务器,保证客户端获得正确的IP地址。