如何判斷有外網(wǎng)流量攻擊

網(wǎng)吧是否遭受外網(wǎng)流量攻擊，主要看首頁的網(wǎng)口流量。

正常的網(wǎng)絡(luò)，WAN口收到的流量，需要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)網(wǎng)卡，由內(nèi)網(wǎng)網(wǎng)卡發(fā)回給客戶機的。

通常情況下，WAN口收到的流量，要與LAN口發(fā)送的流量，大小相當(dāng)（當(dāng)然不是絕對的相等，多數(shù)情況WAN口收到的，會稍微多一點點）

就算是多線路，多個WAN口加起來的流量，也應(yīng)跟LAN口的發(fā)送流量差不多大。

如下圖所示：eth1的 紅色方框 跟 eth0的紅色方框，以及eth1的藍(lán)色方框跟eth0的藍(lán)色方框 大小差不多 

當(dāng)外網(wǎng)遭受攻擊的時候，情況類似如下：

WAN口持續(xù)的收到很大的流量，但這些流量并沒有轉(zhuǎn)發(fā)到LAN口去?？膳卸楣?/p>

-----------------------------------------------------------------------------------------------------------------------------------------

如果沒法及時實時流量，可以通過查看流量日志，觀察LAN口和WAN口的歷史流量來判斷，[日志流量]→[日志記錄]→[接口流量日志]

選中WAN口，比如示例中的eth1，在藍(lán)色流量圖，用鼠標(biāo)拉動時間范圍，會顯示出流量明細(xì)圖。

比如19:39分的時候網(wǎng)絡(luò)很卡，鼠標(biāo)移動到曲線圖，可看到當(dāng)時的流量。手工記錄下來。

選中LAN口，比如示例中的eth0，在藍(lán)色流量圖，用鼠標(biāo)拉動時間范圍，會顯示出流量明細(xì)圖。

同樣方法查看19:39分的時候的LAN口流量。手工記錄下來。

通過對比 19:39 的WAN口LAN口歷史流量發(fā)現(xiàn)，WAN口收到了很大流量，但流量并沒有轉(zhuǎn)發(fā)到內(nèi)網(wǎng)口去，這很大程度，就是外網(wǎng)攻擊了。

---------------------------------------------------------------------------------------------------------------------------------------

疑問1：外網(wǎng)流量攻擊路由能防么？

答：目前，外網(wǎng)流量攻擊，均為UDP洪水攻擊。攻擊者不管路由收不收這些攻擊數(shù)據(jù)。目的也不是為了攻擊路由。而是堵塞運營商的帶寬。

       打比方，電信給你開50M的帶寬，表示電信到網(wǎng)吧的這條路上，寬度50M。攻擊者發(fā)包過來，是已經(jīng)堵塞你電信到你網(wǎng)吧的這條“道路”

       路由收不收這些數(shù)據(jù)，這條“路”永遠(yuǎn)是堵塞的，除非停止攻擊?；蛘邠QIP。

疑問2：能知道是誰來攻擊我？

答復(fù)：在攻擊的時候，抓包。[設(shè)備維護(hù)]→[外網(wǎng)抓包]，點擊開始抓包。

          如下如所示，比如網(wǎng)吧的IP是 59.40.64.98（目的IP），目的IP就是你網(wǎng)吧IP。源地址，就是攻擊者的IP

          通常，攻擊者的攻擊包的特點是，UDP包攻擊，并且包長都是一直固定的。

 比如下圖，舉例網(wǎng)吧之間惡意競爭，網(wǎng)吧A (168.192.103.252) 攻擊 網(wǎng)吧B（59.40.64.98）。這種情況一抓一個準(zhǔn)，報警處理

但現(xiàn)實中，現(xiàn)在流量攻擊，都是雇傭黑客，操縱全球中毒的電腦（俗稱肉雞）同時給你網(wǎng)吧發(fā)包攻擊。源頭根本就無從抓起。

其次，抓包的時候，抓包其實也包含了內(nèi)網(wǎng)的合法的數(shù)據(jù)包。比如有人在下載，抓包看到的，也包含了合法用戶的下載數(shù)據(jù)，建議遭受攻擊，需要抓包分析時

先拔掉內(nèi)網(wǎng)交換機，只插一個電腦到路由來抓包分析，得到的數(shù)據(jù)，才“干凈”。

新版本取消掉了抓包功能，用戶可自己使用抓包工具來抓包分析。

--------------------------------------------------------------------------------------------------------------------------------

結(jié)論：

遭受外網(wǎng)攻擊，最切實可行的辦法，是使用撥號，寬帶。因為寬帶每次撥號的IP地址，都變化著。用多個寬帶，可以把游戲，網(wǎng)頁，分到每個撥號去

即使遭受攻擊了。重?fù)軐拵Q了IP，問題解決。