网吧大家都去过吧，中国互联网的普及，以及电脑的普及。不只提高了事情效率而且极大的丰富了人们的业余生活，因此，在全国很多都市和县城城市有网吧的存在，但由于上网的人员对照庞大并且竞争压力大，所以往往容易遭受竞争对手或冲击反扑者的恶意DDOS打击，而导致所有网络用户无法上网，处事器无法对外网供给处事，轻则人气渐掉，重则因恒久无法正常营业导致被迫关门，实在是网吧主的持久之痛，为了最洪流平的掩护运营者的利益，8090安适小组结合天津Ddos联盟 多年抗DDOS的实践经验给出了最少的安适投资可获得最大安适回报的DDOS防御解决方案，但愿对泛博网吧吧主有所辅佐。

一、现象分析

网吧接入商的互联网接入形式主要为自拉网络专线，通过采办一台路由器或用安置有Sygate等路由软件的处事器作为网关为内网用户供给上网处事，正常情况下，内网都可以自由流畅的访谒互联网络，但假定可排除线路和硬件故障的情况下，若俄然发明无法浏览外部网站网页，正在玩游戏的用户失线等现象，则说明很有可能是遭受了DDOS打击，具体判定要领如下：

找一台配置较高，网卡品质较好的电脑，把外部接入互联网的网线插入到该电脑的网卡上并设置好外网IP地点和网关，然后凭据以下法式进行不雅察看分析。

1、SYNFlood打击判定

（1）网上邻居->右键选“属性”->双击网卡，不雅察看每秒收到的包数量，若大于500，则可以必定是受到了SYNFlood打击。

（2）开始->措施->附件->命令提示符->C:\>netstat –na，若不雅察看到大量的SYN_RECEIVED的连接状态，则说明遭受了SYNFlood打击。

（3）网线插上后，处事器当即凝固无法操纵，拔出后有时可以恢复，有时候需要从头启动机器才可恢复，则也说明遭受了SYNFlood类的流量打击。

2、TCP多连接打击判定

开始->措施->附件->命令提示符->C:\>netstat –na，若不雅察看到很多外部IP地点都与本机的处事端口成立了几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接打击。

二、解决方案

多年的统计数据表白，想彻底解决DDOS是几乎不成能的，就比如治疗伤风一样，我们可以治疗，也可以预防，但却无法根治，但我们若采纳积极有效的防御要领，则可在很洪流平上降低或减缓生病的机率，防治DDOS打击也是如此，拥有充沛的带宽和配置足够高的主机硬件是必须的，那么什么算是充沛的带宽呢？一般来说至少应该是100M共享，那么什么算配置足够高的主机硬件呢？一般来说至少应该是P4 2.4G的CPU、512M内存和Intel等品牌网卡。拥有此配置的带宽和主机理论上可应对每秒20万以上的SYN打击，但这需要借助于专业配置和专用软件才可实现，默认情况下，绝大大都处事器难以抵制每秒1000个以上SYN的打击。针对网吧的DDOS解决方案，首先要确保有一台高配置带双网卡的电脑做为网关机，外网卡接外网，内网卡接内网，对付已经采办路由器的，可考虑将路由器串接在内网卡上或者放弃不用，对付给与安置Sygate等路由软件做网关机的直接对该网关机做优化措置惩罚惩罚或安置专业防火墙软件即可。以下方案即为针对网关机进行的。

1、免费DDOS解决方案

通过优化Windows 2000或2003系统的注册表，可有效反抗每秒约1万个摆布的SYN打击，要领是把以下文本内容存盘为antiddos.reg然后导入注册表并从头启动即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

此方案的长处是，给与系统自身的能力来解决问题，而无需任何花费，错误谬误是只能抵制每秒少于10000的SYN打击，并且无法解决TCP多连接打击。