对于通信行业来说,南方是中国电信的天下,北方是中国网通称王;为了满足电信、网通用户的畅通互访需求,公司分别接入了中国电信的链路以及中国网通的链路;经过F5交换机的智能解析达到畅快的互访,同时也起到一个负载均衡的作用;这样公司就出现了的双线服务器的业务。随着双线业务的不断发展,一些游戏客户也乘虚而入,对双线网络的稳定性提出了更高要求。然而游戏服务器是受DDOS***最频繁的业务。那么怎么判断某台服务器正在受***呢?下面就此跟大家作个分享与讨论。
        一、网络结构:
        一条链路从中国电信接入到F5交换机上,另一条链路从中国网通接入到F5交换机上;然后从F5交换机上引出一条链路到二层交换机上,最后再从这台二层交换机上下连到接入层交换机。服务器就直接连接到接入层交换机。网络结构见下图:
 
        二、故障现象:
  接入层的服务器客户报障说网络卡,紧跟着就有七、八个客户同时说网络卡,一般都是同一个接入层交换机的服务器出现网络卡,有时甚至服务器完全断网;当然这时的报障就会有很多客户了。
  三、故障分析:
  根据故障现象初步可以分析为网络故障,前面已经说过了ARP***,在排除ARP后,基本可以确定是DDOS***,或者是CC***。
  四、故障排查:
  因为双线网络是没有提供硬件防火墙的网络,如果要想判断是具体哪个IP在受***,必须借助网络流量监控图。如果没有网络流量图的话只能是慢慢的一步一步在交换机或路由器上查看每个端口的当前流量,从而判断故障点;但这样的话速度会很慢,如果流量较大时你可能完全无法telnet到网络设备上,这样你只能眼睁睁的开着网络中断而无能为力。下面就借助Cacti网络流量监控图来分析排查:
        1. 首先查看中国电信及中国网通的链路里哪条线路的流量有异常,从而判断出网络的***是从电信、还是网通来的。
       下面是网络正常时的流量图:
   从上图可以看出,流入及流出的流量的浮动不大,接收及发送的数据包也是一样没有什么变化。
  
下图给出了异常流量的表现:
 
 
  从上图可以看出流出的流量是异常的,当然流出的数据包也是不正常,比较网络正常时的流量图就能够很明显,快速地判断故障的。
  2. 接下来我们就可以顺藤摸瓜,根据网络结构一步步,快速的定位出受***的服务器。
  五、故障解决:
  查出了具体受***的ip,就容易解决问题;目前DDOS***对于一般的IDC运营商来说没有较好的解决方案,一般本着牺牲一个、保住全网的原则, 利用黑洞等硬件防火墙进行流量牵引,也就是我们平时说的封堵IP。当然这必须是上层路由链路带宽的范围内才能有效的防止网络全面中断。