1.3通过交换机过滤ARP欺骗

　　在经过双向绑定和、安装防ARP欺骗软件之后，目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表，通过交换机自身的ARP过滤模块，过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文，对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作，节省了PC的资源。

　　2.网吧网络遭受攻击的问题

　　随着网吧行业竞争的日益激烈，网吧的网络被人恶意DDoS攻击已经不再是新闻。网吧的网络设备如果遭到恶意的攻击，将导致网络无法使用，若攻击网吧的服务器则会使游戏服务器无法流畅运行，电影服务器播放视频断断续续，无盘服务器无法工作，导致无盘网吧停业，计费服务器无法正常工作，客户机认证、结账出现问题。

　　针对网吧的网络攻击又可以分为针对路由器的和针对内网服务器、交换机的两种。

　　2.1针对路由器的DDoS攻击

　　其中针对路由器的攻击会导致网吧的出口瘫痪，而目前路由器常见的防DDoS攻击的方法有三种：1、计数器法，2、协议分析法，3、协议分析+计数器。

　　2.1.1计数器法

　　计数器法通过端口计数器与事先设置的阀值，限制外网口收到的所有数据（无论是否由内网引发），该方法抗攻击能力较强，普通路由器器都能有10M以上的能力。但是该处理方式粗放，一旦端口上的数据量达到设定的阀值就进行全局限速，进而影响全局的应用。

　　2.1.2协议分析法

　　协议分析法对各种DDoS攻击方式进行协议级的分析，通过CPU判断所有经过端口的报文，若报文匹配内置的协议分析器，CPU将对攻击报文进行过滤，但是该处理方法消耗大量CPU资源，如果CPU性能不强将导致整体抗攻击性能不佳。

　　2.1.3协议分析+计数器法

　　协议分析+计数器法，该处理方法兼有协议分析法的精确与计数器法的性能，它对所有非内部引起的连接进行监控及协议匹配，并对其进行严格的计数控制，同时该处理方法还修改了TCP/IP协议栈，加强了抗DDoS能力，目前该处理方式可支持的DDoS攻击协议分析已达10种以上。

　　2.2针对内网服务器和交换机的DDoS攻击

　　针对内网服务器和交换机攻击常见的防御方法也有三种：1、关键设备前架设防火墙，2、在PC上安装过滤软件，3、通过交换机过滤DDoS攻击。

　　2.2.1关键设备前加设防火墙

　　关键设备前加设防火墙，过滤内网PC向关键设备发起的DDoS攻击，该方法在每个核心网络设备如核心交换机、路由器、服务器前安装一台硬件防火墙，防护的整体成本过高，使得该方案无法对网吧众多关键设备进行全面的防护，目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。

　　2.2.2在PC上安装过滤软件

　　在PC上安装过滤软件，PC成为软件防火墙过滤PC发出DDoS报文，一般这类软件称自己为防水墙。它与ARP防御软件类似，通过监控网卡中所有的报文，并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力，该类型的软件一般仅过滤TCP协议，而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断，对PC的性能造成了影响严重，经过测试在30-40M流量下，由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。