如何判断有外网流量攻击

网吧是否遭受外网流量攻击，主要看首页的网口流量。

正常的网络，WAN口收到的流量，需要转发给内网网卡，由内网网卡发回给客户机的。

通常情况下，WAN口收到的流量，要与LAN口发送的流量，大小相当（当然不是绝对的相等，多数情况WAN口收到的，会稍微多一点点）

就算是多线路，多个WAN口加起来的流量，也应跟LAN口的发送流量差不多大。

如下图所示：eth1的 红色方框 跟 eth0的红色方框，以及eth1的蓝色方框跟eth0的蓝色方框 大小差不多 

当外网遭受攻击的时候，情况类似如下：

WAN口持续的收到很大的流量，但这些流量并没有转发到LAN口去。可判定为攻击

-----------------------------------------------------------------------------------------------------------------------------------------

如果没法及时实时流量，可以通过查看流量日志，观察LAN口和WAN口的历史流量来判断，[日志流量]→[日志记录]→[接口流量日志]

选中WAN口，比如示例中的eth1，在蓝色流量图，用鼠标拉动时间范围，会显示出流量明细图。

比如19:39分的时候网络很卡，鼠标移动到曲线图，可看到当时的流量。手工记录下来。

选中LAN口，比如示例中的eth0，在蓝色流量图，用鼠标拉动时间范围，会显示出流量明细图。

同样方法查看19:39分的时候的LAN口流量。手工记录下来。

通过对比 19:39 的WAN口LAN口历史流量发现，WAN口收到了很大流量，但流量并没有转发到内网口去，这很大程度，就是外网攻击了。

---------------------------------------------------------------------------------------------------------------------------------------

外网流量攻击路由能防么？

答：目前，外网流量攻击，均为UDP洪水攻击。攻击者不管路由收不收这些攻击数据。目的也不是为了攻击路由。而是堵塞运营商的带宽。

       打比方，电信给你开50M的带宽，表示电信到网吧的这条路上，宽度50M。攻击者发包过来，是已经堵塞你电信到你网吧的这条“道路”

       路由收不收这些数据，这条“路”永远是堵塞的，除非停止攻击。或者换IP。

现实中，现在流量攻击，都是雇佣黑客，操纵全球中毒的电脑（俗称肉鸡）同时给你网吧发包攻击。源头根本就无从抓起。

其次，抓包的时候，抓包其实也包含了内网的合法的数据包。比如有人在下载，抓包看到的，也包含了合法用户的下载数据，建议遭受攻击，需要抓包分析时

先拔掉内网交换机，只插一个电脑到路由来抓包分析，得到的数据，才“干净”。

用户可自己使用抓包工具来抓包分析。

--------------------------------------------------------------------------------------------------------------------------------

结论：

遭受外网攻击，最切实可行的办法，是使用拨号，宽带。因为宽带每次拨号的IP地址，都变化着。用多个宽带，可以把游戏，网页，分到每个拨号去

即使遭受攻击了。重拨宽带换了IP，问题解决。