Panabit网吧案例--如何判断网吧被外网攻击了

Panabit-Luo

一、外网流量攻击
通过WAN线路流量与接口流量之间的差异进行判断，
假设，WAN线路在em1上，在应用路由--wan线路，可以看到WAN线路的流量情况

然后，我们再看，监控统计--网络接口--em1这个接口的流量

如果它们相差很大，说明有外网攻击！
为什么会在外网攻击的时候有流量差异呢？
因为在外网攻击的时候，流量是直接到了WAN线路的这个IP上，并没有到转发到内网，所以WAN线路上就不会显示攻击的流量，而接口上显示的是真实的流量。
通过应用商店--iftop工具找到攻击源，被攻击的时候，会看到大流量的外网IP。

二、连接数攻击
监控统计--TOP连接，这个页面会列出内网和外网地址的链接情况。我们通过这个判断是否有异常的连接数。