网吧是网络经营性的企业，对网络断网是异常敏感的，断网就意味着收入的损失。然而，网吧抗DDoS的安全性通常是很脆弱的。分析网吧攻击的种类，一种是带宽消耗型攻击，主要是把网吧出口的链路全部给堵死；另外一种是攻击网吧出口路由器，让路由器的负载过高，导致数据不能正常转发或宕机重启，随着冰盾科技对网吧类攻击行为的监控，发现大量网吧遭受的攻击多有这两种造成。
　　网吧的出口带宽一般都是10～100M的专线接入，直接连接到城域网的接入层或汇聚层的路由器上，几兆到十几兆的带宽对于现在动辄几G、十几G的攻击而言是相当脆弱的，难怪攻击者如此嚣张。网吧的路由器由于受限于接入用户的数目和投资成本的限制，往往都使用低端的路由器，数据包的转发性能和安全防护性能都不可能太高，而且承担的功能比较复杂（如NAT的功能，都是比较消耗CPU的资源的）。这种性能的设备，往往在简单的flood攻击后就已经承受不住了，正常的数据转发就会受到影响。
　　这些问题往往是网吧自己不能解决的，以前有在路由器前增设DDoS防火墙的方法，但这不能解决带宽消耗型攻击的问题，带宽拥塞没有更好的解决方法，这只有借助运营商的整体防护能力和高带宽、高性能的防护设备来解决这个问题。
攻击检测方案
　　网吧是电信城域网中重要的客户，以网络运营为主要利润手段，因此对网络的实时性、稳定性和安全性要求较高。通常的连接方式是直接接入到城域网的接入层或汇聚层路由器，提供几兆到几十兆的专线独享连接。由于网吧业务特点，网络的流量主要是发起于网吧内部，向外网发起的连接，如http的连接；而流量的大小则是以由外向内的流量为主，如下载的网络流量；同时和普通行业不同，网吧对带宽的要求具有很明确的时间性和阶段性，在繁忙时段和非繁忙时段，带宽使用率差别非常大。
　　根据对网吧数据流量的分析，冰盾科技在选择众多测试试验环境下，利用各种测试工具，对数据搜集、监控、整理后，总结了以下检测方案：攻击的检测设备部署在城域网出口，可以统计进出整个城域网的流量。建议采用NETFLOW的检测技术，并配合冰盾科技提供的免费DDOS监控器，对大流量的进出流量进行分析，统计出异常的DDoS攻击流量。NETFLOW方式首先可以对大流量的接口进行统计，像城域网的出口大多都是几十G的流量，用镜像的方式是不适合的；NETFLOW的部署也非常简单，只要把检测设备放在IP可达的地方就可以了，无需增加分光设备和端口协议转换设备，采用1000:1的采样比，流量也不过几十兆；NETFLOW检测是一个统计分析的过程，只需要对流量的趋势进行分析就可判断出是否出现了攻击，同时还可根据流量动态生成流量基线，精确制定防护的模型；采用NETFLOW检测手段，也可对网吧的攻击进行分析，作为溯源、取证的依据。
攻击防护方案
　　根据对网吧流量的分析，与针对服务器的攻击不同，对网吧的攻击要进行双向的防护。对于服务器的防护，比如IDC中的服务器，一般采取的方式是旁路部署检测设备，当发生攻击时，把流量进行牵引，清洗后的流量再送回原有网络。在清洗过程中流量的出和入走的是不同的线路，回程的流量没有经过清洗设备。对于服务器而言这是可行的，由于服务器只是被动相应，不会发起任何的连接，所以可以不经过清洗设备检测。而网吧有大量向外发起的连接，如果还是采用上述的旁路方式，发起的连接没有经过清洗设备，回应的连接却要经过清洗设备的检测，这很容易造成设备的误判，会把正常的流量清洗掉。
　　这里提出双向防护的概念，就是要让出入的流量都经过清洗设备的检测，清洗设备会纪录流量建立的状态信息，正确判断是否为攻击。以下为建议的部署方式。
　　1.检测设备旁路部署在城域网的汇聚层，这种部署方式可以防护任何到城域网网吧的攻击，特别是挂在同一汇聚路由器下的网吧之间的相互攻击都是可以防护的。
　　2.利用冰盾科技提供的冰盾DDOS防火墙，架接桥模式来对网吧的路由器进行保护。
　　3.清洗设备可以看作是多个虚拟防护设备，之间没有什么必然的联系，独自清洗各汇聚路由器的流量。
　　4.清洗设备的双向防护是通过MPLSVPN技术来实现的。
网管增值方案
　　目前很多城域网提出了“网吧联盟”的概念，旨在提高网吧对IDC、游戏网站以及网吧间的访问速度，同时也提供安全的增值业务。这也就要求部署方案能考虑到易管理和易开展增值业务的特性。
　　网管中心设备DataCenter业务管理平台的主要功能是协助实施流量清洗中心的部署、维护、增值业务的开展，业务管理平台由运维系统管理和用户自服务管理两个部分组成。运维系统管理平台主要完成业务的开展、设备的管理、运维流程的保障等工作；用户自服务平台可以提供给网吧用户来实时查询攻击的防护情况，并能定时下载各种统计报表。
　　冰盾科技的冰盾DDOS防火墙网关版系列产品是一款高性能的电信级防护设备，它可以灵活部署于城域网的各个层面，能够利用串联的部署方式，同时有运维平台和客户自服务平台来管理设备、开展网吧运营业务。
　　网吧的防DDoS方案由检测中心、防护中心和网管中心三部分组成。这分别对应冰盾科技网关版系列的NTA产品、GATewayr产品。对于网吧的DDoS的攻击防护，冰盾科技在产品和部署方案方面都处于业界领先的地位，很多电信运营商都有成功的案例，冰盾科技相信“网吧DDoS攻击防护与增值解决方案”会确实解决网吧棘手的DDoS攻击问题，同时也会为运营商开拓出一条业务增值的新道路。