| 局域网伪造源地址DDoS攻击解决方法 |
|
| |
|
|
【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。
【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:
在WebUIà系统状态à用户统计à用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击:
【解决办法】
1、将中病毒的主机从内网断开,杀毒。
2、在安全网关配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接:
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
2)WebUIà高级配置à业务管理à业务策略配置,建立策略“pemit”(可以自定义名称),允许“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照下图进行配置,保存。
责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2007-8-6 11:38:51 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 文章录入:itqoo 责任编辑:itqoo |
|
上一个文章: IPS主动式防护 多层深层保护企业网络
下一个文章: IPS主动式防护 多层深层保护企业网络 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 