局域網中偽造源地址DDoS攻擊解決

2019-11-05 03:01:49

字體：大中小

來源：轉載

供稿：網友

　　【故障現象】偽造源地址攻擊中，黑客機器向受害主機發送大量偽造源地址的TCP SYN報文，占用安全網關的NAT會話資源，最終將安全網關的NAT會話表占滿，導致局域網內所有人無法上網。

　　【快速查找】在WebUIà系統狀態àNAT統計àNAT狀態，可以看到“ip地址”一欄里面有很多不屬于該內網IP網段的用戶：

　　 DDOS

　　在WebUIà系統狀態à用戶統計à用戶統計信息，可以看到安全網關接收到某用戶（192.168.0.67/24）發送的海量的數據包，但是安全網關發向該用戶的數據包很小，依此判定該用戶可能在做偽造源地址攻擊：

　　 DDOS

　　【解決辦法】

　　1、將中病毒的主機從內網斷開，殺毒。

　　2、在安全網關配置策略只答應內網的網段連接安全網關，讓安全網關主動拒絕偽造的源地址發出的TCP連接：

　　1）WebUIà高級配置à組治理，建立一個工作組“all”（可以自定義名稱），包含整個網段的所有IP地址（192.168.0.1--192.168.0.254）。

　　注重：這里用戶局域網段為192.168.0.0/24，用戶應該根據實際使用的IP地址段進行組IP地址段指定。

　　2）WebUIà高級配置à業務治理à業務策略配置，建立策略“pemit”（可以自定義名稱），答應“all工作組”到所有目標地址（0.0.0.1-255.255.255.255）的訪問，按照下圖進行配置，保存。

DDOS

　　3）WebUIà高級配置à業務治理à全局配置中，取消“答應其他用戶”的選中，選中“啟用業務治理”，保存。

　　3、注重：

　　1）配置之前不能有命令生成的業務治理策略存在，否則可能導致Web界面生成的業務治理策略工作異常或者不生效。

　　2）假如，原先使用“答應其他用戶”策略而被答應的用戶，必須在WebUIà高級配置à組治理中，建立相應的工作組，并在WebUIà高級配置à業務治理中對該組用戶進行相關的配置。

上一篇：架設局域網虛擬游戲社區MUD站點

下一篇：建立一個安全的局域網無線連接