【故障現(xiàn)象】偽造源地址攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的TCP SYN報(bào)文，占用安全網(wǎng)關(guān)的NAT會(huì)話資源，最終將安全網(wǎng)關(guān)的NAT會(huì)話表占滿，導(dǎo)致局域網(wǎng)內(nèi)所有人無法上網(wǎng)。

　　【快速查找】在WebUIà系統(tǒng)狀態(tài)àNAT統(tǒng)計(jì)àNAT狀態(tài)，可以看到“IP地址”一欄里面有很多不屬于該內(nèi)網(wǎng)IP網(wǎng)段的用戶：
　　

DoS攻擊解決方法" src="

　　 在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計(jì)à用戶統(tǒng)計(jì)信息，可以看到安全網(wǎng)關(guān)接收到某用戶（192.168.0.67/24）發(fā)送的海量的數(shù)據(jù)包，但是安全網(wǎng)關(guān)發(fā)向該用戶的數(shù)據(jù)包很小，依此判斷該用戶可能在做偽造源地址攻擊：
　　
　　【解決辦法】

　　1、將中病毒的主機(jī)從內(nèi)網(wǎng)斷開，殺毒。

　　2、在安全網(wǎng)關(guān)配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動(dòng)拒絕偽造的源地址發(fā)出的TCP連接：

　　1）WebUIà高級(jí)配置à組管理，建立一個(gè)工作組“all”（可以自定義名稱），包含整個(gè)網(wǎng)段的所有IP地址（192.168.0.1--192.168.0.254）。//本文來自武林網(wǎng)www.5lwq4hdr.cn

　　注意：這里用戶局域網(wǎng)段為192.168.0.0/24，用戶應(yīng)該根據(jù)實(shí)際使用的IP地址段進(jìn)行組IP地址段指定。

　　2）WebUIà高級(jí)配置à業(yè)務(wù)管理à業(yè)務(wù)策略配置，建立策略“pemit”（可以自定義名稱），允許“all工作組”到所有目標(biāo)地址（0.0.0.1-255.255.255.255）的訪問，按照下圖進(jìn)行配置，保存。

局域網(wǎng)中偽造源地址DDoS攻擊解決方法" src="　　
　　3）WebUIà高級(jí)配置à業(yè)務(wù)管理à全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。

　　3、注意：

　　1）配置之前不能有命令生成的業(yè)務(wù)管理策略存在，否則可能導(dǎo)致Web界面生成的業(yè)務(wù)管理策略工作異常或者不生效。

　　2）如果，原先使用“允許其他用戶”策略而被允許的用戶，必須在WebUIà高級(jí)配置à組管理中，建立相應(yīng)的工作組，并在WebUIà高級(jí)配置à業(yè)務(wù)管理中對(duì)該組用戶進(jìn)行相關(guān)的配置。