局域网伪造源地址DDoS攻击解决方法
发布时间:2006-07-31 10:28:34 来源:天极博客 网友评论 0 条 【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。
【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:
在WebUIà系统状态à用户统计à用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击:
【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:
在WebUIà系统状态à用户统计à用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击:
【解决办法】
1、将中病毒的主机从内网断开,杀毒。
2、在安全网关配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接:
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
2)WebUIà高级配置à业务管理à业务策略配置,建立策略“pemit”(可以自定义名称),允许“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照下图进行配置,保存。
- 推荐阅讯
- Hidden Cameras--局域网监视新利器
- 有关在资料上看到关闭IPC$的设置的问题
- 新病毒数量爆增5倍 “偷骗抢”行为愈演愈烈
- 教你辨别“反钓”技巧的有效性
- 运筹帷幄:安全风险管理方法概述
- 防黑技巧:欺骗黑客很有效的简单方法
- 安全专家支招过年如何保障网络安全
- 不用密码也安全!金山授权保护技术指南
- 详细分析系统进程 手工搞定可疑病毒
- 不用防火墙克死所有的病毒
- 阅读排行
- 1.密码破解: 三大皮匠顶诸葛亮
- 2.女孩,请小心你的摄像头
- 3.如何查找对方的IP地址
- 4.Arp欺诈防御工具及程序源码
- 5.超经典:什么叫网关
- 6.更改远程桌面默认的3389端口
- 7.你的摄像头=别人偷窥的“眼睛”?
- 8.如何解决局域网IP冲突问题
- 9.国内信息安全现状 网络安全存在问题与大忌
- 10.15款最好的Windows安全检测工具
- 专题教程
- Windows Server-Windows Server文档-Windows Server新闻-Windows Ser PostgreSQL-PostgreSQL文档-PostgreSQL新闻-PostgreSQL专家
- WebLogic-WebLogic文档-WebLogic新闻-WebLogic专家 FreeBSD-FreeBSD文档-FreeBSD新闻-FreeBSD专家
- Linux-内核 GUI KDE Gnome DNS FTP 安全 安装-Linux专区 Windows-AD IIS ServerCore 虚拟化 安全 HPC-Windows专区
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册