| 本月文章推荐 |
局域网中伪造源地址DDoS攻击解决发表日期:2007-12-31
|
|
【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。
【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:  在WebUIà系统状态à用户统计à用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判定该用户可能在做伪造源地址攻击:  【解决办法】 1、将中病毒的主机从内网断开,杀毒。 2、在安全网关配置策略只答应内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接: 1)WebUIà高级配置à组治理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。 注重:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。 2)WebUIà高级配置à业务治理à业务策略配置,建立策略“pemit”(可以自定义名称),答应“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照下图进行配置,保存。   3)WebUIà高级配置à业务治理à全局配置中,取消“答应其他用户”的选中,选中“启用业务治理”,保存。 3、注重: 1)配置之前不能有命令生成的业务治理策略存在,否则可能导致Web界面生成的业务治理策略工作异常或者不生效。 2)假如,原先使用“答应其他用户”策略而被答应的用户,必须在WebUIà高级配置à组治理中,建立相应的工作组,并在WebUIà高级配置à业务治理中对该组用户进行相关的配置。 |
| 上一篇:建立一个安全的局域网无线连接
人气:992 下一篇:架设局域网虚拟游戏社区MUD站点 人气:1854 |
| 浏览全部局域网的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
