局域網(wǎng)偽造源地址DDoS攻擊解決方法
【故障現(xiàn)象】偽造源地址攻擊中��,黑客機器向受害主機發(fā)送大量偽造源地址的TCP SYN報文���,占用安全網(wǎng)關(guān)的NAT會話資源,最終將安全網(wǎng)關(guān)的NAT會話表占滿�,導(dǎo)致局域網(wǎng)內(nèi)所有人無法上網(wǎng)�。
【快速查找】在WebUIà系統(tǒng)狀態(tài)àNAT統(tǒng)計àNAT狀態(tài)����,可以看到“IP地址”一欄里面有很多不屬于該內(nèi)網(wǎng)IP網(wǎng)段的用戶:
在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計à用戶統(tǒng)計信息���,可以看到安全網(wǎng)關(guān)接收到某用戶(192.168.0.67/24)發(fā)送的海量的數(shù)據(jù)包����,但是安全網(wǎng)關(guān)發(fā)向該用戶的數(shù)據(jù)包很小���,依此判斷該用戶可能在做偽造源地址攻擊:
【解決辦法】
1��、將中病毒的主機從內(nèi)網(wǎng)斷開,殺毒���。
2���、在安全網(wǎng)關(guān)配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)�,讓安全網(wǎng)關(guān)主動拒絕偽造的源地址發(fā)出的TCP連接:
1)WebUIà高級配置à組管理�����,建立一個工作組“all”(可以自定義名稱)����,包含整個網(wǎng)段的所有IP地址(192.168.0.1--192.168.0.254)�����。
注意:這里用戶局域網(wǎng)段為192.168.0.0/24�����,用戶應(yīng)該根據(jù)實際使用的IP地址段進行組IP地址段指定��。
2)WebUIà高級配置à業(yè)務(wù)管理à業(yè)務(wù)策略配置�����,建立策略“pemit”(可以自定義名稱)���,允許“all工作組”到所有目標(biāo)地址(0.0.0.1-255.255.255.255)的訪問����,按照下圖進行配置,保存���。
