局域網偽造源地址DDoS攻擊解決方法
【故障現象】偽造源地址攻擊中,黑客機器向受害主機發送大量偽造源地址的TCP SYN報文,占用安全網關的NAT會話資源����,最終將安全網關的NAT會話表占滿,導致局域網內所有人無法上網�����。
【快速查找】在WebUIà系統狀態àNAT統計àNAT狀態�����,可以看到“IP地址”一欄里面有很多不屬于該內網IP網段的用戶:
在WebUIà系統狀態à用戶統計à用戶統計信息����,可以看到安全網關接收到某用戶(192.168.0.67/24)發送的海量的數據包���,但是安全網關發向該用戶的數據包很小��,依此判斷該用戶可能在做偽造源地址攻擊:
【解決辦法】
1��、將中病毒的主機從內網斷開,殺毒�����。
2�����、在安全網關配置策略只允許內網的網段連接安全網關�����,讓安全網關主動拒絕偽造的源地址發出的TCP連接:
1)WebUIà高級配置à組管理,建立一個工作組“all”(可以自定義名稱)����,包含整個網段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:這里用戶局域網段為192.168.0.0/24���,用戶應該根據實際使用的IP地址段進行組IP地址段指定。
2)WebUIà高級配置à業務管理à業務策略配置���,建立策略“pemit”(可以自定義名稱),允許“all工作組”到所有目標地址(0.0.0.1-255.255.255.255)的訪問�����,按照下圖進行配置,保存���。
