• <output id="i6hun"><strong id="i6hun"><xmp id="i6hun"></xmp></strong></output><table id="i6hun"><strike id="i6hun"></strike></table>
        1. <table id="i6hun"><option id="i6hun"></option></table>
          <acronym id="i6hun"><strong id="i6hun"><xmp id="i6hun"></xmp></strong></acronym>

          局域網偽造源地址DDoS攻擊解決方法

          【故障現象】偽造源地址攻擊中,黑客機器向受害主機發送大量偽造源地址的TCP SYN報文,占用安全網關的NAT會話資源,最終將安全網關的NAT會話表占滿,導致局域網內所有人無法上網。

          【快速查找】在WebUIà系統狀態àNAT統計àNAT狀態,可以看到“IP地址”一欄里面有很多不屬于該內網IP網段的用戶:

           
          在WebUIà系統狀態à用戶統計à用戶統計信息,可以看到安全網關接收到某用戶(192.168.0.67/24)發送的海量的數據包,但是安全網關發向該用戶的數據包很小,依此判斷該用戶可能在做偽造源地址攻擊:

           
          【解決辦法】
           
          1、將中病毒的主機從內網斷開,殺毒。
           
          2、在安全網關配置策略只允許內網的網段連接安全網關,讓安全網關主動拒絕偽造的源地址發出的TCP連接:
           
          1)WebUIà高級配置à組管理,建立一個工作組“all”(可以自定義名稱),包含整個網段的所有IP地址(192.168.0.1--192.168.0.254)。
           
          注意:這里用戶局域網段為192.168.0.0/24,用戶應該根據實際使用的IP地址段進行組IP地址段指定。
           
          2)WebUIà高級配置à業務管理à業務策略配置,建立策略“pemit”(可以自定義名稱),允許“all工作組”到所有目標地址(0.0.0.1-255.255.255.255)的訪問,按照下圖進行配置,保存。
          北大青鳥網上報名
          北大青鳥招生簡章
          自拍偷拍2018视频
        2. <output id="i6hun"><strong id="i6hun"><xmp id="i6hun"></xmp></strong></output><table id="i6hun"><strike id="i6hun"></strike></table>
              1. <table id="i6hun"><option id="i6hun"></option></table>
                <acronym id="i6hun"><strong id="i6hun"><xmp id="i6hun"></xmp></strong></acronym>