局域網偽造源地址DDoS攻擊解決方法
【故障現象】偽造源地址攻擊中����,黑客機器向受害主機發送大量偽造源地址的TCP SYN報文����,占用安全網關的NAT會話資源�����,最終將安全網關的NAT會話表占滿���,導致局域網內所有人無法上網����。
【快速查找】在WebUIà系統狀態àNAT統計àNAT狀態���,可以看到“IP地址”一欄里面有很多不屬于該內網IP網段的用戶:
在WebUIà系統狀態à用戶統計à用戶統計信息�����,可以看到安全網關接收到某用戶(192.168.0.67/24)發送的海量的數據包��,但是安全網關發向該用戶的數據包很小����,依此判斷該用戶可能在做偽造源地址攻擊:
【解決辦法】
1����、將中病毒的主機從內網斷開���,殺毒�����。
2����、在安全網關配置策略只允許內網的網段連接安全網關�����,讓安全網關主動拒絕偽造的源地址發出的TCP連接:
1)WebUIà高級配置à組管理�����,建立一個工作組“all”(可以自定義名稱)���,包含整個網段的所有IP地址(192.168.0.1--192.168.0.254)���。
注意:這里用戶局域網段為192.168.0.0/24����,用戶應該根據實際使用的IP地址段進行組IP地址段指定���。
2)WebUIà高級配置à業務管理à業務策略配置���,建立策略“pemit”(可以自定義名稱)���,允許“all工作組”到所有目標地址(0.0.0.1-255.255.255.255)的訪問�����,按照下圖進行配置��,保存�����。
