局域网伪造源地址DDoS攻击解决方法(转)

本文详细解析了伪造源地址攻击的原理,黑客通过发送大量伪造源地址的TCPSYN报文,占用安全网关资源,导致局域网无法正常上网。文章提供了具体的检测与解决步骤,包括断开中病毒主机、配置安全网关策略等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。

  【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:



   在WebUIà系统状态à用户统计à用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击:


  

  【解决办法】

  1、将中病毒的主机从内网断开,杀毒。

  2、在安全网关配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接:

  1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。

  注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。

  2)WebUIà高级配置à业务管理à业务策略配置,建立策略“pemit”(可以自定义名称),允许“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照下图进行配置,保存。





  

  3)WebUIà高级配置à业务管理à全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。

  3、注意:

  1)配置之前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

  2)如果,原先使用“允许其他用户”策略而被允许的用户,必须在WebUIà高级配置à组管理中,建立相应的工作组,并在WebUIà高级配置à业务管理中对该组用户进行相关的配置。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-124090/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10294527/viewspace-124090/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值