局域網偽造源地址DDoS攻擊解決方法
【故障現象】偽造源地址攻擊中,黑客機器向受害主機發送大量偽造源地址的TCP SYN報文,占用安全網關的NAT會話資源,最終將安全網關的NAT會話表占滿,導致局域網內所有人無法上網。
【快速查找】在WebUIà系統狀態àNAT統計àNAT狀態,可以看到“IP地址”一欄里面有很多不屬于該內網IP網段的用戶:
在WebUIà系統狀態à用戶統計à用戶統計信息,可以看到安全網關接收到某用戶(192.168.0.67/24)發送的海量的數據包,但是安全網關發向該用戶的數據包很小,依此判斷該用戶可能在做偽造源地址攻擊:
【解決辦法】
1、將中病毒的主機從內網斷開,殺毒。
2、在安全網關配置策略只允許內網的網段連接安全網關,讓安全網關主動拒絕偽造的源地址發出的TCP連接:
1)WebUIà高級配置à組管理,建立一個工作組“all”(可以自定義名稱),包含整個網段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:這里用戶局域網段為192.168.0.0/24,用戶應該根據實際使用的IP地址段進行組IP地址段指定。
2)WebUIà高級配置à業務管理à業務策略配置,建立策略“pemit”(可以自定義名稱),允許“all工作組”到所有目標地址(0.0.0.1-255.255.255.255)的訪問,按照下圖進行配置,保存。
