服务器ChinaDDOS防火墙服务器参数设置防御功能

ChinaDDOS防火墙攻击情况的应对方法

用户在使用防火墙的过程中会出现各种各样的攻击我们总结各种攻击方式结合防火墙的功能进行针对对攻击的应对方法。

1.防御IP属性设置功能安全配置中心——防御IP设置——基本设置

1如果服务器不需要提供UD P、 ICMP的服务时建议用户将UD P、UD P碎片、 I CMP等三种协议的入和出防御阀值的参数调整小一些。一旦网络中服务器有这类的攻击出现防火墙可以及时的针对该服务器进行攻击拦截

2如果对于有存在UD P服务的服务器而言用户则需要自行调整其UD P的相关参数确保该参数值略大于正常UD P服务的包数量。否则会影响到部分用户的使用情况

3如果是作为游戏服务器使用时并没有开放web服务时建议用户勾选屏蔽80端口的功能。避免游戏服务器的80端口的攻击存在

2.防御IP属性设置功能安全配置中心——防御IP设置——链接控制

1如果是用户是游戏服务器遭受攻击并且存在大量链接如下图

上图所示198的服务器入链接已经达到链接数的上限值在正常情况下该服务器是没有这么多链接的。这就表明198的服务器现在正遭受攻击。

用户可以在链接控制里面调整每IP最大连接数值并且勾选超过链接数屏蔽。该功能的目的是针对每个来源IP的非80端口进行控制如果某一个来源IP同时存在30条链接数时防火墙将该来源IP加入到黑名单中。

待几分钟以后通过上图所示198的服务器入链接数已经慢慢都降下来游戏服务器已经处于正常访问状态。

注意 1.每IP最大连接数是针对非80端口的服务功能所以针对于游戏服务器可以使

用该功能。而WEB链接连接数则是针对于80端口的源IP设置使用方法和游

戏服务器一样。但是需要指出的是WEB链接连接数的设置容易造成误封的情

况出现。

2.当服务器正常以后建议用户将参数修改回来或者去掉超过链接数屏蔽额功

能。当用户去掉超过链接数屏蔽功能则表示来源IP最大所允许的连接数超

出的部分防火墙会拦截掉

3.IP信息表状态功能安全分析中心——IP信息表——查看状态表

在198服务器的状态表中可以看到所有的来源IP信息的情况。我们可以针对有异常情况的IP进行手动处理。a通过存活链接数参数判断(如下图)

通过上图按照存活连接数排序我们可以看到 同一个IP的链接数有200多条。一般情况下是极为不正常的表示。结合存活时间来看几乎都是同时发起的。大致上可以确认红框内的ip都是属于异常IP用户可以手动将这些存活链接数大于100左右的IP加入到动态黑名单中。b通过标志位RST或FIN参数判断(如下图)

通过上图按WRST排序可以看到同一个IP的RST标志位最多有283个在正常的数据访问中是很少会有这么频繁的RST标志位产生。同时结合存活时间ltime的时间来看也同样是处于同一个时间发起的。用户可以将标志位在100个以上的IP都加入到动态黑名单中。

同样用户也可以通过标志位FIN进行类似的异常IP判断c 通过累计流量参数判断如下图

通过进(inflow)、 出(outflow)累计流量排序可以看到红框标记出来的IP流量明显高于其他IP对于web服务而言很少会存在这么大的流量IP访问。如果作为web服务器使用时用户可以通过这类异常情况对这类IP加入动态黑名单看服务器是否能够正常访问。

注意:1.一般情况下如果对于服务器无法正常访问但是链接数有不多的情况下用户可

以通过状态表各类情况进行判断并针对异常情况的IP进行处理。

2.以上介绍的情况都是针对连接服务器的源IP中异常情况的判断所有介绍仅作

为判断的条件方法。所以在实际操作中会存在有正常情况的IP加入到黑名单中

用户可以自行将被封的IP通过黑白名单释放出来。

3.用户在使用中可以慢慢学会研究和辨别异常IP和正常用户IP从而应对各类攻

击所出现的情况。需要说明的是 以上的方法都只是非专业性的辨别。

4.分析数据包并通过高级规则实现防御

关于分析数据包并通过高级规则会有专门的教程进行说明