针对特别TCP端口的攻击防护.docVIP

密级： 文档编号： 第 版 分册名称： 第 册/共 册 针对特别TCP端口攻击的防护 SINOGRIDF5 NETWORKS 匿名 总页数 正文 附录 生效日期：2004.4.13 编制： 审核： 批准： 针对特别TCP端口攻击的防护 案例介绍 某客户采用Link Controller作为国际网络出口的链路负载均衡产品，在正常情况下工作稳定，但内网用户中病毒后表现异常。 用户异常表现 ICMP : 利用Microsoft 漏洞的病毒，扫描连续IP地址的ICMP包，给网络带来很大压力，并且多台中毒的电脑同时扫描连续IP地址造成LC性能下降。 NETBIOS : 也是一个利用Microsoft 的漏洞的病毒, 主要通过TCP 135端口建立连接，对网络也会造成非常大的影响。因为LC上的配置是“0.0.0.0 / internal:0“ 也就是将内网对公网所有IP地址和端口的访问导向到两个ISP的路由器，如果大量内部中毒用户同时发作的话，大量TCP会话对网络的打击是致命的。 解决方法 停止LC 对ICMP包的处理，丢弃所有通过的ICMP包（现在很多公网的一致做法），在主菜单中的system Advance property中的BIG-IP选项中snats any_ip 是改变这个配置的地方，如图1-1所示： 图1-1 如果客户使用的是BIGIP V4.2的话要进入命令行”0”的 VS。