KFW傲盾防火墙针对游戏攻击如何进行设置.doc

KFW傲盾防火墙针对网游服务器攻击防护设置 ―――――――――――――――――――――――――――――――――― 北 京 傲 盾 软 件 有 限 公 司 BeiJing AoDun Co. Ltd.  前 言 - 2 - 第一章 如何查看是否有攻击 - 4 - 一.通过服务器的一些异常情况查看攻击 - 4 - 二．通过傲盾防火墙查看是否有攻击 - 4 - 1.查看傲盾防火墙流量图 - 4 - 2.查看傲盾防火墙DOS_SYN列表 - 6 - 3.利用防火墙查看服务器是否遭受了CC攻击 - 7 - 4.利用防火墙查看服务器是否遭受了UDP、ICMP、IGMP攻击 - 10 - 第二章 针对攻击对防火墙进行防护设置 - 13 - 一.针对DDOS_SYN攻击的设置 - 13 - 二. 针对CC、CC变种、肉鸡、M2、游戏网关攻击的设置以及参数调整 - 16 - 1.添加第一条防护规则 - 17 - 2.添加第二条防护规则 - 19 - 3.添加第三条规则 - 20 - 4.添加第四条规则 - 22 - 三.针对UDP、ICMP、IGMP攻击的设置与防护 - 23 - 前 言 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等第一章 如何查看是否有攻击 一.通过服务器的一些异常情况查看攻击 当服务器主机被DOS/DDOS攻击时，主要有如下现象： 1.被攻击主机上有大量等待的TCP连接–an”命令查看会有数百上千个不同的IP不停的和主机服务器建立连接。 2.CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机。 3.网络中充斥着大量的无用的数据包，源地址为 4.高流量无用数据，网络拥塞，受害主机无法正常和外界通讯 出现如下所示防火墙登录界面： 默认密码为“12345”点击登录“按钮”后进入防火墙设置以及流量查看界面,如图所示： 然后点击启动按钮选择下拉菜单选中本机所使用的IP，就会出现流量曲线图： 在此流量图中可以看到每秒即时的接收包和发送包，其中红线代表发送包蓝线代表接收包，当有外来攻击的时候接收包（蓝线）流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的，但当有攻击的时候蓝线会远远高于红线。 2.查看傲盾防火墙DOS_SYN列表 首先，鼠标左键双击桌面上的“KFW企业版网络监控”，如图所示： 出现如下图所示界面： 如果有DOS_SYN攻击的时候，点击如图所示“DOS_SYN列表”会出现防火墙连接的SYN包信息： 如上图所示，防火墙拦截了大量的针对7000端口的SYN攻击包，上面的“源IP”就是攻击者伪造的IP地址，目的IP就是本机IP。 3.利用防火墙查看服务器是否遭受了CC攻击 打开“KFW企业版网络监控”点击查询视图： 点击如上图所示“查询视图”,出现如下图所示： 上图显示的是当前所有连接的详细详细信息列表，然后点击如下图所示，圈中的地方： 当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的，此时可以方便的查看每个IP和服务器建立的多少连接，因为CC攻击时黑客利用控制代理攻击的，一般是控制上百台或者上千代理频繁的和一台服务器建立连接，以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息，并且单个IP和服务器建立连接有很多的时候，说明遭受到了CC攻击。 另外，我们还可以查看针对某个端口的信息： 点击“目的端口”后面的小箭头出