Ddos防范方法咨询在CnSea上的讨论.docVIP

Ddos防范方法咨询在CnSea上的讨论 Question by wuwu119 现IDC内有两台主机遭受大量的syn flood攻击，源地址很多可能都是伪造的，在路由器和pix都做了策略，主机是win2000也修改了注册表。路由器上启用了syn限速和tcp拦截（这个到底有用没有），现效果都不明显。有什么好的策略嘛？ 另问CISCO的tcp拦截功能能够过滤掉伪造的源ip吗？ A:StoneZzz 可以开启CISCO路由器的intercept模式，依靠路由器的性能来抵抗，就看你的路由器支持不了。Intercept模式下，TCP连接请求达到目标主机之前，路由器拦截所有TCP请求，并代表服务器建立客户机的连接，并代表客户机建立与服务器的连接，当两个连接都成功实现，路由器就将两个连接进行透明的合并。 命令： 开启intercept模式 ip tcp intercept list access-list-number ip tcp intercept max-incomplete high number 1100 在开始删除连接之前能够存在的half-open连接的最大数目 ip tcp intercept max-incomplete low number 900 在停止删除halp-open连接之前能够存在的最小halp-open连接数目 ip tcp intercept one-minute high number 1100 在开始删除连接之前，每分钟能够存在的最大halp-open连接数目 ip tcp intercept one-minute low number 900 在停止删除连接之前，每分钟能够存在的最小halp-open连接数目 A:martin wuwu兄， 我个人认为TCP intercept的效果不会明显， 如果网络流量特别大的话。 而且还会 影响你的路由器转发其他网络流量时的性能， 因为TCP Intercept很费CPU和内存资 源。 在你自己的网络上作防范， 对付DOS攻击的方法毕竟有限， 最好的办法， CNSEA认为， 应该联系你的ISP， 这些攻击的网络源地址是伪造的， 但如果不是非常非常分布式的攻击， 也就是说， 不是全国范围内， 各个省市都 有的过万台主机向你发DOS网络流量， ISP应该可以追踪到这些DOS网络流量的源头， 没准儿也就是几台带宽大一些的主机被HACK了， 被用来向你攻击。 照理来说ISP应该会帮你们的， 因为他们的网络的位置是使他们防备针对他们的客 户的DOS攻击的最好工具。 让你的ISP反向查一下这些网络流量的来源， 如果ISP 的网络不复杂， 也许几个路 由器就查到了。 在让ISP通知向你发DOS攻击的那个网络的网络网管， 让他来查查 被感染的主机， 把它们修好， 这样就解决问题了。 通常解决DOS攻击的方法都是这样的， 要在网络上的大家协同合作， 一人有难， 大 家帮忙。 当初我想帮国内的ISP建立网络运行工程师联盟就是这个初衷。 A:StoneZzz 不过，找ISP的话，就更复杂了，别说跨过，跨省就很麻烦。 对于TCP的FLOOD，伪造地址，其实防范是比较容易的，我觉得还是找绿盟之类厂商，试用防DOS产品。哈哈，暂时抵抗一下就好。 A:networker 传统路由器一般不会有太多的CPU余量用来处理3层以上的数据格式。如果寻求帮助效果不好，或者ISP解决问题需要很长时间（这种情况在国内发生的可能性极大），不妨试一下应用交换机，有时也被叫做内容交换机，他们通常支持的SESSION数在百万数量级，而且TCP的延迟绑定是它的基本功能之一。缺点是比较贵，好象没有成熟的国产品牌。 A:Martin StoneZzz 写到: 不过，找ISP的话，就更复杂了，别说跨过，跨省就很麻烦。 对于TCP的FLOOD，伪造地址，其实防范是比较容易的，我觉得还是找绿盟之类厂商，试用防DOS产品。哈哈，暂时抵抗一下就好。 看样子还是体制上的问题。 按照商业上的道理来说， 企业网是ISP的客户， 是ISP的 衣食父母。 如果企业网有难， ISP应该是义不容辞的。 但如果ISP是大爷的话， 那就难了。 在国内还是要讲国内的道理。 看样子我还没 有跟上国内的情况， 见笑了。 A:wind_color123 networker 写到: 传统路由器一般不会有太多的CPU余量用来处理3层以上的数据格式。如果寻求帮助效果不好，或者ISP解决问题需要很长时间（这种情况在国内发生的可能性极大），不妨试一下应用交换机，有时也被叫做内容交换机，他们通常支持的SESSION数在百万数量级，而且TCP的延迟绑定是它的基本