设为首页收藏本站 开启辅助访问
搜索
    查看: 62828|回复: 54

    服务器安全狗DDOS防火墙的攻击实例和参数设置说明

      [复制链接]
    发表于 2011-12-19 14:29:01 | 显示全部楼层 |阅读模式
    所有官方发布的教程帖子,均附带有图片,请大家先注册论坛帐号之后浏览相关帖子,谢谢支持~

    说明这次我们使用2台服务器进行测试,IP分别是192.168.73.128和192.168.73.129(这里我们用虚拟机进行模拟)。由192.168.73.129对另外一台发起SYN Flood攻击。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。其中192.168.73.128装了服务器安全狗。过程这里就不做说明了,我们可以从服务器安全狗的防护日志上看到攻击的信息。

    当攻击开始的时候,我们可以看到屏幕右下脚的服务器安全狗标志在闪红预警,说明你的服务器正在遭受攻击。这时候你就可以到服务器安全狗的防护日志里查看日志,如下图:

    1.jpg
    图1.防护日志

    我们的服务器安全狗已经起作用了,拦截了对方的DDOS攻击。而起拦截作用的就是服务器安全狗防火墙模块中的DDOS防火墙,如下图所示,接下来我们要进行详细的说明:

    防火墙-DDOS防火墙2.JPG
    图2.DDOS防火墙

    开启/停止DDOS防火墙功能:用户可以通过单击操作界面右上方的“开启”/“停止”按钮来开启/停止DDOS防火墙功能。DDOS防火墙必须开启,才能实现防御DDOS攻击的功能,建议用户安装完服务器安全狗之后,立即开启DDOS防火墙。如下图所示:

    防火墙-DDOS防火墙3.JPG
    图3.DDOS防火墙开启

    DDOS防火墙各项参数,全部针对单个IP设置,所有参数都是根据实验测试得出的最佳值,所以一般情况下建议用户直接使用系统默认设置。在使用过程中,用户也可以根据实际攻击情况随时修改各项参数值,如图所示:

    防火墙-DDOS防火墙4.JPG
    图4.DDOS防火墙参数设置

    这里我们详细介绍下这些参数,“IP冻结时间”用以设置被安全狗判断为攻击的IP将会被禁止访问的时间长度,时间单位为分钟,取值需为大于1的整数,用户可以视攻击情况修改限制访问的时间长度,如下图所示:

    防火墙-DDOS防火墙5.JPG
    图5.IP冻结时间设置

    “单个IP”设置单位时间内单个IP的TCP连接请求响应次数,此功能用于SYN攻击防护,时间单位为秒钟,取值需为大于1的整数,一般使用默认的参数500,如果攻击情况比较严重,可以适当调低连接请求参数,那什么是TCP呢?这个就要涉及到TCP/IP协议了。TCP/IP(Transmission Control Protocol/Internet Protocol) 即传输控制协议/网间协议,是一个工业标准的协议集,它是为广域网(WAN)设计的。那什么又是TCP连接请求呢?具体大家可以 到网络上找到大量的比较正式的解释,这里我们先稍微介绍下。举个例子,比如你要去朋友家玩,这个朋友是新认识的,所以你不知道他家地址,那你就需要问他家的地址,然后你找个时间去找他。这里“TCP连接”代表“你和朋友面对面接触并商量好”的这个过程,而“朋友给你的地址”就代表了IP地址。那就如我们设置的10秒响应TCP连接请求数500,就代表了你10秒内要向这个朋友问他的地址500次(当然这个只是比喻现实不太可能实现),这样就造成了很大的负载,导致计算机可能负载很大就无法正常运行了。比喻可能比较通俗也不是非常的准确,但最少可以让大家知道是这么个意思。他的具体设置如下图:

    防火墙-DDOS防火墙6.JPG
    图6.单个IP单位时间相应连接请求设置

    下个模块就是扫描攻击,“扫描攻击”设置单位时间内的服务器请求响应次数,时间单位为秒钟,取值需为大于1的整数,一般使用默认的参数500,如果攻击情况比较严重,可以适当调低响应请求次数,这个扫描攻击指的是通过一些软件对服务器的端口或者漏洞进行扫描然后入侵计算机。我们的设置如下图:

    防火墙-DDOS防火墙7.JPG
    图7.扫描攻击参数设置

    “流量攻击”设置单位时间内服务器最多接收单个IP发送的TCP/UDP包次数,时间单位为秒钟,取值需为大于1的整数,一般使用默认的参数500,如果攻击情况比较严重,可以适当调低响应请求次数,这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的TCPUDPICMP数据包被传送到特定目的地,我们通过安全狗设置当这些数据包达到一定数的时候进行防御。设置如下图:

    防火墙-DDOS防火墙8.JPG
    图8.流量攻击参数设置

    我们的安全狗还针对一些常见的漏洞攻击进行防御,比较常见的漏洞有winNuke,Smurf,Land-based。勾选WinNuke,Smurf和Land-based三种漏洞攻击防护相应的复选框,之后选择“保存”以开启相应的漏洞攻击防护功能。一般建议用户开启全部三项漏洞攻击防护功能,用户也可以根据实际需要选择,并“保存”设置。具体如下图:

    防火墙-DDOS防火墙9.JPG
    图9.设置成功
    回复

    使用道具 举报

    发表于 2011-12-19 16:55:37 | 显示全部楼层
    支持一下 不错
    回复 支持 反对

    使用道具 举报

    发表于 2011-12-24 10:43:22 | 显示全部楼层
    支持安全狗
    回复 支持 反对

    使用道具 举报

    发表于 2012-2-3 21:09:43 | 显示全部楼层
    支持!支持
    回复 支持 反对

    使用道具 举报

    发表于 2012-2-6 09:50:37 | 显示全部楼层
    虽然冻结了,但它发的请求,安全狗还是要作出判断返回给它,这个判断,还是要占资源的,希望把这资源占用弄成最小
    回复 支持 反对

    使用道具 举报

    发表于 2012-2-6 14:49:27 | 显示全部楼层
    四海为家 发表于 2012-2-6 09:50
    虽然冻结了,但它发的请求,安全狗还是要作出判断返回给它,这个判断,还是要占资源的,希望把这资源占用弄 ...

    资源占用已经非常之小了~
    回复 支持 反对

    使用道具 举报

    发表于 2012-3-5 09:52:28 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    发表于 2012-3-8 13:55:23 | 显示全部楼层
    为什么我要打开ARP防火墙的时候会失败啊,提醒是没有安装驱动
    回复 支持 反对

    使用道具 举报

    发表于 2012-3-8 13:58:31 | 显示全部楼层
    雷鸣123 发表于 2012-3-8 13:55
    为什么我要打开ARP防火墙的时候会失败啊,提醒是没有安装驱动

    http://bbs.safedog.cn/thread-2452-1-1.html 参考这个帖子
    回复 支持 反对

    使用道具 举报

    发表于 2012-3-24 10:40:27 | 显示全部楼层
    为什么我的服务器安全狗提示有SYN FLOOD攻击或者全连接攻击时,我服务器上的网站就打不开啊?安全狗不是已经把攻击给防御了吗?
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2018-8-14 23:17 , Processed in 0.098231 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表