|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
KFW傲盾防火墙针对WEB服务器防护设置
随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;针对日益严峻的DDOS攻击形势,北京傲盾软件有限公司推出了一系列抗DDOS的KFW傲盾抗DDOS防火墙。 KFW傲盾防火墙功能强大,能很好的防护SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等攻击。特有Ddos、Dos攻击防御(采用最先进的数据包状态检测技术,可以防范各种 dos攻击包括最难的syn攻击,装备傲盾软件防火墙的P42.0G CPU的服务器可以抵 御每秒40万以上的攻击包,防范效果甚至比硬件防火墙还要好,傲盾防火墙WEB基本版、高级版防火墙是傲盾公司专门这针对WEB服务器攻击而开发的两款功能强大的防火墙。下面系统的介绍一下傲盾防火墙如何防护攻击以及防护参数设置如何调整。本篇文章介绍的是以针对WEB服务器的DDOS攻击防护设置,一下是一针对80端口的防护设置为例来介绍的,如果您需要保护的端口有所不同请改成相应的端口。
第一章 如何查看是否有攻击
一.通过服务器的一些异常情况查看攻击
当服务器主机被DOS/DDOS攻击时,主要有如下现象:
1.被攻击主机上有大量等待的TCP连接,用“netstat –an”命令查看会有数百上千个不同的IP不停的和主机服务器建立连接。
2.CPU占用率很高,有时候甚至达到100%,严重时会出现蓝屏死机死机。
3.网络中充斥着大量的无用的数据包,源地址为伪造IP和端口
4.高流量无用数据(如IGMP数据包),网络拥塞,受害主机无法正常和外界通讯。
1.查看流量图:
首先双击桌面图标上的“KFW企业版管理器”:
出现如下所示防火墙登录界面:
默认密码为“12345”点击登录“按钮”后进入防火墙设置以及流量查看界面,如图所示:
然后点击启动按钮选择下拉菜单选中本机所使用的IP,就会出现流量曲线图:
在此流量图中可以看到每秒即时的接收包和发送包其中红线代表发送包蓝线代表接收包,当有外来攻击的时候接收包(蓝线)流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的,但当有攻击的时候蓝线会远远高于红线。
2.查看DOS_SYN列表:
首先,鼠标左键双击桌面上的“KFW企业版网络监控”,如图所示:
出现如下图所示界面:
如果有DOS_SYN攻击的时候,点击如图所示“DOS_SYN列表”会出现防火墙连接的SYN包信息:
如上图所示,防火墙拦截了大量的针对7000端口的SYN攻击包,上面的“源IP”就是攻击者伪造的IP地址,目的IP就是本机IP。
3.如何查看服务器是否遭受了CC攻击:
打开“KFW企业版网络监控”点击查询视图:
点击如上图所示“查询视图”,出现如下图所示:
上图显示的是当前所有连接的详细信息列表,然后点击如下图所示,圈中的地方:
当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的,此时可以方便的查看每个IP和服务器建立的多少连接,因为CC攻击时黑客利用控制代理攻击的,一般是控制上百台或者上千代理频繁的和一台服务器建立连接,以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息,并且单个IP和服务器建立连接有很多的时候,说明遭受到了CC攻击。
另外,我们还可以查看针对某个端口的信息:
点击“目的端口”后面的小箭头出现如下所示下拉菜单:
选中后出现如图所示:
比如,我们查看80端口的信息,在这里输入“80”然后点击“OK”,下面列表里出现的就都是关于80端口的连接信息:
4.如何查看服务器是否遭受了UDP、ICMP、IGMP攻击:
当服务器遭受了UDP、ICMP、IGMP等带宽攻击的时候在防火墙流量图里面有可能看不到很大数目的攻击包,这是因为傲盾防火墙已经拦截了攻击包,这时候我们要查看“KFW企业版管理器”里面接收拦截包如图所示:
在上图所示下拉菜单复选框中选择“接收拦截包数”就会产看到拦截的攻击包,此外还可以查看“KFW企业版网络监控”里面的连接信息,点击‘查询视图’,点击‘所有连接列表’点击右侧‘协议’选择UDP(或者ICMP、IGMP),可以看到所有的UDP(ICMP、IGMP)连接的源IP,目的IP,源端口,目的端口。假设你的服务器平常这种数据包很少,突然增加了很说,说明服务器此时肯定是遭受了UDP(ICMP、IGMP)攻击。
二.如何针对攻击对防火墙进行防护设置:
傲盾防火墙的特点就是功能强大规则设置灵活,所以要使傲盾防火墙达到最好的防护效果就需要专业灵活的掌握好设置参数。下面以针对传奇攻击为例详细的介绍一下,各种攻击的防护以及防火墙的设置。
1.针对DDOS_SYN攻击的设置:
DDOS_SYN攻击就是针对TCP/IP协议的薄弱环节,利用IP欺骗技术,对要攻击的节点疯狂地发出数据包;使得被攻击节点忙于处理这些虚假来源的数据包,从而使合法的使用者无法正常的连接到被攻击的节点。
选择菜单 设置->DOS攻击防护->高效syn防护设置,如图所示:
点击后出现如下图所示:
syn高效防护开关 开启后,默认将保护服务器所有端口.默认的响应TCP连接请求的数值是50。 50这个数值就是说在一秒内,所有发到服务器的建立连接的请求,傲盾防火墙只处理前50个,假如有51个包,最后1个包,傲盾防火墙会暂时搁置。等3秒钟在进行处理。如果是正常的连接,3秒种后,被搁置的这个请求会再次发出,如果是ddos_syn攻击,因为IP地址是虚拟的,3秒钟后就不会在发出回应的包。因此就避免了服务器资源被耗尽。这个数值是可以调整的,如果服务器同时在线人数很大,可以加大这个设置到100或者150,但是如果攻击量大,这个数值可以减小到30或者50。CC攻击是DDOS攻击的一种,CC攻击模拟多个用户不停的进行访问某个页面直至系统崩溃。
SYN拒绝服务攻击防护设置
选择菜单 设置->DOS攻击防护->SYN拒绝服务攻击防护,如图所示:
点击“SYN拒绝服务攻击”,如图所示点击“添加”按钮:
设置说明:
[INTERENT IP地址] 本规则的Interent Ip地址,也就是遭受syn dos攻击的Ip地址,在这里因软防装的只有一台服务器,所以我们选择“任何IP地址就可以了”。
[端口类型]本规则要保护的端口,可以通过下拉菜单选择个端口或者端口列表。
[INTERENT IP地址] 本规则的Interent Ip地址,也就是遭受syn dos攻击的Ip地址。
[连接建立前检查合法性] 连接建立前检查合法性,是针对很多服务程序(比如web服务器, 传奇游戏,终端服务等),连接建立后客户端都会主动发送一个包给服务器,防火墙利用这个特点伪装成服务器。攻击端和客户端建立连接实际上是和防火墙建立连接,防火墙把这个连接信息保存起来,并不和目标服务器直接建立连接。当客户端连接后发送一个数据包,经过防火墙,防火墙检查后没问题,就把客户端和服务器连接起来。
[新建连接的合法检查] 针对 "DDoS攻击者" 这类攻击 选择此项。FTP 服务器,可以通过本设置来防护 "DDoS攻击者" 这类的攻击。
[新建连接的合法检查-子项] 比如默认设置 [连接建立后2秒内] [客户端必须发送3个数据包] 表示TCP连接完成3次握手建立连接后2秒钟内系统将检查请求这个连接的客户端是否发送了3个数据包,如果客户端没有发送3个数据包,这个连接将被断开。通过这两个设置,可以防护未知的syn 攻击。
[禁止HTTP连接] 防止CC类攻击非HTTP端口。有些攻击用CC类工具通过代理服务器来攻击非HTTP的端口,是通过HTTP协议来的防问,所以通过这个选项可以完全防住这类攻击。
[禁止HTTP代理连接] 代理服务器会在HTTP头里留下代理服务器的一些信息,通过这些可以判断出是否是通过代理服务器访问的。
[ HTTP引用页面检查] http头里有引用标志,这个标志里填写访问这个url 是从哪个页面过来的,通过判断引用标志可以来防止恶意刷新网页。
[ HTTP引用页面基本设置] 在[允许引用的url]里加入允许引用你网站的url前缀,不被允许的网页引用你的网页都会被拦截。
2.针对WEB网站服务器CC攻击如何进行设置防护:
CC攻击是DDOS攻击的一种,CC攻击模拟多个用户不停的进行访问某个页面直至系统崩溃。被CC攻击时候服务器出现如下的的症状 :
一般服务器被CC攻击时,WEB服务器会出现80端口对外是关闭的现象,
因为这个断口已经被堵塞了,通过命令netstat -an可以看到和如下显示雷同的记录:*.*.*.*:80 62.126.37.172:5641 SYN_RECEIVED ,其中62.126.37.172就是代理攻击IP,SYN_RECEIVED就是攻击的特征 ,这样的记录一般都会有很多条,不同的代理IP攻击
kfw傲盾防火墙独特的算法,区别于其他防火墙,不但可以根据单个IP的连接数量,也可以根据页面的内容进行智能定制防护,可以有效防范cc攻击,设置如下:
1.登陆KFW傲盾防火墙管理器-设置-防火墙规则-防火墙规则设置-添加(如图)
名称填写:防范CC攻击规则,协议类型选TCP,发送端是访问web的客户端,接受端是需要保护的WEB服务器的IP地址.这里我们假设是192.168.1.102 , 选择 接受端‘等于单一IP地址’, 通常web服务器的端口是80,这里我们选择 ‘等于端口’ 80. ‘协议属性设置’默认情况是防护下面所有的FIN,ACK,SYN,PSH,RST,URG 协议. 这个选项我们一般不需要动. ‘拦截设置’ 我们选 ‘条件符合时拦截’ .
2. 然后点击 ‘高级设置’,进入 ‘高级设置’ 界面.选择 ‘大量IP刷服务器’.
如下图,我们选择 1. ‘进行大量IP刷服务器防护’, 2. ‘按访问限制’ , 3. ‘WEB SERVER HTTP协议防护’. WEB SERVERHTTP协议防护是傲盾防火墙所独有的功能,如果选上这个选项,那么防火墙根据每个访问IP打开你页面的所需要下载的图片,flash, 等计算访问服务器次数.假如你的页面很大图片,和flash, 就需要增加 ‘60秒内允许访问的次数. 可以从50次增加到100或者200次.根据你自己的情况灵活调节你可以一边调节这个数值,一边访问自己的网站,如果发现登陆不上去了,就可以加大数值.
如果你要根据每个IP和服务器建立的连接来进行防护,(不推荐这样,应为连接数通常不准确) 就可以不选WEB SEVER HTTP 协议防护,这样就是按照链接数进行防护了.
3.下图中的 选项 ‘加入IP拒绝访问列表后多少秒内释放’ 是指超出60秒访问50次的IP将会被冰冻起来,加入IP拒绝访问列表, 我们可以冰冻这个IP达600秒,当然也可以设置成500或者300秒.解冻后允许它访问服务器10次,这个数值也可以根据情况再进行设置.
4. 如果CC攻击的数量很大,你也可以禁止HTTP代理连接.但是这样做会使一部分使用HTTP代理的用户访问不了你的网站.
点击 ‘设置’??—‘DOS攻击防护’---‘SYN拒绝服务攻击防护’ 如下图
然后添加一个规则如下图:
描述写:防止HTTP代理连接, ‘IP类型’选‘任何IP地址’, ‘端口类型’ 选 ‘任何端口’ , 然后点击 ‘禁止http代理连接’ 如下图:
通过上述几个步骤的设置,KFW傲盾防火墙就可以防护针对WEB的CC和空连接攻击了. |
|