iT邦幫忙

0

Juniper SYN Flood dos ack

公司設備有偵測到SYN FLOOD DOS ACK
JUNIPER防火牆也有開啟PROTECTION
但細節參數該如何設定,才能擋掉攻擊呢?

sesion limit
timeout
Threshold
等等
爬文爬了很久,有介紹只有default
想要一個大概值可以參考為依據,
先謝謝各位大大

2 個回答

4
raytracy
iT邦大神 1 級 ‧ 2014-10-15 10:19:09
最佳解答

治洪水重疏濬, 不能依賴防堵; 堤防築再高, 不去解決源頭, 洪水總有漫頂的一天

既然都有 Log 了, 應該是去找出那台發出 Syn Flood 的機器, 把她調整好, 整理好, 清乾淨, 就不會再發生.

我看到很多人, 用了防火牆之後, 就想依靠防火牆去阻擋自己沒有能力解決的問題, 這樣的使用方式是錯誤的. 固然每個人能力有限, 或許今天沒有能力解決這個問題, 但是不應該用「眼不見為淨」的方式來處理問題, 看不到, 聽不見, 不代表問題已經結束了.

這就像是對抗伊波拉傳染病, 只封鎖邊界是沒有用的, 因為封鎖線不可能 100% 無縫, 如果持續放任病毒在封鎖線內肆虐, 他總有一天會變種, 找到突破封鎖線的方法, 接下來就會急速擴散到讓你措手不及...

所以, 防火牆只能擋一時, 幫你爭取緩衝的時間; 但是不能因為她幫你擋住, 就放著不管, 根本的解決之道, 還是必須去找出問題的源頭來徹底解決.

有些大型企業設有「防火牆管理師」這樣的職位, 他的工作並不是整天在防火牆上面設定很多 Rule 去阻擋問題發生, 而是要從防火牆的 Log 內找出問題點, 然後通知發生問題的那個單位改善, 或是教她們如何改善.

mingo iT邦新手 5 級 ‧ 2014-10-15 10:31:20 檢舉

大神您好
很感謝您這麼用心回復,我懂您的意思,
小弟IT剛入門,很多不太懂,還需高手們願意幫幫忙,
因為不是從防火牆內的LOG看見有SYN FLOOD,
而是在監測軟體流量的設備上看到(riverbed),
找不到IP是從哪邊攻擊,只好先從防火牆先阻止一下,
再來尋找是哪台電腦發生問題,
現在公司網路速度時好時壞,
在防火牆內的LOG看見如下
Src IP session limit! From 192.168.1.1:41544 to 111.221.77.150:40021, proto UDP (zone Trust, int ethernet4). Occurred 16 times.
出現很多這種東西,但卻看不到SYN FLOOD類似的LOG,
百思不得其解,還是高手幫幫忙,
感激不盡!

2
阿偉Eric
iT邦新手 3 級 ‧ 2014-10-16 17:45:08

Src IP session limit! From 192.168.1.1:41544 to 111.221.77.150:40021, proto UDP (zone Trust, int ethernet4). Occurred 16 times.

您好!從連線記錄看來,目的應該是微軟。
請確認內部主機192.168.1.1是否在做Windows Update的連線!
小弟也剛入門,若有錯誤還請見諒!以上彼此交流討論!謝謝!

我要發表回答

立即登入回答