iT邦幫忙

0

請問win server 2012 有辦法處理大量的fin wait 、1~2狀態嗎?

如題,因為有大量的fin wait1、fin wait2、fin wait進入電腦
導致網路癱瘓,應該有超過3萬個以上的連接
不知道win server 2012 本身有無辦法處理這樣的連接?
有用註冊表寫入30秒強制斷開,但好像沒有作用,因為連接數太多來不急
還是有什麼辦法設置單個IP超過多少fin wait1、fin wait2、fin wait禁止連線的方式
在此請教各位大神了

1 個回答

4
raytracy
iT邦大神 1 級 ‧ 2020-09-06 00:41:02
最佳解答

這是很簡單的 SYN Flooding 型態 DDoS 攻擊, 利用 TCP 協定的缺陷, 在三方交握階段, 故意不送出第三個 Ack 信號, 讓 Server 端的 TCP Connection 進入長時間等待, 然後在極短時間內, 建立大量這類型有缺陷的三方交握, 將 Server 端的 Port 填滿, 他就沒有多餘的 Port 可以用來服務正常客戶.....

通常 OS 本身抵擋 SYN Flooding 的對策並不多, 比較常見如同您所做的: 縮短 FIN_WAIT Timeout 時間, 但這樣同時會造成網路較差的正常使用者, 也發生不定時 Timeout 問題, 但卻無法同時消除掉大量的 DDoS 來源, 所以這個方法在現代的高速網路環境, 已經沒有太大的用處....

另外一個是改用 SYN Cookie 手法取代 FIN_WAIT 信號, 這件事情從 Server 2008 開始, 就已經是預設開啟, 所以如果這樣還能把你打掛, 代表那個量來得很大, 連 SYN Cookie 也已經擋不住了...

剩下的, 你就只能靠外援:

  1. 功能強大的防火牆:
    能夠辨識 SYN Flooding 攻擊, 同時本身也具備阻擋能力. 但若他的能力不足的話, 會變成是防火牆先被打掛掉. 你的難題會在: 該買多大才夠力? 就算今天夠用, 下個月會不會又來更大的, 超過今天買的規格?

  2. DDoS 防禦設備或服務
    有專門用來防禦 DDoS 的設備, 如: A10, F5 等等, 或是網路服務如: Cloudflare, Incapsula, Akamai 等等, 它們專精於 Anti-DDoS 的技術, 當然能力會比一般的防火牆好很多. 但他們不算是 L3/WAF 防火牆(雖然有些會內建), 所以你還是需要有自己的 L3/WAF 防火牆, 然後將 DDoS 放在更外層阻擋

  3. SIEM+SOAR 資安防禦系統
    連續製造大量 SYN_WAIT 是一種異常現象, 你可以在內網建置 Network-IDS 或是 Host-IDS 設備或軟體, 將偵測到的 SYN_WAIT 現象, 導入 SIEM 系統內統整分析. 在 SIEM 中可以用人工逐條判讀, 或者是導入 AI 自動判讀, 抓出這些會製造 SYN_WAIT 的惡意 IP, 再透過 SOAR 自動化指令系統, 指揮所有網路設備, 將這些 IP 列入黑名單中, 自動阻斷他們的連線.

簡單一句話: 只靠 OS 本身辦不到, 你需要外援...

通常抵禦 DDoS 攻擊的奧義是: 決戰境外,
在封包還沒碰到你的主機之前, 就要打掉他,
千萬不要靠主機 OS 的能力去處理 DDoS....

我要發表回答

立即登入回答