PA小课堂 | 网吧被连接数攻击怎么办?
最近有很多用户反馈被攻击,其实攻击这种事情随时都在发生,网络攻击手段有很多种,最终的目的就是将你的系统资源耗尽,将带宽资源,将路由器性能耗尽等等。Panabit的性能是足够强大的,抗攻击的能力远远比其他的路由要强。但遗憾的是在遇到外网流量攻击的时候,就无能为力了。因为这样的攻击消耗的是外网带宽的资源,遇到这样的攻击,我们的瓶颈在带宽,而不在路由器本身。但是也不是所有的攻击都是这样,对于某些攻击,我们还是有办法防御和解决的。下面就给大家分享一个对付连接数攻击的解决方法。
某天北京的合作伙伴在群里接了一个图,某个内网IP的连接数非常大!看到这个,第一反应就是被攻击了!
北京的合作伙伴也意识到这点,于是做了两个操作,将这个内网客户机关机然后做连接数限制策略。但是这两个操作过后,连接数并没有降下去。
大家可能不解,内网机器都关机了为什么还会有连接?这是因为,这些连接应该是从外网发起的,路由器是被动接受。
但是如果这样就能把连接打满,那Panabit的路由岂不是很容易被攻击瘫痪?其实不然,Panabit默认是不允许从外到内建立连接的。因此正常情况下, 从外到内主动发起的连接是会被PA丢弃掉的。
在什么情况下PA会产生从外到内的连接呢?只有两种情况会产生。
第一,做端口映射。做了端口映射,端口映射规则会自动检测映射的内网主机IP是否存在,如果内网IP存在,就会对映射的内网和外网端口自动建立一个会话状态,当有数据包匹配这个状态的时候,连接就会产生了,如果内网机器关闭了,端口映射规则会自动失效,那么状态就不会再有,从外到内的连接也就无法再产生了。在做了端口映射的情况下,也是有被外网攻击的可能的。我之前就遇到一个无盘服务器做了端口映射,结果有外网通过这个端口攻击他的服务器,导致服务器负载高,全场客户机出现卡顿,死机,无法进入系统等情况。
第二,做了从外到内的路由策略。从外到内的路由策略是静态的,只要有匹配路由规则的数据包过来,就会Panabit上就会建立连接,即使内网机器不存在,连接也会被建立。一般地区的网吧是不有从外到内的路由策略的。但是北京网吧不一样,因为北京网吧的客户机都是公网地址,出网是通过私网互联,要想外网直接远程访问内网的某个服务器,只能通过添加从外到内的路由策略,不能做端口映射。这次被攻击的网吧大量的连接,就是这个从外到内的路由策略产生的。
要阻止连接的产生,就要去掉这个策略路由。知道问题所在,我立刻去掉策略路由,但是发现连接数仍然没有降下来,也许是连接没有老化得这么快,于是等了几分钟,但是连接还是一直在20万。
策略路由取消了,这样只是不会再产生新的连接,但是已经产生的连接依然存在。并且如果外网有流量过来的话,这些连接很难被老化。即使被老化了一部分,这样的老化速度也太慢了,授权的20万连接已经被打满,内网其它用户的正常的连接很难被建立,整个网络还是会卡。不过,想到之前做了连接数限制,这就有办法解决了。连接数限制策略会阻断大量的连接。我们可以通过命令,快速老化被阻断的连接。这里要注意的是,是先有连接产生,才有连接数限制策略阻断连接。因此,阻断连接不等于不产生连接!!
登录后台,执行floweye flow setarg dropflow_ttl=5 设置连接数控制阻断连接的老化时间为5秒。这样一条命令过后,连接马上降了下去,网络立马回复正常。
小伙伴们看明白了吗?不管是内网连接数攻击,还是外网连接数攻击,我们都可以用这个办法来解决。连接数限制策略+快速老化被阻断连接。还有就是我们在做端口映射和从外到内的路由是会有风险的。请大家要格外注意这个。
学习一下命令! 学习了。。。:D 好贴,学习了 :D学习了 ... floweye flow setarg dropflow_ttl=5
默认值是多少?攻击小时后,是否有偶必要恢复为默认值? 学到了。标记一下
页:
[1]