DDOS防護(hù)功能是服務(wù)器安全狗中一個非常重要的功能,提醒用戶要做好安全設(shè)置工作。下面我們一起來看看,DDOS防護(hù)功能如何設(shè)置,才能達(dá)到最佳的防護(hù)效果。
說明:這次我們使用2臺服務(wù)器進(jìn)行測試,IP分別是192.168.73.128和192.168.73.129(這里我們用虛擬機進(jìn)行模擬)。由192.168.73.129對另外一臺發(fā)起SYN Flood攻擊。
Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。其中192.168.73.128裝了服務(wù)器安全狗。過程這里就不做說明了,我們可以從服務(wù)器安全狗的防護(hù)日志上看到攻擊的信息。
當(dāng)攻擊開始的時候,我們可以看到屏幕右下腳的服務(wù)器安全狗標(biāo)志在閃紅預(yù)警,這說明你的服務(wù)器正在遭受攻擊。這時候你就可以到服務(wù)器安全狗的防護(hù)日志里查看日志,如下圖:
圖1.防護(hù)日志
這說明,我們的服務(wù)器安全狗已經(jīng)起作用了,攔截了對方的DDOS攻擊。而起攔截作用的就是服務(wù)器安全狗網(wǎng)絡(luò)防火墻模塊中的DDOS防火墻。接下來我們來進(jìn)行詳細(xì)的了解下DDOS攻擊防護(hù)能力及其設(shè)置:
圖2.DDOS防火墻
用戶可以通過單擊操作界面右上方的“已開啟”/“已關(guān)閉”按鈕來開啟/關(guān)閉DDOS防火墻功能。建議用戶安裝完服務(wù)器安全狗之后,立即開啟DDOS防火墻。只有DDOS防火墻開啟,才能實現(xiàn)防御DDOS攻擊的功能,如下圖所示:
圖3.DDOS防火墻開啟
參數(shù)設(shè)置:DDOS防火墻各項參數(shù),全部是針對單個IP的設(shè)置。所有參數(shù)都是根據(jù)實驗測試得出的最佳值,所以一般情況下建議用戶直接使用系統(tǒng)默認(rèn)設(shè)置。同時,在使用過程中,用戶也可以根據(jù)實際攻擊情況隨時修改各項參數(shù)值,如圖所示:
圖4.DDOS防火墻參數(shù)設(shè)置
在這里我們來詳細(xì)介紹下這些參數(shù)。
“IP凍結(jié)時間”用以設(shè)置被安全狗判斷為攻擊的IP將會被禁止訪問的時間長度,時間單位為分鐘,取值需為大于1的整數(shù),用戶可以視攻擊情況修改限制訪問的時間長度,如下圖所示:
圖5.IP凍結(jié)時間設(shè)置
“SYN攻擊”設(shè)置單位時間內(nèi)單個IP的TCP連接請求響應(yīng)次數(shù),此功能用于SYN攻擊防護(hù),時間單位為秒鐘,取值需為大于1的整數(shù),一般使用默認(rèn)的參數(shù)500,如果攻擊情況比較嚴(yán)重,可以適當(dāng)調(diào)低連接請求參數(shù),那什么是TCP呢?這個就要涉及到TCP/IP協(xié)議了。
TCP/IP(Transmission Control Protocol/Internet Protocol) 即傳輸控制協(xié)議/網(wǎng)間協(xié)議,是一個工業(yè)標(biāo)準(zhǔn)的協(xié)議集,它是為廣域網(wǎng)(WAN)設(shè)計的。
那什么又是TCP連接請求呢?具體大家可以 到網(wǎng)絡(luò)上找到大量的比較正式的解釋,這里我們先稍微介紹下。舉個例子,比如你要去朋友家玩,這個朋友是新認(rèn)識的,所以你不知道他家地址,那你就需要問他家的地址,然后你找個時間去找他。這里“TCP連接”代表“你和朋友面對面接觸并商量好”的這個過程,而“朋友給你的地址”就代表了IP地址。那就如我們設(shè)置的10秒響應(yīng)TCP連接請求數(shù)500,就代表了你10秒內(nèi)要向這個朋友問他的地址500次(當(dāng)然這個只是比喻現(xiàn)實不太可能實現(xiàn)),這樣就造成了很大的負(fù)載,導(dǎo)致計算機可能負(fù)載很大就無法正常運行了。比喻可能比較通俗也不是非常的準(zhǔn)確,但最少可以讓大家知道是這么個意思。具體設(shè)置如下圖:
圖6.單個IP單位時間相應(yīng)連接請求設(shè)置
掃描攻擊指的是通過一些軟件對服務(wù)器的端口或者漏洞進(jìn)行掃描然后入侵計算機。“掃描攻擊”主要是設(shè)置單位時間內(nèi)的服務(wù)器請求響應(yīng)次數(shù),時間單位為秒鐘,取值需為大于1的整數(shù),一般使用默認(rèn)的參數(shù)500,如果攻擊情況比較嚴(yán)重,可以適當(dāng)調(diào)低響應(yīng)請求次數(shù),具體設(shè)置如下圖:
圖7.掃描攻擊參數(shù)設(shè)置
“流量攻擊”設(shè)置單位時間內(nèi)服務(wù)器最多接收單個IP發(fā)送的TCP/UDP包次數(shù),時間單位為秒鐘,取值需為大于1的整數(shù),一般使用默認(rèn)的參數(shù)500,如果攻擊情況比較嚴(yán)重,可以適當(dāng)調(diào)低響應(yīng)請求次數(shù),這種攻擊消耗網(wǎng)絡(luò)帶寬或使用大量數(shù)據(jù)包淹沒一個或多個路由器、服務(wù)器和防火墻;帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數(shù)據(jù)包被傳送到特定目的地,我們通過安全狗設(shè)置當(dāng)這些數(shù)據(jù)包達(dá)到一定數(shù)的時候進(jìn)行防御。設(shè)置如下圖:
圖8.流量攻擊參數(shù)設(shè)置
當(dāng)全部都設(shè)置完成之后,點擊“保存”,這樣就完成了設(shè)置。具體如下圖:
圖9.設(shè)置成功
DDOS攻擊防護(hù)很重要,用戶朋友們一定要認(rèn)真設(shè)置,以達(dá)到最佳的防護(hù)效果。
