现在好多朋友深受内部ddos的攻击影响。和诸位一样我也是深受其害。无论软硬路由cpu load 100%
telnet都上不去。都是因为客户端使用了带有蠕虫和病毒的程序造成的,还有令人讨厌的arp病毒等等。如果你是网吧有条件就使用
pppoe连接吧,至少可以防御arp病毒。如果和我一样没有这个条件去管理各个客户端。。。惨啊,呵呵。
某天,arp病毒爆发,无数电话打到我的办公室。我只好把电话拔了,哈哈。telnet到交换机上 show 了一把arp表。我的妈呀有一个48口交换机上有300余条arp记录,对应的ip都是虚假的还有很多冒用路由的mac地址。由于交换机处于pc与路由之间。这些攻击的主要特征是交换机转发了大量的垃圾信息。如果交换机过滤了大部分的垃圾信息那么路由器的负担应当相应减轻。
首先将路由的ip和mac地址静态绑定。然后分别在我的二层交换机,,上根据业务类型划分了好多vlan 各vlan使用上不同的网关地址,然后启用交换机的DHCP check功能,他的原理是所有的地址都由地址池分配,没有经过分配的地址一律check失败而不会被交换机接受,这样交换机的arp表就不会登记很多病毒形成的arp表项。呵呵下面着手过滤垃圾信息。
1。过滤arp信息,使用交换机的ACL(访问控制列表),过滤arp协议信息,原则是
1)只要不是由路由器发送的arp回应信息一律drop ,这样pc只能得到路由的mac地址,其他的都得不到
2)arp请求信息只能发往 网关地址;对于其他地址的arp请求drop
然后打开交换机的流量控制(traffic control)
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。
使用ACL过滤交换机连接到路由器的端口
第一条规则是无条件接受由路由器地址,源地址不在本地网段(即因特网)发来的所有udp,tcp协议信息
接着基于目的地址过滤udp信息。所有udp都drop,打开53端口用于dns解析,和几个常用的游戏端口,还有几个软件的专用udp端口。
接着基于目的地址过滤tcp信息。开放端口 http https ssl pop3 smtp 文件共享 几个游戏使用的端口
剩下的从internet来的信息交由 过滤就行了。
^_^ ,,,,整个世界就清静了
大家使用的交换机不同,但是规则的原理是相同的。我用的是华为的2层交换,现在好多其他的厂商交换机也有基于web管理的,好好研究一下说明书也可以预防好多问题。如果你使用的是傻瓜交换机那么。。。。
|
京ICP备14024464 公安备案号 京1081234