定相应的安全策略协助该单位恢复系统正常工作。
我们对攻击数据包分析检测方法如下:
(1) 针对http(端口80)建立TCP连接,已完成三次握手,但是客户端不结束连接,消耗Web服务器(IIS)连接资源,造成正常用户很难访问此网站。
(2) 攻击地址随机分布,来自不同地域,为真实地址,源端口连续,每秒建立连接2000次左右。
(3) 通过查看NetEye防火墙内容过滤日志,发现有GET / HTTP 1.1 url记录,此url出现通常表明有扫描程序在对Web Server进行扫描以判断Web Server类型。
根据对攻击数据包的分析,调整NetEye防火墙的策略如下:
(1) 在内核配置智能统计策略:根据总体带宽和资源情况限制单位时间内单位IP地址的syn连接次数。
典型策略:先对此源地址的连接数据包延迟处理,但缩短超时时间。如果该源地址的出现频度持续增加,将此地址列入黑名单,进行一次性规则限制。
(2) 在页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
