针对特别TCP端口的攻击防护.doc

密级: 文档编号: 第版分册名称: 第册/共册针对特别 TCP 端口攻击的防护 SINOGRID&WORKS 匿名总页数正文附录生效日期: 编制: 审核: 批准: 针对特别 TCP 端口攻击的防护案例介绍某客户采用 Link Controller 作为国际网络出口的链路负载均衡产品,在正常情况下工作稳定,但内网用户中病毒后表现异常。用户异常表现 ICMP : 利用 Microsoft 漏洞的病毒,扫描连续 IP 地址的 ICMP 包,给网络带来很大压力,并且多台中毒的电脑同时扫描连续 IP 地址造成 LC 性能下降。 NETBIOS : 也是一个利用 Microsoft 的漏洞的病毒, 主要通过 TCP 135 端口建立连接,对网络也会造成非常大的影响。因为 LC 上的配置是“ / internal :0“也就是将内网对公网所有 IP 地址和端口的访问导向到两个 ISP 的路由器, 如果大量内部中毒用户同时发作的话, 大量 TCP 会话对网络的打击是致命的。解决方法停止 LC对 ICMP 包的处理, 丢弃所有通过的 ICMP 包( 现在很多公网的一致做法), 在主菜单中的 system =>Advance property 中的 BIG-IP 选项中 snats any_ip 是改变这个配置的地方,如图 1-1 所示: 图 1-1 如果客户使用的是 BIGIP 的话要进入命令行,输入一下命令来改变这个设置: b internal set snat_anyip_through =0 在 LC 上建立一个特别的 VS将 TCP 135 端口屏蔽,“ / internal:135 ”的 VS 就可以将 TCP 135 和其他网络流