|
|
|
这样设置后,防DDOS,也可防止70%的SYN半连接攻击|
|
| WWW.FSOU.COM
来源:www.fsou.com 时间:2005-10-26
|
|
首先对你机器做以下的设置 !
用本地安全策略封掉所有不属于传奇开放端口,封的方法见网络上,很多,
就是封3000的办法 ! 你传奇服务器内部可以访问,.但不对外,
然后打开 7000. 7100 7200 端口 ! (记得不要封掉)
然后去下载个硬件防火墙软件模拟工具 ! (哈哈,有这个吗 ?)
名字叫MapPort 端口影射工具 !
打开,输入第一组隐射组
7000 - > 30000(LoginGate)
7100 - > 31000(SelChrGate)
7200 - > 32000(RunGate)
简单的说明下,在这里,7000 7100 7200 只做对外开放的端口,不是传奇真正的端口,
被软件影射后,传奇真正的端口就变为 30000(LoginGate) ,31000(SelChrGate),32000(RunGate)
因为这些端口只作为内部访问,外部访问是用软件从7000 7100 7200 端口隐射进来的,所以可以正常工作
记得传奇哪三个网关的端口也要改
这样设置就完毕了,.
打开MapPort 我们对其进行设置 !
在安全中,可以设置: 最大连接, 单个IP连接, 黑名单设置 !
最大连接:
7000 - > 30000(LoginGate) 设置为 40 单个IP连接设置为:20
7100 - > 31000(SelChrGate) 设置为 30 单个IP连接设置为:20
7200 - > 32000(RunGate) 设置为 1000 单个IP连接设置为:20
这样我们可以有效的防止DDOS,或其他的变种攻击 !
防御SYN攻击!
在黑名单中可以设置封IP段,这个要麻烦点 !
依次加入不存在的IP地址:
193.0.0.1 - 193.255.255.254
194.0.0.1 - 194.255.255.254
66.0.0.1 - 66.255.255.254
30.0.0.1 - 30.255.255.254
这个只作为参考,还有很多,自己加进去
依照你自己的思维能力加进不存在或根本没这个IP连接你的地址! 都写进去 (不要怕,虽然多,但可以保存)
设置完毕后,你可以下载一个打击傲盾盗板防火墙测试下,
我测试为:
没这样做,攻击7000端口 ! CPU在一会时间持续100% 游戏暴卡,鼠标不能流畅的动起来,
在运行中输入 NETSTAT -A 提示系统资源不足 !
按照设置后攻击 :7000端口,
攻击,CPU资源不动 ! 游戏正常 !
查看日志,可以看到被阻拦的IP地址 !
还有,这个可以按照你的标准,可以在三个端口封玩家IP地址 !
-----------------
检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:
# netstat -n -p TCP
tcp 0 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV -
tcp 0 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV -
tcp 0 0 10.11.11.11:23 222.220.13.25:47393 SYN_RECV -
tcp 0 0 10.11.11.11:23 212.200.204.182:60427 SYN_RECV -
tcp 0 0 10.11.11.11:23 232.115.18.38:278 SYN_RECV -
tcp 0 0 10.11.11.11:23 239.116.95.96:5122 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.219.139.207:49162 SYN_RECV -
...
上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:
#netstat -n -p TCP | grep SYN_RECV | grep :22 | wc -l
324
显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。
|
|
|
|
|
 相关文章 |
|
|
|
