【DDoS】【攻击防护】屏蔽正常客户端地址

李莉02发表于:2021年05月12日 18:45:43更新于:2021年06月15日 11:06:43

1 问题描述

    DDoS设备的屏蔽记录中,有正常访问的客户端地址被屏蔽:

image.png


2 适用场景

    通用。


3 原因分析

    根本原因:触发全局参数中被执行屏蔽策略的参数。

    全局参数中,触发后会被设备屏蔽的参数及屏蔽原因对应关系如下:

屏蔽原因

对应参数

系统连接保护

TCP连接数保护第三个参数

固定源地址攻击

SYN Flood固定源保护


4 解决办法

    根治办法:

    首先释放屏蔽,再根据屏蔽原因,调整相应的全局参数。


    1)释放屏蔽

    打开【防御配置】-全局参数,将“防御释放时间”改为0;

image.png


    2)打开【状态监控】-屏蔽记录,被屏蔽的地址会自动释放,释放后屏蔽记录界面自动清空,清空后记得要将“防护释放时间”参数改回默认值10000;

image.png


    3)调整防护参数

    根据屏蔽原因,调整相应防护参数;

    调整方法:

    查看“主机状态”页面,根据设备对全网流量和各个数据包频率、连接数的实时统计情况,调大相应的防护参数;

    因查看流量当时未必是全网流量的高峰时间,建议先调大到实时看到的总流量数值2倍以上。


    注意:在调整参数时,SYN Flood固定源保护、TCP 连接数量保护第三个参数/IP,此两个参数在“主机状态”实时列表中没有实时显示,所以无法看到此两个参数的数值,建议也以全网实时总流量中的相应数值为参考。

image.png


    例如屏蔽记录中的屏蔽原因显示“系统连接保护”,在“主机状态”中看到全网实时的TCP连接IN为300+,则可以将此参数调整到600,调整后再观察是否还会将正常客户端地址屏蔽,若仍然有屏蔽记录,则继续调大此参数,直到在业务流量正常时不会出现屏蔽为准。