配置手册及排错指导sangfor ngaf6.8dos攻击

SANGFOR_NGAF6.DoS+DDos防护配置指导深信服科技文档编号审修订记录版时目介 文档说 读者对 缩写和约 使用反 功能简 应用场 必要条件说 配置思 配置方式及截 安装发包软件 DoS/DDoS防护策略配 发包测 注意事 介文档说本文档深信服公司及其者，并保留一切权利。本公司，任何单位和个人不得擅自摘抄、本书内容的部分或全部，并不得以。由于产品版本升级或其他原因，本手册内容有可能变更。深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。读者对本配置指导文档主要适用于如下工程现场技术支持与人负责网络配置和的网络管理本文中AF均指代 NGAF设备或服务使用反如果您在使用过发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术社区： .cn感谢您的支持与反馈，会做的更好功能简DOS是DenialofService的简称，即服务，造成DOS的行为被称为DOS，其目的是使计算机或网络无法提供正常的服务。DDOS是DistributedDenialofservice的简称，即分布式服从实现方式和目的来看，DoS和DDoS都是利用网络协议实现的缺陷或野蛮地消耗目标主机的网络带宽，文件系统空间，开放的进程或者允许的连接，让目标主机系统无法提供正常的服务或资源，使目标服务系统停止响应甚至。深信服NGAF的模块中的DoS/DDoS防护功能可以检测到DoS/DDoS数据流，并通过、丢包等进行防护。应用场DOS/DDoS防护的应用场景：NGAF以路由/透明/虚拟网线模式部署在出口，需要配置DoS/DDoS防护策略，保护内网服务器不被外部，同时内部主机向互联网发起DoS/DDoS。本次测试环境中，NGAF以路由模式部署，将内网的服务器00的web服务TCP80端口映射为NGAF口IP的TCP80端口，模拟DOS的测试PC的IP地址为。必要条件说明防护对象的数据流量必须要经过NGAF设备，不支持旁路模式配置思1、安装发包测试软件2、配置DoS/DDoS防护策略3、使用测试软件Hyenae进行发包，查看NGAF数据中心的日志配置方式及截图安装发包软件1、双机运行Hyenae安装程序，出现安装向导，点击2、在证协议中点击 Agree”，然后在选择组件页面直接点击3、选择好程序安装的文件夹位置，然后点击“Install”，开始正式安装 5、安装完成，点击”Close”,建议重启下PC，以便Hyenae识别PC网卡6、点击开始菜单，找到程序“HyenaeFE”,点击运行OperationMode：操作模式，一般选择默认的“Attackfromlocalmachine”;NetworkInterface:网卡，用于给软件选择PC发包的网卡；NetworkProtocal网络协议，IP-Version（IP版本）有IPv4和IPv6两种，一般选择默认的“IPv4”即可，PacketType（包类型）有TCP、UDP等类型，可以根据需要选择； Parameters：发包参数，设置发包的数量、发包间隔时间、发包持续时间DestinationPattern：目标模式，用于设置发送数据包的目标MAC、目标IP和目标端口,格式为Excute：执行，点击该按钮开始发包注使用Hyenae软件发包的过，可能会存在发快导致PC卡顿无法操作的现象，建议测试过程中限制发包数量；DoS/DDoS防护策略配在导航菜单中点击，然后选择DoS/DDoS防护，点击新增按钮，选择对内防护策略2、输入策略名称，区域选择已定义好的wan区域，勾选ARP洪水防护，扫描防护中 类型选择IP地址扫描防护、端口扫描防护，DoS/DDoS防护的内网IP组选择“服务器组”，类型保持默认的即可，检测后的操作勾选“记录日志”和“阻断”。点击高级选防御设置，其中有“基于数据包”、“IP协议报文选项”、“TCP协议报文选项”，除“IP数据块分片传输防护”不选择外，其他所有都勾选上，然后点击确定和提交；发包测1、打开HyenaeFE软件界面，在NetworkInterface中选择发包的网卡，在NetworkProtocol中选择IPv4和TCP，在SendParameters中设置Fixpacketlimit(发包个数)为20W，设置SourcePattern和DestinationSourcePattern设置中e:fc:fe:8f:c2:57为测试PC的MAC地址，为测试PC的IP地址，DestinationPattern设置中为目标IP，fe:fc:fe:d6:88:6d为发包的目的MAC地址，80为发包的2、查看运行状态中的者IP、安全、数据中心DOS日志，都有对应的记录注意事1、在进TCPUDP的DOS测试中，只要的目标主机路由可