内网IP的连接数非常大,看到这个第一反应就是被攻击了,Panabit的性能是足够强大的,抗攻击的能力远远比其他的路由要强。但遗憾的是在遇到外网流量攻击的时候,就无能为力了。
因为这样的攻击消耗的是外网带宽的资源,遇到这样的攻击,我们的瓶颈在带宽,而不在路由器本身。但是也不是所有的攻击都是这样,对于某些攻击,Panabit路由还是有办法防御和解决的。
Panabit默认是不允许从外到内建立连接的。因此正常情况下,从外到内主动发起的连接是会被PA丢弃掉的。
在什么情况下PA会产生从外到内的连接呢?只有两种情况会产生。
第一,做端口映射。做了端口映射,端口映射规则会自动检测映射的内网主机IP是否存在,如果内网IP存在,就会对映射的内网和外网端口自动建立一个会话状态,当有数据包匹配这个状态的时候,连接就会产生了,如果内网机器关闭了,端口映射规则会自动失效,那么状态就不会再有,从外到内的连接也就无法再产生了。在做了端口映射的情况下,也是有被外网攻击的可能的。我之前就遇到一个无盘服务器做了端口映射,结果有外网通过这个端口攻击他的服务器,导致服务器负载高,全场客户机出现卡顿,死机,无法进入系统等情况。
第二,做了从外到内的路由策略。从外到内的路由策略是静态的,只要有匹配路由规则的数据包过来,就会Panabit上就会建立连接,即使内网机器不存在,连接也会被建立。一般地区的网吧是不有从外到内的路由策略的。但是北京网吧不一样,因为北京网吧的客户机都是公网地址,出网是通过私网互联,要想外网直接远程访问内网的某个服务器,只能通过添加从外到内的路由策略,不能做端口映射。这次被攻击的网吧大量的连接,就是这个从外到内的路由策略产生的。
要阻止连接的产生,就要去掉这个策略路由。知道问题所在,我立刻去掉策略路由,但是发现连接数仍然没有降下来,也许是连接没有老化得这么快,于是等了几分钟,但是连接还是一直在20万。
策略路由取消了,这样只是不会再产生新的连接,但是已经产生的连接依然存在。并且如果外网有流量过来的话,这些连接很难被老化。即使被老化了一部分,这样的老化速度也太慢了,授权的20万连接已经被打满,内网其它用户的正常的连接很难被建立,整个网络还是会卡。不过,想到之前做了连接数限制,这就有办法解决了。连接数限制策略会阻断大量的连接。我们可以通过命令,快速老化被阻断的连接。这里要注意的是,是先有连接产生,才有连接数限制策略阻断连接。因此,阻断连接不等于不产生连接!!
登录后台,执行floweye flow setarg dropflow_ttl=5设置连接数控制阻断连接的老化时间为5秒。这样一条命令过后,连接马上降了下去,网络立马回复正常。
不管是内网连接数攻击,还是外网连接数攻击,我们都可以用这个办法来解决。连接数限制策略+快速老化被阻断连接。还有就是我们在做端口映射和从外到内的路由是会有风险的。请大家要格外注意这个。
在线咨询
联系我们
扫描关注
回到顶部
5636联盟APP下载
