傲盾软件防火墙培训教材.doc

北京傲盾软件有限公司 — 第一篇 软件防火墙的安装 第一章 IP和MAC地址的查询 - 4 - 一.如何查询IP地址和MAC地址： - 4 - 第二章 傲盾防火墙的安装 - 5 - 第三章 傲盾防火墙的启动与调试 - 11 - 一．防火墙的启动： - 11 - 第四章 防火墙不工作原因查找及故障排除 - 14 - 一.防火墙不工作情况的表现 - 14 - 情况一：登陆防火墙“KFW傲盾防火墙企业管理器”，提示连接失败 - 14 - 情况二：在有右下角任务栏里托盘中防火墙不能“开始” - 14 - 情况三：可以打开管理器，但是打开后没有流量曲线图 - 15 - 二.如果防火墙不工作需要查一下以下几个方面的设置： - 15 - 1.查看Windows系统时间设置是否正确： - 15 - 2.查看服务器网卡（MAC）地址是否为虚拟 - 16 - 3.查看应用服务有没有启动 - 19 - 4.查看傲盾防火墙的驱动程序生成时间是否正确： - 20 - 5.如果是以上四项以外的原因 - 21 - 第一章 IP和MAC地址的查询 一.如何查询IP地址和MAC地址： 因为傲盾防火墙是和服务器的IP地址和MAC（网卡）绑定的，所以在联系我公司人员制作安装包之前要查询IP地址和MAC地址，方法如下： 1． 单击“开始”菜单在运行栏输入“cmd”，如图： 2.“确定”后进入DOS提示符，如图所示： 3.键入“ipconfig /all”回车后出现一下提示界面，如图所示： 在上图中“本地连接”下ip address 就是你的IP地址, physical address就是你的网卡MAC 地址。 知道自己的IP地址和MAC地址之后，可以联系我公司人员制作防火墙安装包，安装包制作好以后会在服务器生成一下载地址，客户可以下载安装包傲本地服务器进行安装。 第二章 傲盾防火墙的安装 联系我公司人员生成安装包下载地址以后，将安装程序下载到本地服务器，进行软件的安装。 1. 下载后的安装包如图所示： 2. 点击图标进行安装，点击后如图所示： 3. 点击“下一步 4. 选择“我同意该许可协议的条款”，然后点击“下一步”，如图所示： 5. 选择安装路径，这里我们选择默认安装路径“C:\Program Failes\safe123\kfee”就可以，然后继续“下一步”，出现如图所示： 6. 继续“下一步”，如图所示： 7. 安装等待结束后出现，防火墙参数设置界面，如图所示： 这个是防火墙的启动参数设置，一般防火墙是和常用应用软件是没有冲突的，因为一般我们安装都是远程安装，为了防止远程登陆被断掉的危险，安全期间我们选择“开机后不自动启动防火墙“。 8. 启动参数设置完毕以后，点击“确定”按钮，出现如图所示： 9. 点击“完成”按钮完成本软件的安装。此时将会出现重新启动计算机的提示界面，我们点击“是（Y）”，重新启动计算机。 10. 完成本软件的安装，重新启动计算机后就可以运行本软件了。 第三章 傲盾防火墙的启动与调试 一．防火墙的启动： 因为我们在安装时的“启动参数设置”里面设置的是“开机后不自动启动防火墙”，所以我们要开机后手动去运行防火墙。 1.启动防火墙： 打开“开始”菜单－> “所有程序”－>“傲盾防火墙企业版本5.1”－>“运行托盘”，如图所示： 2.运行托盘后，在桌面右下角任务栏会出现傲盾的小图标，如图所示： 3.双击此图标，出现如图所示： 4.我们点击“开始”当“开始”按钮为灰色的时候，防火墙已经启动。此时可以打开桌面上的“KFW企业管理器”，如图所示： 5.双击此图标后，将会出现防火墙管理器登陆界面,如图所示： 6.首次登陆的“地址”默认为：“127.0.0.1:10000”；帐号默认为：“root”；密码默认为：“12345”，点击“登陆”按钮后，进入KFW防火墙管理器界面，如图所示： 7.点击启动流量查看图按钮（上图中圈中的地方），然后点击，下图所示下拉菜单，选中防火墙绑定的IP，如下图所示： 8.我们选中防火墙绑定的IP后将会出现，流量监控的事实图标曲线图，如下图所示： 此时有流量曲线图证明防火墙工作正常。如果登陆“KFW企业管理器”有异常情况，请查看下面《防火墙不工作原因查找及故障排除》章节。 第四章 防火墙不工作原因查找及故障排除 一.防火墙不工作情况的表现 防火墙不工作一般是有以下几种情况：1.登陆防火墙“KFW傲盾防火墙企业管理器”，提示连接失败。2. 在有右下角任务栏里托盘中防火墙不能“开始”。3.可以打开管理器，但是打开后没有流量曲线图。如图所示： 情况一：登陆防火墙“KFW傲盾防火墙企业管理器”，提示连接失败 情况二：在有右下角任务栏里托盘中防火墙不能“开始” 当防火墙启动后在托盘处点击鼠标右键会出现如上菜单，我们点击“开始”按钮当开始为灰色显示时，防火墙已经启动，如果点击开始没有反应，说明防火墙不工作。 情况三：可以打开管理器，但是打开后没有流量曲线图 如果出现以上三种情况防火墙均为不工作状态。下面详细的讲解一下故障的排除： 二.如果防火墙不工作需要查一下以下几个方面的设置： 1.查看Windows系统时间设置是否正确： 如果时间设置不正确有可能导致防火墙工作不正常，如图所示： 上图所示当前时间为2006年八月25日17：00，如果时间正确。当系统为Windos2003系统时需要看一下上图中“Internet时间”，如下图所示： 此时需要取消“自动与Internet时间服务器同步”前面的复选框。 2.查看服务器网卡（MAC）地址是否为虚拟 如图所示： 首先在“开始”－>控制面板－>网络连接－>本地连接,打开本地连接： 然后在“本地连接”鼠标右键单击属性，如下图所示： 单击“属性”如图所示： 点击网卡的“配置”按钮： 出现如下图所示界面，然后点“高级”查找带有“address”后缀的值是否存在，如果此值存在则说明刚才查找的MAC地址为虚拟的，需要重新联系我司销售技术人员重新制作生成安装包。 3.查看应用服务有没有启动 在桌面“我得电脑”右键打开“管理” 如下图所示： 打开“服务和应用程序”，在“服务”里面找到“Remote Access Connection Manager”和“Telephony”这两个服务，看这两个服务是否已经启动，如果没有启动，需要将这两个服务启动。 打开“服务和应用程序”，找到“服务”，如图所示： 打开后找到“Remote Access Connection Manager”和“Telephony”这两个服务，如果没有启动，将这两个服务启动。 4.查看傲盾防火墙的驱动程序生成时间是否正确： 驱动程序在“C:\WINDOWS\system32\drivers”目录下文件名为“kfwcorea”,一般这个文件的修改时间是防火墙安装包生成的时间，如果这个时间和给您制作安装程序的时间差别很大，可能是驱动的原因，请联系我公司人员重新制作生成程序。 5.如果是以上四项以外的原因 请联系我公司技术人员帮您查找解决问题。 第二篇 FW傲盾防火墙如何防范CC攻击? CC攻击是DDOS攻击的一种,CC攻击模拟多个用户不停的进行访问 某个页面直至系统崩溃。 kfw傲盾防火墙独特的算法,区别于其他防火墙,不但可以根据单个IP的连接数量,也可以根据页面的内容进行智能定制防护,可以有效防范cc攻击,设置如下: 1.登陆KFW傲盾防火墙管理器－设置－防火墙规则－防火墙规则设置－添加（如图） 名称填写:防范CC攻击规则,协议类型选TCP,发送端是访问web的客户端,接受端是需要保护的WEB服务器的IP地址.这里我们假设是192.168.1.102 , 选择 接受端‘等于单一IP地址’, 通常web服务器的端口是80,这里我们选择 ‘等于端口’ 80. ‘协议属性设置’默认情况是防护下面所有的FIN,ACK,SYN,PSH,RST,URG 协议. 这个选项我们一般不需要动. ‘拦截设置’ 我们选 ‘条件符合时拦截’ . 2. 然后点击 ‘高级设置’,进入 ‘高级设置’ 界面.选择 ‘大量IP刷服务器’. 如下图,我们选择 1. ‘进行大量IP刷服务器防护’, 2. ‘按访问限制’ , 3. ‘WEB SERVER HTTP协议防护’. WEB SERVERHTTP协议防护是傲盾防火墙所独有的功能,如果选上这个选项,那么防火墙根据每个访问IP打开你页面的所需要下载的图片,flash, 等计算访问服务器次数.假如你的页面很大图片,和flash, 就需要增加 ‘60秒内允许访问的次数. 可以从50次增加到100或者200次.根据你自己的情况灵活调节你可以一边调节这个数值,一边访问自己的网站,如果发现登陆不上去了,就可以加大数值. 如果你要根据每个IP和服务器建立的连接来进行防护,(不推荐这样,应为连接数通常不准确) 就可以不选WEB SEVER HTTP 协议防护,这样就是按照链接数进行防护了. 3.下图中的 选项 ‘加入IP拒绝访问列表后多少秒内释放’ 是指超出60秒访问50次的IP将会被冰冻起来,加入IP拒绝访问列表, 我们可以冰冻这个IP达600秒,当然也可以设置成500或者300秒.解冻后允许它访问服务器10次,这个数值也可以根据情况再进行设置. 4. 如果CC攻击的数量很大,你也可以禁止HTTP代理连接.但是这样做会使一部分使用HTTP代理的用户访问不了你的网站. 点击 ‘设置’—‘DOS攻击防护’---‘SYN拒绝服务攻击防护’ 如下图 然后添加一个规则如下图: 描述写:防止HTTP代理连接, ‘IP类型’选’任何IP地址’, ‘端口类型’ 选 ‘任何端口’ , 然后点击 ‘禁止http代理连接’ 如下图: 通过上述几个步骤的设置,KFW傲盾防火墙就可以防护针对WEB的CC和空连接攻击了. 第三篇 傲盾防火墙如何防护UDP攻击 KFW傲盾防火墙功能强大，能防护DDOS，SYN，CC，M2，ICMP，IGMP,UDP等攻击。 UDP （User Datagram Protocal）即用户数据报协议，主要用来支持需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使UDP协议。KFW傲盾防火墙通过分析底层通讯协议来防护UDP攻击。比较常用UPD攻击软件如：阿拉丁UDP洪水攻击器2.1  一．如何得知自己被UDP攻击? 1．单击KFW 企业版网络监控 2．点击‘查询视图’，点击‘所有连接列表’点击右侧‘协议’选择UDP，可以看到所有的UDP连接的源IP,目的IP，源端口，目的端口。假设你的服务器平常的UDP连接是100个左右，现在在连接列表里的UDP连接突然到达500个，这时你的服务器肯定遭受到了UDP攻击。 3．确定UDP的攻击量，双击KFW企业版管理器 4．输入帐户密码登陆管理器 5点击‘流量监控’，点击 ‘开始流量监控’，在下拉菜单中选中你的IP地址。 6．点击‘发送字节’和‘接受字节’如下图。 7．你可以看到你的服务器瞬时发送的字节和接受的字节数。下图是发送字节和接受字节分别是74 ，时间是7：32分52秒。假如你的接受字节是120,000,000. 120万个字节，约等于12兆字节，换算成比特位就是12兆X 8 ＝ 96兆带宽。这就意味这UDP攻击占用了你96兆带宽。 二．如何设置防护UDP攻击规则 1． 点击‘设置’－‘DOS攻击防护’－ ‘接受包流量限制’ 2． 如上图，我们可以看到，傲盾防火墙已经内置了三个防护ICMP,UDP,和IGMP的规则。选中‘UDP攻击防护’规则。单击‘修改’ 3． 下图的‘源地址’ 可以选择攻击者的源IP，由于攻击的源IP都是伪造的，‘源地址’可以选择‘任何IP地址’。源地址下面的端口类型也可以选‘任何端口’。‘目的地址’下面的IP类型是你服务器的IP地址，即可以添加你服务器的IP地址，也可以是‘任何IP地址’端口选择你服务器的UDP端口，或者是‘任何端口’。下面的设置是每秒可以通过1000个UDP包，傲盾防火墙象一个阀门，当每秒的UDP包到达1200时候，超出的200个包将被拦截。 4． 每秒可以通过的包可以根据你的服务器情况设定。假如平常的UDP包是100个，那么可以设定成每秒可以通过100个包，多余的包拦截。如下图 5． 运行最大突发是在5秒内允许最大的每秒通过UDP包，假设上图所示，从1到5秒的时间突然UDP增加到200每秒，那么傲盾防火墙允许这200X 5=1000个包通过，当的六秒的时候，将会恢复100个包每秒的规则。‘智能处理’是针对硬防防火墙的选项，软防一般不要选。 三 如何评估防护结果 对于UDP攻击包，傲盾防火墙就象一个阀门，把规则设定的UDP包放进来，把多余的拦截调。但是我们有的时候，设定了傲盾防火墙的UDP规则，ping服务器仍然丢包，这个时候你要考虑你的带宽了。假如你的带宽是百兆独享，在傲盾企业版本网络监控里面，接受字节是120,000,000. （120万个字节），约等于12兆字节，换算成比特位就是12兆X 8 ＝ 96兆带宽。这就意味这UDP攻击占用了你96兆带宽。加上你发送的字节数，你的服务器带宽已经被占用完。 虽然UDP包被傲盾防火墙拦截，但是你的服务器可能不能正常的工作，这时你需要临时增加带宽，以抵御UDP攻击。 KFW傲盾防火墙针对WEB服务器防护设置 第一章 如何查看是否有攻击 一.通过服务器的一些异常情况查看攻击 当服务器主机被DOS/DDOS攻击时，主要有如下现象： 1.被攻击主机上有大量等待的TCP连接，用“netstat –an”命令查看会有数百上千个不同的IP不停的和主机服务器建立连接。 2.CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机。 3.网络中充斥着大量的无用的数据包，源地址为伪造IP和端口 4.高流量无用数据（如IGMP数据包），网络拥塞，受害主机无法正常和外界通讯。 1.查看流量图： 首先双击桌面图标上的“KFW企业版管理器”： 出现如下所示防火墙登录界面： 默认密码为“12345”点击登录“按钮”后进入防火墙设置以及流量查看界面,如图所示： 然后点击启动按钮选择下拉菜单选中本机所使用的IP，就会出现流量曲线图： 在此流量图中可以看到每秒即时的接收包和发送包其中红线代表发送包蓝线代表接收包，当有外来攻击的时候接收包（蓝线）流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的，但当有攻击的时候蓝线会远远高于红线。 2.查看DOS_SYN列表： 首先，鼠标左键双击桌面上的“KFW企业版网络监控”，如图所示： 出现如下图所示界面： 如果有DOS_SYN攻击的时候，点击如图所示“DOS_SYN列表”会出现防火墙连接的SYN包信息： 如上图所示，防火墙拦截了大量的针对7000端口的SYN攻击包，上面的“源IP”就是攻击者伪造的IP地址，目的IP就是本机IP。 3.如何查看服务器是否遭受了CC攻击： 打开“KFW企业版网络监控”点击查询视图： 点击如上图所示“查询视图”,出现如下图所示： 上图显示的是当前所有连接的详细信息列表，然后点击如下图所示，圈中的地方： 当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的，此时可以方便的查看每个IP和服务器建立的多少连接，因为CC攻击时黑客利用控制代理攻击的，一般是控制上百台或者上千代理频繁的和一台服务器建立连接，以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息，并且单个IP和服务器建立连接有很多的时候，说明遭受到了CC攻击。 另外，我们还可以查看针对某个端口的信息： 点击“目的端口”后面的小箭头出现如下所示下拉菜单： 选中后出现如图所示： 比如，我们查看80端口的信息，在这里输入“80”然后点击“OK”，下面列表里出现的就都是关于80端口的连接信息： 4.如何查看服务器是否遭受了UDP、ICMP、IGMP攻击： 当服务器遭受了UDP、ICMP、IGMP等带宽攻击的时候在防火墙流量图里面有可能看不到很大数目的攻击包，这是因为傲盾防火墙已经拦截了攻击包，这时候我们要查看“KFW企业版管理器”里面接收拦截包如图所示： 在上图所示下拉菜单复选框中选择“接收拦截包数”就会产看到拦截的攻击包，此外还可以查看“KFW企业版网络监控”里面的连接信息，点击‘查询视图’，点击‘所有连接列表’点击右侧‘协议’选择UDP（或者ICMP、IGMP），可以看到所有的UDP（ICMP、IGMP）连接的源IP,目的IP，源端口，目的端口。假设你的服务器平常这种数据包很少，突然增加了很说，说明服务器此时肯定是遭受了UDP(ICMP、IGMP)攻击。 二．如何针对攻击对防火墙进行防护设置： 傲盾防火墙的特点就是功能强大规则设置灵活，所以要使傲盾防火墙达到最好的防护效果就需要专业灵活的掌握好设置参数。下面以针对传奇攻击为例详细的介绍一下，各种攻击的防护以及防火墙的设置。 1.针对DDOS_SYN攻击的设置： DDOS_SYN攻击就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术，对要攻击的节点疯狂地发出数据包；使得被攻击节点忙于处理这些虚假来源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。 选择菜单 设置->DOS攻击防护->高效syn防护设置，如图所示： 点击后出现如下图所示： syn高效防护开关 开启后，默认将保护服务器所有端口.默认的响应TCP连接请求的数值是50。 50这个数值就是说在一秒内，所有发到服务器的建立连接的请求，傲盾防火墙只处理前50个，假如有51个包，最后1个包，傲盾防火墙会暂时搁置。等3秒钟在进行处理。如果是正常的连接，3秒种后，被搁置的这个请求会再次发出，如果是ddos_syn攻击，因为IP地址是虚拟的，3秒钟后就不会在发出回应的包。因此就避免了服务器资源被耗尽。这个数值是可以调整的，如果服务器同时在线人数很大，可以加大这个设置到100或者150，但是如果攻击量大，这个数值可以减小到30或者50。CC攻击是DDOS攻击的一种,CC攻击模拟多个用户不停的进行访问某个页面直至系统崩溃。 SYN拒绝服务攻击防护设置 选择菜单 设置->DOS攻击防护->SYN拒绝服务攻击防护，如图所示： 点击“SYN拒绝服务攻击”，如图所示点击“添加”按钮： 设置说明： [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址，在这里因软防装的只有一台服务器，所以我们选择“任何IP地址就可以了”。 [端口类型]本规则要保护的端口，可以通过下拉菜单选择个端口或者端口列表。 [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址。 [连接建立前检查合法性] 连接建立前检查合法性，是针对很多服务程序(比如web服务器, 传奇游戏，终端服务等)，连接建立后客户端都会主动发送一个包给服务器，防火墙利用这个特点伪装成服务器。攻击端和客户端建立连接实际上是和防火墙建立连接，防火墙把这个连接信息保存起来，并不和目标服务器直接建立连接。当客户端连接后发送一个数据包，经过防火墙，防火墙检查后没问题，就把客户端和服务器连接起来。 [新建连接的合法检查] 针对 "DDoS攻击者" 这类攻击 选择此项。FTP 服务器，可以通过本设置来防护 "DDoS攻击者" 这类的攻击。 [新建连接的合法检查-子项] 比如默认设置 [连接建立后2秒内] [客户端必须发送3个数据包] 表示TCP连接完成3次握手建立连接后2秒钟内系统将检查请求这个连接的客户端是否发送了3个数据包，如果客户端没有发送3个数据包，这个连接将被断开。通过这两个设置，可以防护未知的syn 攻击。 [禁止HTTP连接] 防止CC类攻击非HTTP端口。有些攻击用CC类工具通过代理服务器来攻击非HTTP的端口，是通过HTTP协议来的防问，所以通过这个选项可以完全防住这类攻击。 [禁止HTTP代理连接] 代理服务器会在HTTP头里留下代理服务器的一些信息，通过这些可以判断出是否是通过代理服务器访问的。 [ HTTP引用页面检查] http头里有引用标志，这个标志里填写访问这个url 是从哪个页面过来的，通过判断引用标志可以来防止恶意刷新网页。 [ HTTP引用页面基本设置] 在[允许引用的url]里加入允许引用你网站的url前缀，不被允许的网页引用你的网页都会被拦截。 2.针对WEB网站服务器CC攻击如何进行设置防护: CC攻击是DDOS攻击的一种,CC攻击模拟多个用户不停的进行访问某个页面直至系统崩溃。被CC攻击时候服务器出现如下的的症状 ： 一般服务器被CC攻击时，WEB服务器会出现80端口对外是关闭的现象， 因为这个断口已经被堵塞了，通过命令netstat -an可以看到和如下显示雷同的记录：*.*.*.*:80 62.126.37.172:5641 SYN_RECEIVED ，其中62.126.37.172就是代理攻击IP，SYN_RECEIVED就是攻击的特征 ，这样的记录一般都会有很多条，不同的代理IP攻击 kfw傲盾防火墙独特的算法,区别于其他防火墙,不但可以根据单个IP的连接数量,也可以根据页面的内容进行智能定制防护,可以有效防范cc攻击,设置如下: 1.登陆KFW傲盾防火墙管理器－设置－防火墙规则－防火墙规则设置－添加（如图） 名称填写:防范CC攻击规则,协议类型选TCP,发送端是访问web的客户端,接受端是需要保护的WEB服务器的IP地址.这里我们假设是192.168.1.102 , 选择 接受端‘等于单一IP地址’, 通常web服务器的端口是80,这里我们选择 ‘等于端口’ 80. ‘协议属性设置’默认情况是防护下面所有的FIN,ACK,SYN,PSH,RST,URG 协议. 这个选项我们一般不需要动. ‘拦截设置’ 我们选 ‘条件符合时拦截’ . 2. 然后点击 ‘高级设置’,进入 ‘高级设置’ 界面.选择 ‘大量IP刷服务器’. 如下图,我们选择 1. ‘进行大量IP刷服务器防护’, 2. ‘按访问限制’ , 3. ‘WEB SERVER HTTP协议防护’. WEB SERVERHTTP协议防护是傲盾防火墙所独有的功能,如果选上这个选项,那么防火墙根据每个访问IP打开你页面的所需要下载的图片,flash, 等计算访问服务器次数.假如你的页面很大图片,和flash, 就需要增加 ‘60秒内允许访问的次数. 可以从50次增加到100或者200次.根据你自己的情况灵活调节你可以一边调节这个数值,一边访问自己的网站,如果发现登陆不上去了,就可以加大数值. 如果你要根据每个IP和服务器建立的连接来进行防护,(不推荐这样,应为连接数通常不准确) 就可以不选WEB SEVER HTTP 协议防护,这样就是按照链接数进行防护了. 3.下图中的 选项 ‘加入IP拒绝访问列表后多少秒内释放’ 是指超出60秒访问50次的IP将会被冰冻起来,加入IP拒绝访问列表, 我们可以冰冻这个IP达600秒,当然也可以设置成500或者300秒.解冻后允许它访问服务器10次,这个数值也可以根据情况再进行设置. 4. 如果CC攻击的数量很大,你也可以禁止HTTP代理连接.但是这样做会使一部分使用HTTP代理的用户访问不了你的网站. 点击 ‘设置’—‘DOS攻击防护’---‘SYN拒绝服务攻击防护’ 如下图 然后添加一个规则如下图: 描述写:防止HTTP代理连接, ‘IP类型’选‘任何IP地址’, ‘端口类型’ 选 ‘任何端口’ , 然后点击 ‘禁止http代理连接’ 如下图: 通过上述几个步骤的设置,KFW傲盾防火墙就可以防护针对WEB的CC和空连接攻击了. 第五篇KFW傲盾防火墙针对网游服务器攻击防护设置 第一章 如何查看是否有攻击 一.通过服务器的一些异常情况查看攻击 当服务器主机被DOS/DDOS攻击时，主要有如下现象： 1.被攻击主机上有大量等待的TCP连接，用“netstat –an”命令查看会有数百上千个不同的IP不停的和主机服务器建立连接。 2.CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机。 3.网络中充斥着大量的无用的数据包，源地址为伪造IP和端口 4.高流量无用数据（如IGMP数据包），网络拥塞，受害主机无法正常和外界通讯。 二．通过傲盾防火墙查看是否有攻击 1.查看傲盾防火墙流量图 首先双击桌面图标上的“KFW企业版管理器”： 出现如下所示防火墙登录界面： 默认密码为“12345”点击登录“按钮”后进入防火墙设置以及流量查看界面,如图所示： 然后点击启动按钮选择下拉菜单选中本机所使用的IP，就会出现流量曲线图： 在此流量图中可以看到每秒即时的接收包和发送包，其中红线代表发送包蓝线代表接收包，当有外来攻击的时候接收包（蓝线）流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的，但当有攻击的时候蓝线会远远高于红线。 2.查看傲盾防火墙DOS_SYN列表 首先，鼠标左键双击桌面上的“KFW企业版网络监控”，如图所示： 出现如下图所示界面： 如果有DOS_SYN攻击的时候，点击如图所示“DOS_SYN列表”会出现防火墙连接的SYN包信息： 如上图所示，防火墙拦截了大量的针对7000端口的SYN攻击包，上面的“源IP”就是攻击者伪造的IP地址，目的IP就是本机IP。 3.利用防火墙查看服务器是否遭受了CC攻击 打开“KFW企业版网络监控”点击查询视图： 点击如上图所示“查询视图”,出现如下图所示： 上图显示的是当前所有连接的详细详细信息列表，然后点击如下图所示，圈中的地方： 当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的，此时可以方便的查看每个IP和服务器建立的多少连接，因为CC攻击时黑客利用控制代理攻击的，一般是控制上百台或者上千代理频繁的和一台服务器建立连接，以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息，并且单个IP和服务器建立连接有很多的时候，说明遭受到了CC攻击。 另外，我们还可以查看针对某个端口的信息： 点击“目的端口”后面的小箭头出现如下所示下拉菜单： 选中后出现如图所示： 比如，我们查看7000端口的信息，在这里输入“7000”然后点击“OK”，下面列表里出现的就都是关于7000端口的连接信息： 4.利用防火墙查看服务器是否遭受了UDP、ICMP、IGMP攻击 当服务器遭受了UDP、ICMP、IGMP等带宽攻击的时候在防火墙流量图里面有可能看不到很大数目的攻击包，这是因为傲盾防火墙已经拦截了攻击包，这时候我们要查看“KFW企业版管理器”里面接收拦截包如图所示： 在上图所示下拉菜单复选框中选择“接收拦截包数”就会产看到拦截的攻击包，此外还可以查看“KFW企业版网络监控”里面的连接信息，点击‘查询视图’，点击‘所有连接列表’点击右侧‘协议’选择UDP（或者ICMP、IGMP），可以看到所有的UDP（ICMP、IGMP）连接的源IP,目的IP，源端口，目的端口。假设你的服务器平常这种数据包很少，突然增加了很说，说明服务器此时肯定是遭受了UDP(ICMP、IGMP)攻击。 第二章 针对攻击对防火墙进行防护设置 傲盾防火墙的特点就是功能强大规则设置灵活，所以要使傲盾防火墙达到最好的防护效果就需要专业灵活的掌握好设置参数。下面以针对传奇攻击为例详细的介绍一下，各种攻击的防护以及防火墙的设置。 一.针对DDOS_SYN攻击的设置 DDOS_SYN攻击就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术，对要攻击的节点疯狂地发出数据包；使得被攻击节点忙于处理这些虚假来源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。 选择菜单 设置->DOS攻击防护->高效syn防护设置，如图所示： 点击后出现如下图所示： syn高效防护开关 开启后，默认将保护服务器所有端口.默认的响应TCP连接请求的数值是50。 50这个数值就是说在一秒内，所有发到服务器的建立连接的请求，傲盾防火墙只处理前50个，假如有51个包，最后1个包，傲盾防火墙会暂时搁置。等3秒钟在进行处理。如果是正常的连接，3秒种后，被搁置的这个请求会再次发出，如果是ddos_syn攻击，因为IP地址是虚拟的，3秒钟后就不会在发出回应的包。因此就避免了服务器资源被耗尽。这个数值是可以调整的，如果服务器同时在线人数很大，可以加大这个设置到100或者150，但是如果攻击量大，这个数值可以减小到30或者50。 SYN拒绝服务攻击防护设置 选择菜单 设置->DOS攻击防护->SYN拒绝服务攻击防护，如图所示： 点击“SYN拒绝服务攻击”，如图所示点击“添加”按钮： 设置说明： [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址，在这里因软防装的只有一台服务器，所以我们选择“任何IP地址就可以了”。 [端口类型]本规则要保护的端口，可以通过下拉菜单选择个端口或者端口列表。 [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址。 [连接建立前检查合法性] 连接建立前检查合法性，是针对很多服务程序(比如web服务器, 传奇游戏，终端服务等)，连接建立后客户端都会主动发送一个包给服务器，防火墙利用这个特点伪装成服务器。攻击端和客户端建立连接实际上是和防火墙建立连接，防火墙把这个连接信息保存起来，并不和目标服务器直接建立连接。当客户端连接后发送一个数据包，经过防火墙，防火墙检查后没问题，就把客户端和服务器连接起来。 [新建连接的合法检查] 针对 "DDoS攻击者" 这类攻击 选择此项。FTP 服务器，可以通过本设置来防护 "DDoS攻击者" 这类的攻击。 [新建连接的合法检查-子项] 比如默认设置 [连接建立后2秒内] [客户端必须发送3个数据包] 表示TCP连接完成3次握手建立连接后2秒钟内系统将检查请求这个连接的客户端是否发送了3个数据包，如果客户端没有发送3个数据包，这个连接将被断开。通过这两个设置，可以防护未知的syn 攻击。 [禁止HTTP连接] 防止CC类攻击非HTTP端口。有些攻击用CC类工具通过代理服务器来攻击非HTTP的端口，是通过HTTP协议来的防问，所以通过这个选项可以完全防住这类攻击。 [禁止HTTP代理连接] 代理服务器会在HTTP头里留下代理服务器的一些信息，通过这些可以判断出是否是通过代理服务器访问的。 [ HTTP引用页面检查] http头里有引用标志，这个标志里填写访问这个url 是从哪个页面过来的，通过判断引用标志可以来防止恶意刷新网页。 [ HTTP引用页面检查-基本设置] 在[允许引用的url]里加入允许引用你网站的url前缀，不被允许的网页引用你的网页都会被拦截。 一般情况下，我们只设置[禁止HTTP连接]如上图所示，其它的不作设置。 二. 针对CC、CC变种、肉鸡、M2、游戏网关攻击的设置以及参数调整 　 近期CC（ChallengeCollapsar）攻击日趋严重，尤其以攻击传奇私服的7000端口为主，现象为客户登录游戏非常缓慢或者无法登录游戏，在服务器端用Netstat -na命令会观察到有数百上千个IP不停的连接7000端口，若用Sniffer观察会发现这些IP在不停地连接7000端口再断开再连接，如此反复，导致服务器的LoginGate工作不稳定而导致无法接收新连接，最终造成客户端无法登录。只要做简单的设置傲盾防火墙即会自动侦测CC攻击并自动阻塞攻击的IP，从而使攻击失效。下面以CC、肉鸡攻击为例介绍一下傲盾防火墙规则设置的防护： 选择菜单 设置->防火墙设置->防火墙规则设置，如图所示： 点击“防火墙规则设置”后将会出现如下所示界面： 可以通过防火墙规则，来确定实现对网络的安全设置，防火墙分为两个视图，[本机接收数据]设置本机所有接收的数据，[本机发送数据]设置本机所有发送的数据,点击这两个按钮可以切换视图 设置说明: [协议类型] 可以选择各种协议，也可以自己定义协议 [发送端地址] 是数据包的源IP地址 [接收端地址] 是数据包的目的IP地址 [协议属性] 选择不同的[协议类型] 这里为对应的协议属性。 [TCP协议属性] TCP属性分别为 SYN, ACK, FIN, RST, URG, PSH,每个属性下面有一个[设置]选择 ,选择需要检查的属性，选择这个属性的[设置] 表明这个属性必须设置为1,例如，要检查syn和ack属性的tcp包，并且syn 为1,ack为0 则选择syn 和ack,然后在syn的[设置]属性打上对号，把ack[设置]属性的对号去掉，再例如，需要检查syn rst fin 标志，syn =0,rst = 1,fin=0,则分别选择syn rst fin,然后把syn 和fin的[设置]属性去掉对号，rst的[设置]属性打上对号。（协议属性一般不需要设置，默认就可以） 下面以传奇游戏为例，介绍一下如何设置防护规则。 1.添加第一条防护规则 点击“添加”按钮添加第一条规则，设置如下图所示： 点击“高级设置”。出现如下图所示： 在这里选择“大量IP刷服务器防护”—>禁止HTTP，这样防火墙就会自动检查每个源IP发送过来的前10个数据包，如果源IP试图对游戏端口进行非正常的HTTP连接，防火墙就会将它的IP加入拒绝访问列表，180秒内拒绝此IP访问服务器，等待180秒后防火墙还会自动允许此IP访问 服务器。 2.添加第二条防护规则 继续添加第二条规则： 此条规则的作用是对传奇服务器的每个源IP针对7000端口的发送包进行检测可以设置对每个源IP20秒内允许发送35个包，如果20秒内超过35个数据包，防火墙将此IP加入拒绝访问列表，不允许此IP访问服务器，等待600秒后再将此IP释放出来，刚刚被释放时允许再访问10次，如果超过10次防火墙还会封掉其IP。因为传奇7000端口为登录端口，对访问7000端口的IP进行数据包检测可以有效的CC、肉鸡等一些攻击频繁的向服务器发送请求包导致服务器资源耗尽。(假如你们的登陆端口不是7000，请做相应的修改) 3.添加第三条规则 继续添加第三条规则： 此规则的作用是针对传奇所使用的端口进行连接限制防护，防止CC代理、肉鸡频繁的与服务器建立过多的连接，高级设置如下： 选择按访问连接限制，对每个IP和服务器进行连接限制，上图设置为30秒内允许每个IP和服务器建立35个连接，如果某个IP和服务器建立连接数超过35个，防火墙就会将其加入拒绝访问列表决绝其访问服务器，等待300秒后再允许此IP访问服务器，此IP