检测和防御DDos攻击的方法与步骤
检测和防御DDos攻击的方法与步骤不能从根本上防御这种攻击,以下是减轻这种攻击的建议。
采用更强大的路由或者服务器
获取更大的上行带宽
减少路由中有关防火墙,队列和其它数据包的处理
怎么样检测SYN flood攻击?
1、检查是否有太多的syn-sent状态出现
/ip firewall connectin print
2、检查网卡接口每秒通过的数据包是否太多
/interface monitor-traffic ether3
3、检查你的CPU是否达到100%
/system resource monitor
4、检查可疑链接
/tool torch
如何保护软路由?
1、限制进入的连接
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 \
action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
在这里限制了每个ip的最大连接数。
2、处理tarpit
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit
3、过滤SYN
一些比较高级的过滤可以应用到数据包状态。
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-protect comment="SYN Flood protcet" disabled=yes
/ip firewall filter add chain=SYN-Protcet protocol=tcp tcp-flags=syn limit=400,5 connectin-state=new action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new actin=drop comment="" disabled=no
"syn limit=400"是一个阈值
4、SYN cookies
/ip firewall connection tracking set tcp-syncookie=yes
以上内容翻译自官方文档
原文地址:http://wiki.mikrotik.com/wiki/DoS_attack_protection
:victory::victory: 学习了,好东西,顶顶
页:
[1]