[业务]KFW傲盾防火墙针对网游服务器攻击防护的监视和设置

[业务]KFW傲盾防火墙针对网游服务器攻击防护的监视和设置 ―――――――――――――――――――――――――――――――――― 北 京 傲 盾 软 件 有 限 公 司 BeiJing AoDun Co. Ltd. 前 言 .................................................................. - 4 - 第一章 如何查看是否有攻击 ............................... - 6 - 一.通过服务器的一些异常情况查看攻击........ - 6 - 二(通过傲盾防火墙查看是否有攻击 ............ - 6 - 1.查看傲盾防火墙流量图 .......................... - 6 - 2.查看傲盾防火墙DOS_SYN列 ........... - 8 - 3.利用防火墙查看服务器是否遭受了CC攻击- 10 - 4.利用防火墙查看服务器是否遭受了UDP、ICMP、IGMP攻 击............................................................. - 13 - 第二章 针对攻击对防火墙进行防护设置 .......... - 16 - 一.针对DDOS_SYN攻击的设置 .................. - 16 - 二. 针对CC、CC变种、肉鸡、M2、游戏网关攻击的设置以及参数调整 ........................................................... - 19 - 1.添加第一条防护 ............................ - 20 - 2.添加第二条防护规则 ............................ - 22 - 3.添加第三条规则 ................................... - 23 - 4.添加第四条规则 ................................... - 25 - 三.针对UDP、ICMP、IGMP攻击的设置与防护- 26 - 前 言 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;针对日益严峻的DDOS攻击形势，北京傲盾软件有限公司推出了一系列抗DDOS的KFW傲盾抗DDOS防火墙。 KFW傲盾防火墙功能强大，能很好的防护SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等攻击。特有Ddos、Dos攻击防御(采用最先进的数据包状态 技术，可以防范各种 dos攻击包括最难的syn攻击，装备傲盾软件防火墙的P42.0G CPU的服务器可以抵 御每秒40万以上的攻击包，防范效果甚至比硬件防火墙还要好,傲盾防火墙企业版5000连接、一万连接防火墙是傲盾公司专门这对网络游戏攻击而开发的两款功能强大的防火墙。下面系统的介绍一下傲盾防火墙如何防护攻击以及防护参数设置如何调整。本篇文章介绍的是以传奇游戏为例的DDOS攻击防护设置，假设游戏端口为7000、7100和7200来设置的，假如你的端口不同请在规则里相应的更改端口。 北京傲盾软件有限公司 2006年8月28日 第一章 如何查看是否有攻击 一.通过服务器的一些异常情况查看攻击 当服务器主机被DOS/DDOS攻击时，主要有如下现象: 1.被攻击主机上有大量等待的TCP连接，用“netstat –an”命令查看会有 数百上千个不同的IP不停的和主机服务器建立连接。 2.CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机。 3.网络中充斥着大量的无用的数据包，源地址为伪造IP和端口 4.高流量无用数据(如IGMP数据包)，网络拥塞，受害主机无法正常和外 界通讯。 二(通过傲盾防火墙查看是否有攻击 1.查看傲盾防火墙流量图 首先双击桌面图标上的“KFW企业版管理器”: 出现如下所示防火墙登录界面: 默认密码为“12345”点击登录“按钮”后进入防火墙设置以及流量查看界面,如图所示: 然后点击启动按钮选择下拉菜单选中本机所使用的IP，就会出现流量曲线图: 在此流量图中可以看到每秒即时的接收包和发送包，其中红线代表发送包蓝线代表接收包，当有外来攻击的时候接收包(蓝线)流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的，但当有攻击的时候蓝线会远 远高于红线。 2.查看傲盾防火墙DOS_SYN列表 首先，鼠标左键双击桌面上的“KFW企业版网络监控”，如图所示: 出现如下图所示界面: 如果有DOS_SYN攻击的时候，点击如图所示“DOS_SYN列表”会出现 防火墙连接的SYN包信息: 如上图所示，防火墙拦截了大量的针对7000端口的SYN攻击包，上面的“源IP”就是攻击者伪造的IP地址，目的IP就是本机IP。 3.利用防火墙查看服务器是否遭受了CC攻击 打开“KFW企业版网络监控”点击查询视图: 点击如上图所示“查询视图”,出现如下图所示: 上图显示的是当前所有连接的详细详细信息列表，然后点击如下图所示，圈中的地方: 当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的，此时可以方便的查看每个IP和服务器建立的多少连接，因为CC攻击时黑客利用控制代理攻击的，一般是控制上百台或者上千代理频繁的和一台服务器建立连接，以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息，并且单个IP和服务器建立连接有很多的时候，说明遭受到了CC攻击。 另外，我们还可以查看针对某个端口的信息: 点击“目的端口”后面的小箭头出现如下所示下拉菜单: 选中后出现如图所示: 比如，我们查看7000端口的信息，在这里输入“7000”然后点击“OK”，下面列表里出现的就都是关于7000端口的连接信息: 4.利用防火墙查看服务器是否遭受了UDP、ICMP、IGMP攻击 当服务器遭受了UDP、ICMP、IGMP等带宽攻击的时候在防火墙流量图 里面有可能看不到很大数目的攻击包，这是因为傲盾防火墙已经拦截了攻 击包，这时候我们要查看“KFW企业版管理器”里面接收拦截包如图所示: 在上图所示下拉菜单复选框中选择“接收拦截包数”就会产看到拦截的攻击包，此外还可以查看“KFW企业版网络监控”里面的连接信息，点击‘查询视图’，点击‘所有连接列表’点击右侧‘’选择UDP(或者ICMP、IGMP)，可以看到所有的UDP(ICMP、IGMP)连接的源IP,目的IP，源端口，目的端口。假设你的服务器平常这种数据包很少，突然增加了很说，说明服务器此时肯定是遭受了UDP(ICMP、IGMP)攻击。 第二章 针对攻击对防火墙进行防护设置 傲盾防火墙的特点就是功能强大规则设置灵活，所以要使傲盾防火墙达到最 好的防护效果就需要专业灵活的掌握好设置参数。下面以针对传奇攻击为例 详细的介绍一下，各种攻击的防护以及防火墙的设置。 一.针对DDOS_SYN攻击的设置 DDOS_SYN攻击就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术， 对要攻击的节点疯狂地发出数据包;使得被攻击节点忙于处理这些虚假来 源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。 选择菜单 设置->DOS攻击防护->高效syn防护设置，如图所示: 点击后出现如下图所示: syn高效防护开关 开启后，默认将保护服务器所有端口.默认的响应TCP连接请求的数值是50。 50这个数值就是说在一秒内，所有发到服务器的建立连接的请求，傲盾防火墙只处理前50个，假如有51个包，最后1个包，傲盾防火墙会暂时搁置。等3秒钟在进行处理。如果是正常的连接，3秒种后，被搁置的这个请求会再次发出，如果是ddos_syn攻击，因为IP地址是虚拟的，3秒钟后就不会在发出回应的包。因此就避免了服务器资源被耗尽。这个数值是可以调整的，如果服务器同时在线人数很大，可以加大这个设置到100或者150，但是如果攻击量大，这个数值可以减小到30或者50。 SYN拒绝服务攻击防护设置 选择菜单 设置->DOS攻击防护->SYN拒绝服务攻击防护，如图所示: 点击“SYN拒绝服务攻击”，如图所示点击“添加”按钮: 设置说明: [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址，在这里因软防装的只有一台服务器，所以我们选择“任何IP地址就可以了”。 [端口类型]本规则要保护的端口，可以通过下拉菜单选择个端口或者端口列 表。 [INTERENT IP地址] 本规则的Interent Ip地址，也就是遭受syn dos攻击的Ip地址。 [连接建立前检查合法性] 连接建立前检查合法性，是针对很多服务程序(比如web服务器, 传奇游戏，终端服务等)，连接建立后客户端都会主动发送一个包给服务器，防火墙利用这个特点伪装成服务器。攻击端和客户端建立连接实际上是和防火墙建立连接，防火墙把这个连接信息保存起来，并不和目标服务器直接建立连接。当客户端连接后发送一个数据包，经过防火墙，防火墙检查后没问题，就把客户端和服务器连接起来。 [新建连接的合法检查] 针对 "DDoS攻击者" 这类攻击 选择此项。FTP 服务器，可以通过本设置来防护 "DDoS攻击者" 这类的攻击。 [新建连接的合法检查-子项] 比如默认设置 [连接建立后2秒内] [客户端必须发送3个数据包] 表示TCP连接完成3次握手建立连接后2秒钟内系统将检查请求这个连接的客户端是否发送了3个数据包，如果客户端没有发送3个数据包，这个连接将被断开。通过这两个设置，可以防护未知的syn 攻击。 [禁止HTTP连接] 防止CC类攻击非HTTP端口。有些攻击用CC类工具通过代理服务器来攻击非HTTP的端口，是通过HTTP协议来的防问，所以通过这个选项可以完全防住这类攻击。 [禁止HTTP代理连接] 代理服务器会在HTTP头里留下代理服务器的一些信息，通过这些可以判断出是否是通过代理服务器访问的。 [ HTTP引用页面检查] http头里有引用，这个标志里填写访问这个url 是从哪个页面过来的，通过判断引用标志可以来防止恶意刷新网页。 [ HTTP引用页面检查-基本设置] 在[允许引用的url]里加入允许引用你网站的url前缀，不被允许的网页引用你的网页都会被拦截。 一般情况下，我们只设置[禁止HTTP连接]如上图所示，其它的不作设置。 二. 针对CC、CC变种、肉鸡、M2、游戏网关攻击的设置以及参数调整 近期CC(ChallengeCollapsar)攻击日趋严重，尤其以攻击传奇私服的7000端口为主，现象为客户登录游戏非常缓慢或者无法登录游戏，在服务器端用Netstat -na命令会观察到有数百上千个IP不停的连接7000端口，若用Sniffer观察会发现这些IP在不停地连接7000端口再断开再连接，如此反复，导致服务器的LoginGate工作不稳定而导致无法接收新连接，最终造成客户端无法登录。只要做简单的设置傲盾防火墙即会自动侦测CC攻击并自动阻塞攻击的IP，从而使攻击失效。下面以CC、肉鸡攻击为例介绍一下傲盾防火墙规则设置的防护: 选择菜单 设置->防火墙设置->防火墙规则设置，如图所示: 点击“防火墙规则设置”后将会出现如下所示界面: 可以通过防火墙规则，来确定实现对网络的安全设置，防火墙分为两个视图，[本机接收数据]设置本机所有接收的数据，[本机发送数据]设置本机所有发送的数据,点击这两个按钮可以切换视图 设置说明: [协议类型] 可以选择各种协议，也可以自己定义协议 [发送端地址] 是数据包的源IP地址 [接收端地址] 是数据包的目的IP地址 [协议属性] 选择不同的[协议类型] 这里为对应的协议属性。 [TCP协议属性] TCP属性分别为 SYN, ACK, FIN, RST, URG, PSH,每个属性下面有一个[设置]选择 ,选择需要检查的属性，选择这个属性的[设置] 表明这个属性必须设置为1,例如，要检查syn和ack属性的tcp包，并且syn 为1,ack为0 则选择syn 和ack,然后在syn的[设置]属性打上对号，把ack[设置]属性的对号去掉，再例如，需要检查syn rst fin 标志，syn =0,rst = 1,fin=0, 则分别选择syn rst fin,然后把syn 和fin的[设置]属性去掉对号，rst的[设置]属性打上对号。(协议属性一般不需要设置，默认就可以) 下面以传奇游戏为例，介绍一下如何设置防护规则。 1.添加第一条防护规则 点击“添加”按钮添加第一条规则，设置如下图所示: 点击“高级设置”。出现如下图所示: 在这里选择“大量IP刷服务器防护”—>禁止HTTP，这样防火墙就会自动检查每个源IP发送过来的前10个数据包，如果源IP试图对游戏端口进行非正常的HTTP连接，防火墙就会将它的IP加入拒绝访问列表，180秒内拒绝此IP访问服务器，等待180秒后防火墙还会自动允许此IP访问 服务器。 2.添加第二条防护规则 继续添加第二条规则: 此条规则的作用是对传奇服务器的每个源IP针对7000端口的发送包进行检测 可以设置对每个源IP20秒内允许发送35个包，如果20秒内超过35个数据包，防火墙将此IP加入拒绝访问列表，不允许此IP访问服务器，等待600秒后再将此IP释放出来，刚刚被释放时允许再访问10次，如果超过10次防火墙还会封掉其IP。因为传奇7000端口为登录端口，对访问7000端口的IP进行数据包检测可以有效的CC、肉鸡等一些攻击频繁的向服务器发送请求包导致服务器资源耗尽。(假如你们的登陆端口不是7000，请做相应的修改) 3.添加第三条规则 继续添加第三条规则: 此规则的作用是针对传奇所使用的端口进行连接限制防护，防止CC代理、肉鸡频繁的与服务器建立过多的连接，高级设置如下: 选择按访问连接限制，对每个IP和服务器进行连接限制，上图设置为30秒内允许每个IP和服务器建立35个连接，如果某个IP和服务器建立连接数超过35个，防火墙就会将其加入拒绝访问列表决绝其访问服务器，等待300秒后再允许此IP访问服务器，此IP再刚刚被释放的时候允许其访问10次，如果超过10次将再次拒绝此IP的访问。 4.添加第四条规则 继续添加第四条规则: 此规则是专门针对传奇攻击7000端口M2进行的设置，其高级设置如下: 以上四条规则是防火墙默认针对传奇7000、7100、7200默认端口进行的设置，在防护CC、肉鸡等攻击的时候可以在实际应用中对使用端口，以及高级设置参数进行适当的调节，以达到最佳的防护效果。具体调节可以在有攻击的时候根据“KFW企业版网络监控”里面的“查询视图”里面连接数的多少进行适当的调节达到最好的防护效果。 三.针对UDP、ICMP、IGMP攻击的设置与防护: 此三种攻击原理类似，主要是DDOS攻击带宽，以UDP攻击为例的介绍傲盾防火防护此类攻击请查看《KFW傲盾防火墙如何防护UDP攻击》的详细介绍。